– информация и коммуникация;
– мониторинг.
3. По уровням организационной структуры:
– уровень компании (организации в целом);
– подразделение;
– бизнес-процесс;
– функция.
При этом существует еще 17 фундаментальных принципов, соответствующих каждому компоненту.
Исследование отечественной нормативной базы в области внутреннего контроля позволяет сделать вывод о том, что основой для большинства подходов являются принципы, заложенные в модели COSO.
Другой международный стандарт COBIT[18 - Официальный сайт организации Information Systems Audit and Control Association [Электрон. ресурс]. URL: http://www.isaca.org/ (дата обращения: 16.02.2018)] направлен на снижение рисков информационных технологий. Он не является стандартом по построению только системы внутреннего контроля. Данный документ регулирует область управления и руководства ИТ на предприятии, помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов; в качестве одной из целей руководства ИТ, наряду с оптимизацией ресурсов и получением выгод, рассматривается оптимизация рисков.
Кроме модели COSO существуют альтернативные концепции внутреннего контроля:
– модель внутреннего контроля Cadbury (Институт Профессиональных бухгалтеров Англии и Уэльса), 1992 г.;
– модель COCO, разработанная Советом по критериям контроля Канадского Института дипломированных бухгалтеров в 1995 г. Является адаптированной моделью COSO для целей аудита.
Кроме того, есть другие концепции и стандарты (COBIT, SAC, COSO, SAS 55/78), которые незначительно отличаются друг от друга основными целевыми группами пользователей, компонентами, зонами внутреннего контроля, фокусом, подходами к оценке эффективности внутреннего контроля, но все они направлены на обеспечение эффективного внутреннего контроля[19 - 75. Сравнение концепций внутреннего контроля [Электрон. ресурс]. URL: https://bankir.ru/publikacii/20070118/sravnenie-koncepcii-vnytrennego-kontrolya-1383854/ (дата обращения: 25.03.2018)].
Требования к организации внутреннего контроля в России: анализ регулирующих норм
Система регулирующих норм в области организации внутреннего контроля в Российской Федерации несовершенна и находится в стадии становления. Во многом это обусловлено устоявшимися в деловой практике подходами к осуществлению контроля как ревизии или надзора, оставшимися с времен плановой экономики. Некоторые исследователи смешивают понятия «внутренний контроль» и «внутренний аудит».
Так, в проведенном Л.В. Юрьевой и В.С. Сухих исследовании отмечается, что в отдельных нормативных актах, регулирующих сферу внутреннего аудита в государственном секторе, отождествляются понятия «внутренний контроль» и «внутренний аудит» и на подразделение внутреннего аудита возлагаются обязанности по осуществлению внутреннего контроля. В ходе анализа другого федерального закона ими выявлено, что внутренний аудит по какой-то причине осуществляется службой внутреннего контроля и в связи с этим возможно неосуществление оценки надежности уровня эффективности системы внутреннего контроля на предприятии, а также отождествление функций внутреннего аудита и внутреннего контроля[20 - Юрьева, Л.В. Анализ нормативно-правовых актов, регламентирующих внутренний аудит в Российской Федерации и в странах бывшего СССР / Л.В. Юрьева, В.С. Сухих // Международный бухгалтерский учет. 2015. №28; Все для бухгалтера. 2015. № 4. С. 21–39.].
Выявлено также, что согласно Закону № 395-1[21 - О банках и банковской деятельности: [Федер. закон от 02.12.1990 № 395-1]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019).] внутренний аудит занимает двойственное положение: с одной стороны – им осуществляются внутренние контрольные мероприятия, что соответствует функциям системы внутреннего контроля, с другой – тестируется и анализируется СВК как независимым подразделением.
В том же исследовании указано, что в России отсутствует законодательное регулирование внутреннего аудита, что, по их мнению, необходимо для развития внутреннего аудита как полноценной сферы деятельности. Исследователи приходят к выводу, что «в противном случае будет происходить формирование большого количества нормативно-правовых актов в отдельных отраслях финансово-хозяйственной деятельности, в которых могут как дублироваться некоторые положения, так и значительно различаться основные аспекты».
Сравнивая определение и функции внутреннего аудита[22 - Международные профессиональные стандарты внутреннего аудита / пер. некоммерческого партнерства «Институт внутренних аудиторов» [Электрон. ресурс]. URL: https://iia ru.ru/upload/iblock/391/391e76b786d6a846ab0f8cb908af5e70.pdf (дата обращения: 24.12.2018)]и внутреннего контроля согласно концепции COSO, можно прийти к выводу, что внутренний контроль является системным процессом, осуществляемым на всех уровнях организации и охватывающим множество целей. В то же время внутренний аудит – процесс, выполняемый отдельным подразделением (либо аутсорсинговой организацией) по предоставлению оценки СВК для Совета директоров и высшего руководства компании. По сути, внутренний аудит дает оценку СВК для высшего руководства организации. Следовательно, по нашему мнению, внутренний контроль должен охватываться отдельной системой регулирующих актов, отличной от внутреннего аудита.
Существующие исследования нормативно-правовой базы РФ посвящены, как правило, внутреннему аудиту. Внутренний контроль рассматривается только в отношении к внутреннему аудиту. Авторами проведен обзор системы российских нормативных актов, регулирующих внутренний контроль (см. прилож. 1).
Прежде всего, следует остановиться на документах, устанавливающих общие требования к организации внутреннего контроля. Банком России был издан Кодекс корпоративного управления, который является документом, рекомендованным к исполнению акционерными обществами, ценные бумаги которых допущены к организованным торгам, и который является ориентиром по внедрению стандартов корпоративного управления[23 - О кодексе корпоративного управления: [Письмо Банка России от 10.04.2014 № 06-52/2463]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019)].
Банк России отмечает, что значительное количество проблемных вопросов, подходы к решению которых рекомендовались в Кодексе, были разрешены на уровне законодательства и ведомственных нормативных правовых актов. Вместе с тем подчеркивается также, что не все вопросы должны и могут быть урегулированы законодательно: во-первых, законодательство не может учитывать все нюансы деятельности организаций, во-вторых, оно не всегда «поспевает» за изменениями деловой практики, и, в-третьих, многие вопросы носят не правовой, а этический характер.
В Кодексе разд. 5, касающийся принципов корпоративного управления, посвящен организации системы управления рисками и внутреннему контролю. Указано, что в обществе должна быть создана эффективная СВК. Далее этот принцип детализирован в рекомендациях. В частности, определено, что Совет директоров общества определяет принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе. Следует отметить, что в настоящее время этот принцип уже закреплен в ст. 65.1 Закона «Об акционерных обществах»[24 - Об акционерных обществах: [Федер. закон от 26.12.1995 № 208-ФЗ]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019).].
В качестве рекомендуемых Банк России предлагает использовать общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как, например, Концепция (COSO). Концепция COSO легла в основу требований и рекомендаций по осуществлению внутреннего контроля, изданных как государственными органами, так и профессиональными объединениями.
Требования по управлению рисками, внутреннему контролю и внутреннему аудиту были законодательно утверждены. Так, в законе «Об акционерных обществах» были закреплены положения, согласно которым Совет директоров должен устанавливать принципы и подходы по внутреннему контролю и утверждать документы соответствующего уровня в этой области.
Нельзя не отметить, что данные положения были первоначально определены в Кодексе корпоративного управления и их закрепление на законодательном уровне говорит о том, что этот вопрос является принципиально важным.
Организация и осуществление внутреннего контроля установлено в законе «О бухгалтерском учете» для всех организаций[25 - О бухгалтерском учете: [Федер. закон от 06.12.2011 № 402-ФЗ]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019).]. Во исполнение данных норм закона Минфином РФ выпущена Информация № ПЗ-11/2013, которая содержит рекомендации по организации и осуществлению экономическим субъектом внутреннего контроля. В ходе анализа данного документа можно прийти к выводу, что в нем использованы основные подходы, изложенные в COSO: три группы целей (эффективность и результативность, достоверность и своевременность отчетности, комплайенс), пять элементов внутреннего контроля (контрольная среда, оценка рисков, процедуры внутреннего контроля, информация и коммуникация, оценка внутреннего контроля) и т.д. Документ включает общие положения и определения, которые могут помочь организовать СВК компании, но не содержит конкретных рекомендаций по оценке СВК, построению матриц рисков и контрольных процедур, составлению отчетности по СВК[26 - Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности: [информация Минфина России № ПЗ-11/2013]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 21.02.2018)]. При этом под комплайенсом понимается соответствие регулирующим нормам.
В Налоговом кодексе РФ для отдельных категорий налогоплательщиков предусмотрен режим налогового мониторинга, в ходе которого налоговые органы в непрерывном режиме отслеживают деятельность налогоплательщика. Для таких налогоплательщиков в п. 7 ст. 105.26 НК РФ установлены требования к наличию системы внутреннего контроля. Данные требования уточнены в отдельном документе – «Требованиях к организации СВК» Федеральной налоговой службы РФ[27 - Об утверждении Требований к организации системы внутреннего контроля: [приказ ФНС РФ от 16.06.2017 № ММВ-7-15/509@]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019)].
При подробном рассмотрении данного документа можно сделать вывод о том, что в его основе также заложены принципы COSO – цели и компоненты внутреннего контроля. При этом в нем налоговые органы устанавливают более конкретные требования к оценке СВК, описанию рисков и контрольных процедур, составлению и представлению отчетности по СВК в налоговые органы. Но и данный документ также имеет определенные недостатки: отсутствуют многие определения понятий (ручные, автоматизированные, автоматические контрольные процедуры (далее – КП), ключевые и компенсирующие КП и т.д.), нет четких требований к описанию рисков и КП.
Более подробными и применимыми на практике являются методические рекомендации по организации и осуществлению внутреннего контроля[28 - Методические рекомендации по организации и осуществлению внутреннего контроля от 09.08.2013 №Р-44/2013-КпР / Фонд «Национальный негосударственный регулятор бухгалтерского учёта «Бухгалтерский методологический центр» [Электрон. ресурс]. URL: http://bmcenter.ru/Files/mr_2013 KpT_CVKFO (дата обращения: 13.12.2017)]. Данный документ также основан на Концепции COSO и содержит и терминологию, и формы отчетности, и примеры составления матриц рисков и контрольных процедур.
Отдельно следует остановиться на рассмотрении стандартов аудита, содержащих положения по внутреннему контролю. В РФ в настоящее время применяются международные стандарты аудита (далее – МСА), которые утверждаются приказами Минфина РФ. Так, МСА № 315 устанавливает обязанность аудитора оценивать в том числе систему внутреннего контроля организации. В документе дается определение СВК, а также описание компонентов СВК, схожих с компонентами внутреннего контроля Концепции COSO[29 - Международный стандарт аудита (МСА) 315 (пересмотренный) «Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения: [введен в действие приказом Министерства финансов РФ от 09.01.2019 № 2н]. Доступ из СПС «КонсультантПлюс», проф. версия [Электрон. ресурс]. URL: http://www.consultant.ru (дата обращения: 17.01.2019).].
Ряд документов в области внутреннего контроля и внутреннего аудита принят в сфере регулирования деятельности государственных органов.
В целом, по результатам комплексного рассмотрения подходов к определению внутреннего контроля со стороны исследователей, международных концепций организации внутреннего контроля, а также реализации положений по внутреннему контролю в регулирующих документах можно сделать следующие выводы:
1. В научном сообществе существуют различные точки зрения на понятие внутреннего контроля. Среди них можно выделить два основных направления: процессный подход – рассмотрение внутреннего контроля как процесса или деятельности и системный подход – раскрытие внутреннего контроля как системы (внутреннего контроля). Оба эти подхода признают идентичные цели внутреннего контроля и, по сути, рассматривают одно и то же явление. На практике различия в данных подходах позволяют акцентировать внимание на отдельных аспектах данного явления: эффективность и результативность процесса, учет всей входящей и исходящей информации, непрерывность в процессном подходе или взаимосвязь элементов с возникновением специфических свойств в системном подходе.
2. Международные концепции внутреннего контроля также предлагают разные подходы к организации внутреннего контроля в зависимости от того, кто является основным пользователем: акционеры, менеджеры, внутренние или внешние аудиторы, контрольно-надзорные органы и др. Наиболее общей и распространенной является Концепция COSO, которая предлагает широкий подход к организации внутреннего контроля в целом по организации.
3. В регулирующих документах РФ по внутреннему контролю находят отражение положения международных концепций (в т.ч. COSO), исходя из специфики регулируемых отраслей (например, банковской или страховой). В то же время многие положения в части внутреннего контроля законодательно не закреплены и носят рекомендательный характер.
По мнению авторов, в рассмотренных источниках не в полной мере учтены вопросы организации внутреннего контроля в контексте непрерывного совершенствования, а также тенденции последнего времени на цифровую трансформацию бизнеса и автоматизацию процессов и систем. В действительности сейчас цифровизация актуальна для всех сфер деятельности. Так, например, налоговые органы ввели обязательное требование по представлению отчетности преимущественно в электронном виде. В Требованиях к системе внутреннего контроля по налоговому мониторингу налоговыми органами установлено, что уровень зрелости СВК тем выше, чем выше уровень автоматизации контрольных процедур. Аналогичное требование существуют в рекомендациях профессиональных сообществ.
Выявление и оценка рисков также происходит с использованием современных технологий. Реализуются методы анализа «больших данных» (big data), машинного обучения (machine learning), анализа процессов (process mining) для предсказания появления рисков и совершенствования методов их снижения.
С учетом современных тенденций развития, целей и способов контроля в зависимости от уровня управления организацией авторами предлагается рассматривать систему внутреннего контроля организации в следующем виде (см. рис.2).
Рис. 2. Система внутреннего контроля организации
Как видно на рис.2, основой СВК является цикл непрерывного совершенствования Деминга–Шухарта PDCA (plan-do-check-act – «планируй, делай, проверяй, актуализируй»). Данный подход на разных уровнях управления имеет свою интерпретацию. На уровне организации в целом это пять компонентов внутреннего контроля: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг и оценка эффективности. На уровне процессов организации заложен механизм непрерывного совершенствования процессов, уточнения рисков и корректировки контрольных процедур на основе анализа результатов их выполнения, как положительных, так и отрицательных. На уровне операций представлена классическая схема осуществления контрольной процедуры, когда какое-либо действие (результат) сравнивается с определенным эталоном (стандартом), проводится оценка результатов сравнения и при необходимости осуществляется корректировка данного действия (результата).
На каждом уровне организации СВК представлены различные цели: на верхнем уровне – 3 «классические» группы целей (операционные, информационные и комплайенс), на уровне процессов – цели достижения результатов процессов наиболее эффективным и экономичным образом и на уровне операций – цели соответствия установленным стандартам.
Выводы по главе 1
1. Несмотря на то что термины «внутренний контроль» и «система внутреннего контроля» приводятся в научной литературе и регулирующих документах в различной интерпретации, в большинстве из них отсутствуют акценты на особенностях понятий, обозначенных данными терминами.
2. На основе критического анализа специальной литературы и регулирующих документов уточнены понятия «внутренний контроль» и «система внутреннего контроля». В определении внутреннего контроля указано на направленность контроля с целью снижения негативных отклонений от запланированного результата. Система внутреннего контроля определена с учетом взаимодействия друг с другом входящих в нее элементов и возникающих в результате этого отличительных системных свойств.
3. Рассмотрены требования к внутреннему контролю в мировой практике в условиях действия различных международных концепций. По результатам анализа возможности их использования российскими организациями выявлена необходимость адаптации теоретико-методологических подходов на практике.
4. Анализ основных действующих в РФ регулирующих норм в области внутреннего контроля и внутреннего аудита выявил отсутствие четкого разделения данных понятий. Установлена тенденция постепенного внедрения норм международных концепций внутреннего контроля в российском правовом поле, в особенности Концепции COSO.
5. Анализ подходов к интерпретации внутреннего контроля позволил авторам разработать схему организации внутреннего контроля, учитывающую необходимость его осуществления на всех уровнях управления организации и предусматривающую непрерывное совершенствование в условиях циклического процесса принятия решений.
Глава 2. Общие центры обслуживания в России