CC BY
56
Оценка потенциала развития служб внутреннего контроля в коммерческих
организациях РФ
Assessment of development potential of internal control departments within commercial companies in Russian Federation
Черногузова И.Г.
Аспирантка экономического факультета , ФГОБУ ВПО «Государственный
университет Минфина России»
Аннотация. В первой части статьи приводится общее описание развития подходов к определению системы внутреннего контроля и акцентируется внимание на непрерывно возрастающем интересе представителей всех бизнес-сообществ к данной тематике. Основные разделы описывают сложившуюся в российских компаниях практику организации служб внутреннего контроля. В заключение даются рекомендации по методике реорганизации службы как основного звена в составе эффективной системы внутренних контролей и управления рисками. Abstract. The article gives general description of development of approaches to definition of internal control system and notices attention to continuous interest increase to the subject matter from all business-communities. The main sections deal with established practice of internal departments setup and functioning in Russian companies. In conclusion the author gives recommendations on methods of reorganizing such departments as the main link in efficient internal control and risk management systems.
Ключевые слова. Внутренний контроль, служба внутреннего контроля, управление рисками, эффективность хозяйственной деятельности, COSO, реструктуризация службы внутреннего контроля
Key words. Internal control, internal control department, risk management, efficiency of economic activity, COSO, restructuring of internal control departments.
Введение.
В современном мире существует множество определений одних и тех же понятий, что обусловлено стремлением авторов этих определений добиться максимально точного и вместе с тем краткого и лаконичного описания конкретного термина. Мы не будем подробно останавливаться на анализе многочисленных трактовок внутреннего контроля как одного из жизненно важных процессов успешных компаний. Вместо этого достаточно будет рассмотреть основные из них.
Развитие мировых и российских подходов и концепций систем внутреннего контроля.
В США ещё в 1992 году некоммерческий частный Комитет Спонсорских Организаций Комиссии Трэдуэя1 в изданной Интегрированной Концепции зафиксировал внутренний контроль как процесс, осуществляемый Советом директоров Общества, руководством Общества и другими сотрудниками, направленный на обеспечение достаточной уверенности в достижении целей по следующим направлениям:
• эффективность операций;
• достоверность финансовой отчетности;
• соблюдение требований законодательства [1, с. 13].
В Концепции подчеркивается, что система внутреннего контроля - это всего лишь инструмент, а не заменитель управления.
Рассматривая походы к определению этого понятия в Российской Федерации, в первую очередь следует обратиться к определениям, зафиксированным в законах и иных нормативно-правовых актах. Так, Центральный Банк РФ для целей регулирования деятельности кредитных организаций в опубликованном в начале 2004 года Положении определяет его как деятельность, осуществляемую кредитной
1 The Committee of Sponsoring Organizations of the Treadway Commission, или сокращённо COSO. Дата создания - 1985 год, организован при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчётности.
организацией (ее органами управления, подразделениями и служащими) и направленную на достижение следующих целей:
• эффективности и результативности финансово-хозяйственной деятельности при совершении банковских операций и других сделок, эффективности управления активами и пассивами;
• достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности;
• соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.
Далее, в статье 41 Федерального Стандарта Аудиторской Деятельности № 8 сказано, что система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам [6, с.2].
Если продолжить анализировать подходы других регуляторов и общественных организаций по всему миру, нетрудно будет заметить, что определение внутреннего контроля, данное COSO (его можно считать одним из первых) на протяжении 20 лет своего существования лишь детализируется, по своей сути не претерпевая значительных изменений.
Однако нельзя отрицать, что за это же время в работе финансовых рынков, управлении различными компаниями обнаруживались всё новые и новые способы сокрытия своих долгов и уклонения от требований национальных и международных
законодательств, порой сопровождавшиеся громкими финансовыми скандалами (достаточно привести в качестве примеров BCCI, Worldcom, Lehman Brothers).
Такие случаи неизменно сопровождались последующим усилением роли внутреннего контроля, прежде всего на государственном уровне. Например, для всех компаний, зарегистрировавших свои ценные бумаги в Комиссии по ценным бумагам и биржам США (U.S. Securities and Exchange Commission), принятый в 2002 году после банкротства компании Enron Закон Сарбейнса-Оксли (Sarbanes-Oxley Act) сформулировал новые, гораздо более ужесточенные требования к системе внутреннего контроля.
Говоря об объектах государственного регулирования в области внутреннего контроля в России, прежде всего, подразумеваются кредитные организации и банковские группы, которым, в соответствии с ФЗ № 395-1 «О банках и банковской деятельности», вменена в обязанность организация внутреннего контроля, обеспечивающего надлежащий уровень надежности, соответствующей характеру и масштабам проводимых операций.
В 2001 году в рамках борьбы с легализацией (отмыванием) доходов, полученных преступным путем, и финансированием терроризма разработка и утверждение правил внутреннего контроля стали обязательными на федеральном уровне и для организаций, осуществляющих операции с денежными средствами и иным имуществом (в частности, лизинговых компаний, ломбардов). Контролем исполнения возложенных на них обязанностей занимается Федеральная служба по финансовому мониторингу.
Введение обязательной системы внутреннего контроля для участников рынка страхования тоже не за горами: в настоящее время Федеральная служба по финансовым рынкам России планирует не только предписать страховым компаниям создавать службы внутреннего контроля в обязательном порядке, но приравнять неисполнение предписаний и запросов службы к административному правонарушению [8, с.1].
А в конце 2011 года необходимость осуществления внутреннего контроля в каждой организации была впервые прямо закреплена статьей 19 Федерального закона № 402-ФЗ «О бухгалтерском учёте» (вступает в силу с 1 января 2013 года) [5]. Согласно ей, экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
Отметим, что до 1 января 2013 года действующим считается закон № 129-ФЗ, в нескольких статьях которого также упоминается о некоторых аспектах ведения контроля внутри организации [4, статьи 1, 6, 7].
Особенности функционирования служб внутреннего контроля в организациях РФ.
Учитывая всё вышеизложенное, вопросы создания или реструктуризации службы контроля сейчас более чем актуальны, и каждый российский руководитель должен в первую очередь задуматься, какие функции планируется возложить на эту службу.
Отметим, что цели функционирования службы внутреннего контроля не должны ограничиваться формальным подходом к выполнению требований госорганов, а выходить на ту позицию, при которой предоставляется реальная возможность поднятия уровня доверия инвесторов, укрепление репутации и поддержание рыночной стоимости компании.
К наиболее значимым и общепринятым функциям службы внутреннего контроля можно отнести:
• организацию и осуществление постоянного контроля за производственнохозяйственной и финансово-экономической деятельностью, в частности, разработку и унификацию бизнес-процессов;
• контроль соблюдения требований нормативно-правовых документов и внутренних положений компании, например, ведения документооборота, исполнения платёжно-кассовой дисциплины, корректности и полноты отражения фактов хозяйственной жизни в бухгалтерском, налоговом и прочих видах учёта;
• организация предупредительных мероприятий (инвентаризаций, ревизий, проверок) на регулярной основе и взаимодействие с внешними аудиторами;
• своевременное информирование руководства о выявленных в процессе проверок недостатках, предоставление рекомендаций по усилению слабых сторон в части покрытия рисков и улучшению существующей структуры управления компанией.
Под воздействием некоторых значительных рыночных трендов сущность внутреннего контроля претерпевает изменения, включая в себя новые, прежде практически не учтённые, задачи и функции:
• Управление рисками и контролями больше не подчиняется принципу доведения всех процессов только до минимально приемлемой точки соответствия требованиям внешних и внутрифирменных регуляторов;
• Традиционные подходы к определению понятия и зоны покрытия системы внутреннего контроля перестают соответствовать растущим ожиданиям акционеров.
Неудивительным является факт, что в российском бизнесе до сих пор наблюдается ориентация на формальное соответствие системы внутреннего контроля нормативным требованиям без учёта последних тенденций.
Проведённое в 2010 году исследование [7, с.8] существующих практик и подходов к управлению рисками (существенная составляющая часть системы внутреннего контроля) в ведущих компаниях России и Казахстана показало, что респонденты к наиболее значимым задачам риск-менеджера относят оценку и мониторинг рисков (47%) и развитие корпоративной культуры управления рисками в компании (45%).
Однако один из основных процессов управления рисками - выявление новых рисков - большинство компаний ставят на одно из последних мест (24%). При этом, согласно аналогичному исследованию в компаниях Азии, Австралии, Западной Европы и Северной Америки, он признаётся как одна из наиболее приоритетных задач риск-менеджмента в компании (46%).
В российских компаниях недостаточная формализация целей, низкая эффективность применяемых методик и ограничения в осведомлённости и интеграции оценок рисков остаются значительными барьерами для развития системы внутреннего контроля.
Однако в настоящее время они всё чаще сталкиваются с необходимостью перевода существующей системы управления рисками и контролями на новый, стратегический уровень и смещения фокуса на создание и увеличение ценности производимой продукции, оказываемых услуг и компании в целом (англ. value creation) вместо простого её поддержания на текущем уровне (англ. value preservation).
Для примера сравним два подхода к модели внутреннего контроля: 1) принятый в России и 2) представляющий собой достижения последних лет на международном уровне.
Критерий оценки Традиционное понимание Передовая практика
Комплексное обеспечение надёжности Отдельные области и подразделения, проверяемые на соответствие различным требованиям; Отсутствие мониторинга тенденций развития рисков Единый «взгляд» на риски внутри компании в целом; Комплексный анализ тенденций в развитии существующих рисков
Увеличение ценности компании Простое выполнение требований, зафиксированных в законодательстве и внутренних положениях Стратегический уровень, проявляющийся в идентификации и управлении будущими рисками и эффективностью деятельности
Управление талантами Несбалансированные требования к навыкам сотрудников; Недостаточное понимание необходимой квалификации персонала Персонал обладает профессиональными знаниями «по существу»
Непрерывность контроля и уровень развития технологий Изолированные группы объектов контроля; Проверки «от случая к случаю» Анализ ранних предупреждений о потенциальном риске; Функции контроля интегрированы в структурные подразделения
Критерий оценки Традиционное понимание Передовая практика
Характер организации системы внутреннего контроля Формальный подход; Структура не оптимизирована Ориентация на нужды бизнеса; Оперативное реагирование на угрозы
При организации службы внутреннего контроля или переходе на более эффективную модель важно учитывать, насколько можно сократить издержки на создание и содержание этой службы, одновременно с этим обеспечивая максимальное покрытие всех рисков. Выбор оптимального подхода должен сопровождаться оценкой плюсов и минусов конкретного типа организации службы внутреннего контроля.
Традиционным в российской практике является создание службы собственными силами, сопровождающееся наймом специалистов с требуемой квалификацией и обучением уже имеющихся сотрудников или нанятых стажёров. Большинство российских компаний не видят смысла во внедрении программного обеспечения для выявления, оценки и управления рисками, предпочитая справляться самостоятельно [7, с.17].
Однако, наряду с таким подходом, набирает обороты так называемый «Косорсинг» внутреннего контроля (от англ. co-sourcing) по причине возрастающих запросов компаний на высококвалифицированные ресурсы. В общем случае он представляет собой разделение функций по выполнению какого-либо бизнес-процесса между персоналом компании и внешними специализированными исполнителями. В нашем конкретном случае сторонний поставщик услуг может предоставлять свою помощь постоянным сотрудникам департамента внутреннего контроля на проектной основе, основываясь на поступающих от них запросах.
И последним вариантом организации службы внутреннего контроля является аутсорсинг, когда в компании существуют только аудиторский комитет и директор по внутреннему контролю, которые сотрудничают с командой привлечённых специалистов и получают финальные отчёты от них.
в
Оптимизация организации служб внутреннего контроля в организациях РФ.
Кадровое
обеспечение
собственными
силами
Принятие решения по выбору из нескольких типов организации службы, безусловно, должно сопровождаться анализом особенностей функционирования компании, а также преимуществ и недостатков типов (см. на схеме ниже).
Собственная служба Плюсы + Знание бизнеса
+ Контроль и связка всех компонентов
+ Обучение внутри компании как фактор повышения лояльности Минусы-Большие управленческие временные затраты
- Высокая стоимость найма, обучения и развития персонала -Модель с фиксированными затратам / сложность изменения структуры
Ко-сорсинг
Плюсы + Функциональный контроль остаётся в руках руководства к + Отказ от издержек при найме/обучении части специалистов
+ Гибкость затрат для непостоянных ресурсов («по требованию»)
+ Возможность быстрого покрытия разных географических регионов Минусы - Сдвиг от 100% управления службой ВК к поддержанию взаимосвязей -Требуется сильное вовлечение и должная компетенция главы службы
Полный аутсорсинг
Плюсы + Эффективная структура затрат
+ Руководство занимается только центральными вопросами +■ Гибкость в отношении затрат, трудовых ресурсов и технологий Минусы - Недостаток понимания организации и взаимосвязей
- Негативно сказывается на системе управления талантами
Сотрудничество со сторонними компаниями
Варианты организации службы внутреннего контроля
При любом выборе служба внутреннего контроля должна быть чётко структурирована для обеспечения независимости и объективности в своей работе и результатах, поддержания взаимосвязей с другими организационными единицами и комплексного понимания особенностей их функционирования.
Для удобства процесс создания или реорганизации этой службы может быть разделён на четыре последовательных этапа, каждый из которых может занимать порядка 1-3 месяцев в зависимости от особенностей конкретной компании. Процедуры, выполняемые на каждом из этапов, для наглядности можно свести в такую таблицу:
Номер этапа Описание организационных шагов
Этап 1 1.1. Определение структуры и типа организации службы;
Номер этапа Описание организационных шагов
1.2. разработка Положения о службе, составление бюджета; 1.3. идентификация покупателей и производимой продукции/оказываемых услуг; 1.4. определение требуемой квалификации персонала и рекрутинговой стратегии, формирование должностной иерархии и системы вознаграждения; 1.5. описание процессов оценки рисков, планирования, передачи отчётных документов, общего администрирования, взаимодействия с другими департаментами, оценки эффективности работы; 1.6. определение необходимых к применению стандартов отчётности; 1.7. раскрытие норм, требующих проверки и утверждения, и создание относящихся к ним протоколов; 1.8. оценка существующих рисков и периметра задач внутреннего контроля; 1.9. систематический анализ бизнес-процессов и их контролей; 1.10. обеспечение уверенности в том, что риски оценены корректно; 1.11. определение принципов общения и взаимодействия с владельцами компании, отчётных дат, повесток совещаний, состава отчётных документов; 1.12. обеспечение активного и эффективного вовлечения владельцев в процесс управления службой.
Этап 2 2.1. Обзор собранной информации и сравнение с желаемой моделью; 2.2. документирование потенциальных областей для улучшения и оптимизации; 2.3. обзор существенных изменений, предложенных руководством компании; 2.4. своевременный, периодически выполняемый анализ контролей для цели определения их слабых мест; 2.5. эффективное управление защитой от мошенничеств и нарушений;
Номер этапа Описание организационных шагов
2.6. организация обратной связи по вопросам соблюдения ценностей и кодекса поведения компании; 2.7. улучшение процесса по идентификации рисков, только начинающих развиваться; 2.8. предоставление владельцам доказательств работоспособности и эффективности контролей; 2.9. проведение встреч/семинаров с ключевыми владельцами.
Этап 3 3.1. Тщательное изучение полученных на предыдущем этапе качественных данных с анализом присущих им рисков и определение рисковых трендов, присущих деятельности организации; 3.2. проверки применяемых технологий на предмет эффективности контролей; 3.3. внедрение более современных технологических инструментов; 3.4. анализ сметы затрат, необходимых для нормального функционирования службы; 3.5. обзор существующей системы управления рисков в целом, идентификация и управление составными и перекрёстными рисками; 3.6. подтверждение ценности функции службы внутреннего контроля и правомерности расходования средств перед владельцами компании; 3.7. фиксирование потенциальных областей для развития с точки зрения владельцев.
Этап 4 4.1. Проверка всех процессов этой системы на предмет соответствия и уместности; 4.2. учреждение методик по вопросам внутренних контролей, мошенничеств и составления финансовой отчётности; 4.3. рационализация и систематизация корпоративно-управленческой отчётности; 4.4. оценка качества реализации корпоративных целей и задач; 4.5. встраивание процедур риск-менеджмента в деятельность каждой
Номер этапа Описание организационных шагов
структурной единицы компании; 4.6. формирование культуры непрерывного роста; 4.7. обеспечение соответствия фактических расходов запланированным в бюджетах; 4.8. создание дополнительных центров ответственности внутри службы внутреннего контроля; 4.9. расстановка приоритетов для полученных от владельцев рекомендаций и представление плана качественных улучшений; 4.10. проведение независимых экспертиз качества выполняемых работ.
На первом, подготовительном, этапе происходит позиционирование службы внутреннего контроля, т.е. определение спектра её задач и функций. Для второго этапа характерны практические действия, выполняемые с учётом заложенных на первом этапе основ. На третьем этапе происходит закрепление полученных на предыдущем этапе результатов. Четвёртый этап является заключительным в процессе создания или реорганизации службы внутреннего контроля.
При следовании этому плану происходит формирование комплексной основы системы управления рисками и сосредоточение на стратегических рисках.
Заключение
Российские компании, которым удастся приблизить роль службы внутреннего контроля к настоящим нуждам бизнеса, определяемым текущими экономическими условиями, в частности, ускоряющимся процессом глобализации, могут значительно повысить свою реальную стоимость и получить конкурентные преимущества не только на национальном, но и международном уровнях.
Библиографический список
1 Internal Control - Integrated Framework. - The Committee of Sponsoring Organizations of the Treadway Commission, 1992
2 Taking control: A Practical Guide. - Deloitte, 2011
3 M.P. McCarthy, M.J. Nolan. Maintaining Critical Alignments During Turmoil and Change // National Association of Corporate Directors Magazine. - 2009. - № 4
4 Федеральный закон от 21.11.1996 № 129-ФЗ «О бухгалтерском учете» (в ред. от 28.11.2011)
5 Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»
6 Федеральное правило (стандарт) аудиторской деятельности № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» (в ред. Постановления Правительства РФ от 19.11.2008 N 863)
7 Риск-менеджмент: что лежит за пределами бюрократии. Сложившиеся практики управления рисками. Исследование. - КПМГ, 2010
8 Шарпаева Е. Н. ФСФР внедрит в страховщиков внутренний контроль // http ://www.rbcdaily.ru/2011/09/16/finance/562949981491981
9 Шуклов Л.В. Постановка внутреннего контроля как основа для перехода на МСФО: типичные проблемы и пути их решения // Международный бухгалтерский учет. - 2011. - № 38.
