Система контроля и её аудит в организации

Переходя к анализу выделенного нами типа комбинированной системы контроля, можно отметить, что он является, по сути, объединяющим традиционные задачи контроля и включающим не системный контроль над рисками.

Расширение границ деятельности контроля, но без системности в организации работы с рисками приводит к «расплывчатому контролю», часть функций дублируется, часть теряется. Происходит размывание функций контроля за счет объединения его с другими функциями управления и нечеткости структур управления и контроля, т. к. не распределены функции службы управления рисками и контроля над управлением рисками рисков.

Усложнение процессов и процедур управления рисками вызывает новые риски, связанные как с самими процессами управления, так и с отслеживанием изменений внешней и внутренней среды.

Самым простым и традиционным решением, по этому типу контроля, как правило, является назначение специального ответственного за тот или иной риск и вменением ему обязанности контролировать этот риск. В результате возникает целая сеть служб и органов включающая направления внутреннего контроля и управления рисками, в том числе как правило и методологическую службу, службы управления рисками, службу внутреннего контроля и различных контролёров, в той или иной степени занимающихся как выявлением нарушителей, так и разработкой мер контроля. Как вариант допускается выделение риск-менеджеров с функциями управления отдельными видами рисков в соответствующих структурных подразделениях (валютном, ценных бумаг и т. д.).

Такая нерациональная и сложно структурированная схема внутреннего контроля, построенная на идее всеобщего контроля и контроля за рисками в том числе, является, по сути, надстройкой над другими подразделениями, и включает недостатки систем формального и тотального подходов и, кроме того, не эффективна в работе с рисками. Во-первых, со временем такая структура перестаёт реагировать на новые, актуальные возможности и риски, поскольку основой для оценки её эффективности является формальное соответствие заданным в прошлом правилам и регулирующим документам. Во-вторых, снижается ответственность менеджмента за риски, по созданию системы внутреннего контроля, забывая старинную русскую пословицу о судьбе особенно важного проекта при наличии множества ответственных («у семи нянек дитя без догляда»).

Бессистемное усложнение процессов контроля обычно приводит не к адекватному развитию и повышению эффективности внутреннего контроля, а лишь к повышению внутренней напряжённости между подразделениями, выполняющими сходные или дублирующие функции, и непропорциональному увеличению стоимости контроля.

Современный этап развития внутреннего контроля характеризуется унификацией требований к системе внутреннего контроля. Начало, которого можно рассматривать с 1985 г., когда в США была создана национальная комиссия по борьбе с недостоверной финансовой отчетностью, известная как Комиссия Тредуэя[3 - Национальная экономическая энциклопедия http://vocable.ru/dictionary/]. Выпущенный Комиссией[4 - Committee of Sponsoring Organizations of the Treadway Commission (COSO) // www.coso.org; Canadian Institute of Chartered Accountants // www.cica.ca.] в 1987 г. отчет, помимо других рекомендаций, содержал призыв к организациям-спонсорам[5 - AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учету и отчетности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учета (Institute of Management Accountants)] Комиссии Тредуэя объединить усилия по достижению договоренности об общих для всех основных понятиях внутреннего контроля. Рабочая группа под покровительством Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием "Интегрированная концепция внутреннего контроля"[6 - http://www.coso.org/publications/executive_summary_integrated_framework.htm] (Internal Control – Integrated Framework), кратко (концепция COSO или модель COSO). Модель COSO важна, поскольку акцент в ней был сделан на ответственности руководства предприятия за состояние контроля.

Затем был принят Закона Сарбейнса-Оксли в США в 2002 году, расширяющий требование к открытым акционерным обществам по созданию и поддержанию систем внутреннего контроля, возлагая обязанность на руководство компаний представлять информацию об эффективности этих систем, а на независимого аудитора – удостоверять предоставленные сведения.

Повышение требований к финансовой отчетности, которые сформировались в начале 2000-х годов, изменили подходы к анализу системы внутреннего контроля. Наблюдается общая тенденция к ужесточению мер по подготовке достоверной отчетности. Появилось стремление обязать аудиторов давать в своих отчетах оценку СВК. Это выразилось в разработке стандартов, обеспечивающих учет качества контроля аудируемых лиц.

В этой связи необходимо отметить важную черту современного этапа развития внутреннего системного контроля состоящую обязательности создания в организации службы внутреннего аудита (мониторинга), целью которой является постоянная оценка системы внутреннего контроля, т. е. неотъемлемой частью внутреннего системного контроля является оценивающий контроль.

Подводя итоги исследования генезиса контроля можно выделить, что в его составе появляется оценивающая составляющая, характеризуемая развитием направлений:

1. системности контрольной деятельности

2. выделения в контроле оценивающей направленности составляющей (внутреннего аудита или мониторинга)

3. замена тотального подхода на структурно ориентированный контроль

4. ориентированность контроля на риски.

Оценивая эволюционный характер контроля, следует отметить, что приемы и методы, успешно применяемые в одних ситуациях в конкретное время, не эффективны в других ситуациях. Современные тенденции наделения властью и повышения степени самостоятельности привели к тому, что традиционные формы контроля развиваются в направлении самоконтроля и мониторинга работников за выполнением рабочих заданий и исправление, ими допущенных ошибок, не дожидаясь указания менеджера, а так же контроллинга. Кроме того, для современных условий характерная парадоксальная ситуация, когда с одной стороны, все признают значение контроля, а с другой стороны, деятельность по контролированию ведется неэффективно. В этой связи важно отметить, что невозможно и ошибочно сконцентрировать весь контроль в одном подразделении. Необходимо распределить ответственность между различными подразделениями, встраивая контроли в их текущую деятельность, при этом очень важно четко оценивать, где и какие контроли установлены. Однако важным является то, что при распределении контроля необходима его координация в соответствии с целями корреляцией целей из единого центра на основе информации мониторинга или аудита состояния системы внутреннего контроля и ее адекватности рискам в динамике. При этом важно отметить, что в отличие от роли контролирующего подразделения в модели тотального контроля, перед подразделением, осуществляющим аудит системы контроля и поставку информации координирующему субъекту-руководителю, важнее не личная преданность руководителю, а независимость, не фиксирование нарушений пунктов инструкции, а квалифицированный анализ рисков, процессов и причин, приведших к таким нарушениям, не примерное наказание нарушителей, а установление и совершенствование контролей, смягчающих воздействие выявленных рисков. Данные требования позволяют сконцентрироваться на системной организации контроля и являются основополагающими для построения механизмов контроля.

Формирование системы внутреннего контроля, включает в себя несколько компонентов:

1. Любая целенаправленная деятельность имеет аспект контроля

2. Феномен механизма контроля возник и развивался в ходе эволюции управления и имеет свои переходы от низшего к высшему

3. Эволюция функций контроля и интегрирование его со всеми видами деятельности и целями функционирования организации отражают тенденции усиления влияния контроля на все процессы и необходимость выделения контроля в самостоятельную систему

4. Генезис контроля выявил специфику его функций и обусловленности функциями управления, операционными и бизнес процессами, необходимостью соблюдения нормативно-правовых норм, а также потребностью выделения оценивающей составляющей в процессе системного контролирования, которым должны соответствовать главные виды контрольной деятельности, определяющие основу внутреннего системного контроля

5. Формирование принципов, целей и методов контроля зависят от государственного и общественного строя, соответствующей ему правовой системы, уровня развития демократии, гумманизации общества, уровня научно-технического прогресса, а так же функций и целей контролируемой деятельности.

3. Виды контрольной деятельности, формирующие систему контроля в организации

Рассмотрение и обоснование видов контрольной деятельности является важным условием рациональной организации контрольной деятельности на уровне любого экономического субъекта.

В научной и учебной литературе имеются различные классификации видов внутреннего контроля, при этом критерии и признаки, взятые авторами за основу классификаций, обуславливаются личным пониманием дефиниции контроль и характеризуются описательным подходом, а так же стремлением выделить и воспроизвести все характеристики контроля.

Наиболее распространенной классификацией является подразделение контроля на предварительный, текущий и последующий[7 - 1)Кабушкин Н.И. Основы менеджмента: Учебник. Минск: БГЭУ,1996.284с., с. 752) "Бухгалтерский учет в коммерческих банках"(Усатова Л.В., Серошан М.С., Арская Е.В.)("Дашков и К",2006)].

Эта классификация, по мнению автора, характеризует соотношение времени совершения операции и времени осуществления контрольных действий в технологическом процессе. Следует отметить, что при таком подходе к классификации виды не отражают главную характеристику деятельности – целевую направленностью. Критерием классификации является момента проверки. Последовательность видов контроля воспроизводит протяженность контрольного процесса и его взаимосвязь с процессом контролируемой деятельности. При этом в характеристике видов не отражается встраивание совокупности действий процесса контроля в виде контрольных методов, адекватных контролируемому объекту в технологический процесс, что на наш взгляд, является одной из главных задач современного подхода к контрою, обеспечивающей его непрерывность и автоматизм. Исходя из этого, подразделение на предварительный, текущий и последующий контроль следует рассматривать как внутреннюю характеристику технологии контрольной деятельности, а не ее виды. Кроме того, характеристика контрольного процесса как предварительный, текущий и последующий является не достаточно четкой с точки зрения выражения сущности и практической значимости и целевой направленности проведения контрольного процесса. По мнению автора, более четкая характеристика контрольного процесса, отражающая целевую сущность его назначения, выражается определениями: превентивный, оперативный, выявляющий контроли.

Изучение различных подходов к определению видов контроля в научной и учебной литературы позволило выявить широкий спектр различных классификационных признаков без обоснования полезности их практического применения и роли в системе внутреннего контроля.

При классификации контроля наиболее часто используются такие признаки, как время осуществления контроля, субъект проведения контроля, источники информации, объем контрольных действий, методы контроля, методические приемы, стадии проведения контроля, характер контрольных мероприятий, периодичность проведения контроля, полнота охвата объекта контроля, время осуществления контроля, объект контролирования, значимость контроля и др.

Несомненно многообразие предлагаемых в научных и учебных изданиях классификаций видов внутреннего контроля, важны для общего понимания и характеристики контрольной деятельности, так как наглядно отражают множество ее направлений, а также многогранность и специфичность составляющих ее элементов. Однако, несмотря на множественность использованных направлений и критериев предложенные различные подходы в определении видов контроля не охватывают всех особенностей контроля. Авторская позиция по ним состоит в том, что составить полную и исчерпывающую классификацию, основанную на описании различных аспектов деятельности по проведению процессов контроля и организации контрольных процессов не только невозможно, но и не имеет практического или существенного научного смысла. Кроме того, разработка излишне детализированной характеристики видов контроля является отчасти компенсацией существовавшей до настоящего времени неопределенности сущности понятий «контроль» и деятельности по осуществлению контроля. Учитывая, что предлагаемые классификации видов контроля не отражают сущности контроля, его целостности на основе типологии связей между отдельными частями и не позволяют в полной мере охарактеризовать дельность по его осуществлению. Соответственно возникает сомнение относительно использования таких классификаций и понятий при разработке базовых принципов, методологии и методики построения системы контроля. Анализ предлагаемых различными авторами классификации приводит к выводу, что перечисленные виды контроля являются по своей сути развернутой характеристикой всесторонне охватывающей и иллюстрирующей различные аспекты отдельных элементов контрольной деятельности.

Контрольная деятельность должна подразделяться на виды, формируемые по признакам, отражающим специфические особенности контролируемой деятельности, общеэкономическую роль, социальные обязательства и целевую направленность. Кроме того, к критериям выделения типа контрольной деятельности относится степень взаимосвязи ее с деятельностью организации.

Концептуальной основой выделения и разграничения видов контрольной деятельности послужили:

1. сущность дефиниций контроль и контрольная деятельность, определенная как выявление и блокировка отклонений фактического состояния от эталонного отражающего целевые задачи

2. специфика контрольной деятельности, состоящая главным образом в ее производности от управления и технологических процессов, обеспечивающих достижение функций и целей основной деятельности

3. возможность структурировать контрольную деятельность, обеспечивая ее непрерывность, комплексность, всеобъемлемость и риск-ориентированность на основе транзитивности контроля для формирования механизма системы внутреннего контроля.

В соответствии с указанными принципами для осуществления системного контроля в организации необходимо выделить контрольную деятельность в сфере управления, осуществляемую менеджерами различных уровней, проведение которой, по мнению автора, следует назвать управленческим контролем. Особенность этого вида контрольной деятельности в том, что управленческий контроль является приоритетным по отношению ко всем остальным видам контрольной деятельности и способствует выполнению организационной и регулирующей функций.

Вторым важным аспектом контрольной деятельности является проведение контроля в операционной системе банка. Управляемая деятельность внутри организации происходит в рамках двух систем. Одна – это операционная (организационная) система, построенная для достижения заданных целей, другая система – это система контроля, пронизывающая операционную (организационную) систему, и обеспечивающая ее функционирование в рамках заданных параметров для достижения целей. Совокупность приемов, методов и элементов контроля, предшествующих и сопровождающих этапы проведения операций, формирования услуг, продуктов и выполнение банковских функций составляют технологический контроль. Он состоит в общем виде, из политики, процедур, правил, инструкций, бюджетов, системы учета и отчетности и направлен, в конечном итоге, на создание необходимых предпосылок и повышение вероятности того, что организация в целом и ее менеджеры в частности достигнут поставленных целей по проведению операций, предоставлению услуг, продуктов и выполнению банковских функций.

Особенностью проведения контроля, при этом является его автоматизм, достигаемый посредством встраивания приемов и методов контроля, а также сдержек и блокировок в ходе бизнес процесса при осуществлении отдельных этапов и операций. Он состоит в определении точек контроля и встраивании адекватных им методов контроля представлены в виде четкого алгоритма их выполнения в бизнес процесс. Технологический контроль непосредственно встроен в технологию выполнения банковских работ и является их неотъемлемой частью. Осуществление такого контроля является частью функциональных обязанностей ответственных исполнителей. Контрольная деятельность, осуществляемая в составе технологических процессов банка при выполнении функций банка, может быть выделена, по мнению автора, как технологический контроль. Итак, технологический контроль это поэлементный контроль, осуществляемый оперативно для предупреждения или выявления и блокировки несоответствий элементов технологического процесса и составляющих его операций и объектов установленным для них эталонам на основе контрольных методов и приемов, встроенных в процесс и сопровождающих формирование продукта, услуги или операции. Для обеспечения эффективного проведения процесса, сохранности активов, соблюдения законодательных норм и внутрибанковских регламентов.

Третьим аспектом, который, по мнению автора, необходимо выделить, в связи со спецификой целевой направленности, не связанной с целями деятельности организации, и обособленностью от сферы управления и операционной системы, является контроль, выполняемый ответственными исполнителями и специалистами, в связи с необходимостью обеспечить отдельные направления социально-экономической безопасности общества и государства. Например, валютный контроль, контроль в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, контроль в сфере совершения расчетных операций и др. Деятельность, определенную для банка законодательными и нормативными актами, по осуществлению контроля обеспечивающего отдельные направления социально-экономической безопасность общества и государства, по мнению автора, можно назвать агентским контролем. Специфика агентского контроля состоит в том, что он может выделяться структурно и осуществляться в банке специалистами только по проведению процесса контроля, но может выполняться и ответственными исполнителями в качестве некоторых контрольных процедур при осуществлении определенных функциональных обязанностей и операций банка. Кроме того, его организация также входит в сферу ответственности менеджмента, хотя и не является его функциональной обязанностью, т. е. также проявляется как свойство транзитивности управленческого контроля. Этот вид контрольной деятельности осуществляется по вмененной обязанности внешними органами надзора, поэтому на законодательно-нормативном уровне должны быть определены и конкретизированы его задачи и эталоны для его проведения и предусмотрена ответственность за невыполнение контроля.

Управленческий, технологический и агентский контроль связаны непосредственно с деятельностью организации, но необходим и внутренний аудит, осуществляемый как контроль над контролем. Выстроенная и организованная контрольная деятельность по всем направлениям нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Эту роль выполняет внутренний аудит, осуществляя оценочный контроль. Характерная особенность аудита в том, что для выявления отклонений в деятельности или в организации контроля принципиально проводятся те же контрольные этапы, однако при этом осуществляется не только диагностика любого процесса, его элемента или объекта, риска, качества управления, но этот контроль проводится для оценки организации контролей всех типов. Осуществление внутреннего аудита предполагает контроль не над исполнителями, а проведение контроля над рабочим процессом для выявления недостатков существующих процессов, правил и процедур. Аудит, проводя диагностический контроль, оценивает все необходимые типы контролей в банке и обеспечивает обратную связь между деятельностью по управлению и контрольной деятельностью в рамках кредитной организации.

Концептуальный замысел состоит в том что, не смотря на производность контрольной деятельностью от управления и их очень тесную связь, контроль в силу присущих ему многообразных функций и задач, обладает многогранностью взаимодействия со всеми видами деятельности в банке при этом его специфичность в том, что он должен функционировать как самостоятельная система, объединяющая все виды контрольной деятельности, обеспечивая условия соблюдения установленных эталонов, норм и правил объектами в процессе достижения стратегических и тактических целей организации, что позволяет создать условия внутренней и внешней безопасности, устойчивости и эффективности управленческих функций.

Таким образом, основными видами контрольной деятельности формирующими систему внутреннего контроля являются: управленческий, технологический, агентский контроль и внутренний аудит.

Их взаимообусловленность и место в организации определяется на основе транзитивности, предполагающей структурное построение управленческий контроль – технологический контроль – агентский контроль и аудит, как элемент, оценивающий эффективность видовых аспектов контрольной деятельности и обеспечивающий обратную связь контроля и управления. Переход от одного типа к другому, в общем, характеризуется как снижение значимости формализованных элементов контроля и повышением самоорганизующихся начал контроля. При этом степень дисциплинированности и профессионального отбора исполнителей является прерогативой управленческого контроля и проявляется как свойство транзитивности отдельных видов контрольной деятельности. Логика транзитивности состоит в том, что если причиной нарушений в системе окажутся определенные условия проведения контроля, то это неизбежно скажется на остальных системах и будет нелегко сдержать эти нарушения. Важно определить последовательность построения видов контрольной деятельности на основе определенного порядка их взаимодействия в системе и влияния, неизбежно оказываемого на структурном уровне, при этом следует исходить из того, что:

• управленческий контроль – это контроль достижения целей

• технологический контроль – это контроль над элементами процесса достижения целей

• агентский контроль – это контроль над отдельными операциями деятельности других организаций не связанный с целями деятельности контролирующей организации, а выполняемый в соответствии с возложенными на нее внешними органами задачами контроля

• внутренний аудит – это контроль, выполняемый силами организации, в целях оценки функционирования всех видов контрольной деятельностти (управленческого, технологический, агентский) обеспечивающих достижение внутренних целей организации и возложенных на нее внешними органами контрольных функций.

На основании определений понятий «деятельность» и «контроль» можно выделить основные, по мнению автора, элементы деятельности по осуществлению контроля:

1) субъект, инициирующий контроль

2) цель проведения контроля