PKF
English
Русский
Член PKF International Ltd
Версия для печати

Публикации по аудиту

Анализ требований к системе внутреннего контроля

В последние годы во многих странах началась разработка нового законодательства, стандартов, кодексов и руководств, которые бы помогали организациям улучшить их систему корпоративного управления. Все эти стандарты и руководства основаны на общем принципе, который заключается в том, что хорошее управление требует действенной системы внутреннего контроля. Надежная система внутреннего контроля способствует сохранности инвестиций акционеров и активов компании, а также играет важную роль в управлении рисками.

 

Акционеры компаний возлагают функции корпоративного управления на руководство компаний, которое должно заниматься управлением рисками, с которыми сталкивается компания, и создавать средства контроля, чтобы устранить или смягчить эти риски. Это включает риски, связанные с основной деятельностью, а также риски, связанные с соблюдением законодательства, и риски, связанные с составлением отчетности.

 

Основными документами, регламентирующими вопросы, связанные с корпоративным управлением, внутренним контролем, управлением рисками, включают:

        Интегрированная схема внутреннего контроля COSO / Internal Control – Integrated Framework (США);

        Указания по внутреннему контролю / Internal Control: Guidance for Directors on the Combined Code (Великобритания);

        Закон Сарбейнса-Оксли / Sarbanes-Oxley Act (США);

        Управление рискамиИнтегрированная схема / COSO Enterprise Risk Management—Integrated Framework (США)

 

Помимо этих документов был разработан целый ряд документов, освещающих вопросы, связанные с системой внутреннего контроля и корпоративного управления. Эти документы включают:

        Стандарты PCAOB / PCAOB Standards;

        Цели контроля в сфере информационных технологий (COBIT);

        Корпоративное управление: Правильный баланс / Enterprise Governance: Getting the Balance Right

 

Схема COSO – США

В 1992 году COSO дал следующее определение внутреннего контроля:

…процесс, осуществляемый советом директоров, руководством и другими сотрудниками, цель которого – дать разумную уверенность в отношении достижения целей по следующим категориям:

        Действенность и эффективность деятельности;

        Надежность финансовой отчетности;

        Соблюдение применимых законов и нормативных требований

 

Согласно схеме COSO внутренний контроль состоит из пяти взаимосвязанных компонентов. Они применимы к организациям различного масштаба, хотя к небольшим компаниям применяются менее жесткие и менее формальные требования. Компоненты системы внутреннего контроля включают следующее:

 

        Контрольная среда – Представляет собой основу для всех других компонентов внутреннего контроля, включает честность, этические ценности, компетентность кадров, организационную структуру, распределение полномочий и ответственности;

        Оценка риска – Включает выявление и анализ соответствующих рисков, внутренних и внешних, препятствующих достижению целей организации, формирует основу для определения того, как следует управлять этими рисками;

        Средства контроля – Гарантируют, что в ответ на выявленные риски организация предпринимает необходимые действия;

        Информация и коммуникация (информационная система) — Обеспечивает выявление, сбор и передачу внутренней и внешней информации в такой форме и в такие сроки, чтобы сотрудники могли выполнять свои обязанности;

        Мониторинг – Включает проведение постоянного или периодического мониторинга и оценки качества системы внутреннего контроля, что необходимо для ее действенного функционирования

 

В схеме COSO отмечается, что внутренний контроль является наиболее действенным, когда средства контроля встроены в инфраструктуру организации и являются частью самой организации. Это позволяет избежать неоправданных затрат и быстро реагировать на изменение условий и среды деятельности.

 

Кроме того, в 2006 году COSO выпустил «Указания для небольших публичных компаний», которые направлены на то, чтобы помочь руководству компаний создать действенную систему внутреннего контроля и проводить ее оценку. В этом документе содержатся также примеры того, каким образом все принципы Схемы COSO могут быть реализованы в небольших компаниях наиболее действенным и экономичным образом.

 

Turnbull – Великобритания

Соответствующие указания были разработаны Институтом дипломированных бухгалтеров Англии и Уэльса (ICAEW) по запросу Лондонской фондовой биржи, чтобы дать рекомендации директорам компаний, акции которых котируются на бирже, по внедрению требований, касающихся внутреннего контроля. Эта схема рассматривает внутренний контроль как систему, включающую политику, процессы, задачи, поведение и другие аспекты компании, которые:

        Способствуют эффективному функционированию, позволяют надлежащим образом реагировать на значительные риски в бизнесе, основной деятельности, финансах, соблюдении требований и пр., которые угрожают достижению целей компании;

        Гарантируют качество внутренней и внешней отчетности;

        Гарантируют соблюдение применимых законов и нормативных требований, а также внутренней политики в отношении ведения бизнеса

 

При этом рекомендуется следовать принципо-ориентированному подходу, при котором внутренний контроль встраивается в бизнес процессы организации. Создание действенной системы внутреннего контроля – это не разовое мероприятие. Никакая система не останется действенной, если она не развивается с учетом новых рисков, изменений на рынке и в деятельности самой компании. Внутренний контроль должен быть частью обычных процессов управления и не должен рассматриваться как отдельное мероприятие для выполнения нормативных требований. 

 

Ответственность за управление рисками возлагается на совет директоров, при этом отмечается роль руководства в реализации политики совета директоров в отношении внутреннего контроля, а также то, что все сотрудники несут ответственность за внутренний контроль в рамках своей подотчетности за достижение поставленных целей.

 

Закон Сарбейнса-Оксли – США

После скандалов, связанных с финансовой отчетностью, в США в 2002 году был принят Закон Сарбейнса-Оксли (Sarbanes-Oxley Act), являющийся частью законодательства США о ценных бумагах. Одной из основных целей этого закона было восстановление доверия общества к корпоративной отчетности.

 

Данный закон направлен на реформирование учета, корпоративного управления и финансовой отчетности в публичных компаниях (Public Company Accounting Reform and Investor Protection Act), чтобы акционеры, руководство, директора, регулирующие органы, кредиторы, инвесторы и рынок в целом были уверены в достоверности публикуемой финансовой отчетности. 

 

Наиболее сложным аспектом Закона Сарбейнса-Оксли являются требования к системе внутреннего контроля компании (раздел 404 Закона «Оценка руководством системы внутреннего контроля»). Раздел 404 Закона требует, чтобы руководство компании проводило оценку системы внутреннего контроля компании и составляло отчет о состоянии внутреннего контроля, который должен включать:

        Заявление об ответственности руководства за создание и поддержание адекватной структуры и процедур внутреннего контроля в отношении финансовой отчетности;

        Оценку на конец года действенности структуры и процедур внутреннего контроля в отношении финансовой отчетности

 

Для соблюдения требований руководство компаний обязано создать всестороннюю систему внутреннего контроля, документировать ее, регулярно проводить ее оценку и составлять соответствующие отчеты. При этом Закон Сарбейнса-Оксли требует, чтобы независимые аудиторы проводили аудит внутреннего контроля компании. Другими словами, независимые аудиторы должны дать акционерам и общественности в целом основание полагаться на описание руководством компании внутреннего контроля в отношении финансовой отчетности.

 

Закон Сарбейнса-Оксли применяется ко всем компаниям во всем мире, если они зарегистрированы Комиссией по ценным бумагам и биржам (SEC), и соблюдение его требований требует значительных затрат времени и денег. Органом, на который возложена защита интересов инвесторов, выступает некоммерческая организация Совет по надзору за учетом в публичных компаниях США или PCAOB (Public Company Accounting Oversight Board), которая учреждена в соответствии с законом Сарбейнса-Оксли.

 

Управление рисками – США

В 2004 году после длительной разработки COSO в дополнение к схеме внутреннего контроля 1992 года разработал указания по управлению рисками (Enterprise Risk Management (ERM)).

 

Эта схема рассматривает управление рисками как процесс, касающийся как внешних, так и внутренних рисков, относящихся к определению стратегии по достижению целей. Она также считает внутренний контроль частью этого процесса, в рамках которого структура и процедуры внутреннего контроля являются инструментами в достижении поставленных целей. Схема дает следующее определение управления рисками:

 

Управление рисками предприятия – это процесс, осуществляемый советом директоров, руководством и другими сотрудниками в рамках определения стратегии в масштабах всего предприятия, целью которого является выявление потенциальных событий, которые могут затрагивать предприятие, и управление рисками с целью получения уверенности в достижении целей организации.

 

Ключевым моментом здесь является то, что представители собственника должны использовать риско-ориентированный подход к внутреннему контролю и внутренней оценке его действенности. COSO ERM предполагает, что этот подход должен быть присущ всему процессу корпоративного управления и должен охватывать все аспекты внутреннего контроля, а не только те, которые связаны с финансовой отчетностью.

 

Стандарты PCAOB

Совет по надзору за учетом в публичных компаниях - Public Company Accounting Oversight Board (PCAOB) является некоммерческой организацией, учрежденной в США в соответствии с законом Сарбейнса-Оксли (Sarbanes-Oxley Act) с целью защиты интересов инвесторов при подготовке независимых аудиторских заключений.

 

Усилия PCAOB направлены на обеспечение достоверности финансовой отчетности компаний, чтобы на информацию, приведенную в этой финансовой отчетности, могли полагаться акционеры, руководство, директора, регулирующие органы, кредиторы, инвесторы и рынок в целом.

 

Стандарты аудиторской деятельности, вытекающие из Закона Сарбейнса-Оксли, требуют, чтобы аудитор представлял в аудиторском заключении и в отдельном отчете:

        Результаты тестирования внутреннего контроля;

        Оценку того, обеспечивает ли внутренний контроль ведение учета, достаточно точно и достоверно отражающего деятельность компании; гарантирует ли он, что в учете отражаются операции, необходимые для составления финансовой отчетности в соответствии с общепринятыми принципами учета, и все операции санкционируются руководством и директорами; и

        Описание существенных слабых мест во внутреннем контроле и прочих существенных фактов, выявленных в результате тестирования

 

Таким образом, Закон Сарбейнса-Оксли и требования PCAOB влекут за собой увеличение объема работы для самих компаний и их аудиторов, а соответственно, и значительное увеличение затрат. Совет по надзору за учетом в публичных компаниях осознает, что это беспрецедентное повышение требований к аудиторским компаниям. Однако, он считает, что такое повышение требований к точности, надежности и достоверности финансовой отчетности обеспечит основу для восстановления и укрепления доверия к финансовым рынкам.

 

Цели контроля в сфере информационных технологий (CObIT)

Применение информационных технологий стало основой стратегии и бизнес процессов во многих компаниях. В качестве основы для разработки и управления внутренним контролем в сфере информационных технологий в 1996 году был разработан документ, Цели контроля в сфере информационных технологий (CObIT), который постоянно обновляется и дополняется с учетом изменений.

 

CObIT основан на анализе и гармонизации существующих стандартов в области информационных технологий (IT) и наилучшей практики. Он соответствует общепринятым принципам корпоративного управления, руководствуется потребностями бизнеса и охватывает весь спектр вопросов, связанных с информационными технологиями. Круг основных пользователей включает:

        Высшее руководство – для обеспечения отдачи от инвестиций в IT, сбалансирования рисков и инвестиций в систему контроля;

        Руководители IT служб – для оказания IT услуг, которые необходимы компании для выполнения бизнес стратегии;

        Аудиторы, а также специалисты по аудиту и контролю информационных систем – для обоснования своих заключений и/или выдачи рекомендаций руководству по вопросам внутреннего контроля

 

Схема CObIT дает полную картину того, как следует контролировать, управлять и измерять каждый из IT процессов. Описание каждого процесса включает четыре раздела:

        В разделе 1 содержится описание процесса с указанием его целей;

        В разделе 2 детально описываются цели контроля по данному процессу;

        В разделе 3 указываются ресурсы и результаты, стороны, участвующие в данном процессе, цели и показатели;

        В разделе 4 содержится модель зрелости по данному процессу

 

Применение схемы CObIT помогает организациям повысить отдачу от информационных технологий, обеспечивает привязку информационных технологий к основной деятельности, способствует постоянному совершенствованию процессов управления информационными технологиями и связанными с ними рисками.

 

IFAC – Корпоративное управление

В 2004 году Международная федерация бухгалтеров (IFAC), совместно с Институтом управленческого учета (Chartered Institute of Management Accountants (CIMA)), опубликовала отчет «Корпоративное управление – Правильный баланс» (Enterprise Governance – Getting the Balance Right).

 

Совместный отчет IFAC/CIMA подчеркивает важность управления рисками (ERM), считая, что управление рисками необходимо для того, чтобы сбалансировать потребности совета директоров и внешних пользователей и обеспечить основу для принятия решений на всех уровнях. При этом основная цель корпоративного управления и внутреннего контроля – не составление отчетности о том, что происходит в организации, а улучшение результатов деятельности организации.

 

Международная федерация бухгалтеров согласилась с выводами Федерации европейских бухгалтеров (FEE) о том, что в Европе не следует принимать аналог закона Сарбейнса-Оксли. Она подчеркнула, что не следует переоценивать роль отчетности по управлению рисками и внутреннему контролю. При этом остается открытым вопрос о наилучшей модели для корпоративной отчетности по управлению рисками и внутреннему контролю. Также IFAC подчеркнула, что корпоративное управление, управление рисками и внутренний контроль важны для всех организаций любого масштаба (от малого бизнеса до крупных котирующихся организаций).

 

* * *

 

Важно отметить, что за последнее время практические все разработки по внутреннему контролю следовали подходу, основанному на общих принципах. Предложения по введению законодательных требований, аналогичных тем, которые были введены в США в 2002 году, уже не выдвигались. Многие считают, что в случае введения законодательных требований, аналогичных требованиям закона Сарбейнса-Оксли, компании могут рассматривать внутренний контроль просто как соблюдение установленных требований, а не как неотъемлемую часть деятельности организации.

 

Схемы внутреннего контроля, такие как COSO (США) и Turnbull (Великобритания), используют гораздо более широкий подход к внутреннему контролю, чем закон Сарбейнса-Оксли, в плане рамок, целей и подходов. Они следуют риско-ориентированному подходу и требуют введения всех средств контроля по всем сферам деятельности компании, а не только тех средств контроля, которые непосредственно связаны с составлением финансовой отчетности.

 

Существенной характеристикой всех этих схем является то, что внутренний контроль считается неотъемлемым видом деятельности компании, а не чем-то изолированным. Такой подход признает необходимость разработки систем внутреннего контроля с учетом конкретных обстоятельств, характерных для каждой конкретной организации. При этом отмечается, что внутренний контроль должен быть неотъемлемой частью организации, должен быть встроен в систему корпоративного управления и управления рисками, все сотрудники должны быть проинформированы о своих ролях и должны ответственно относиться к своим обязанностям, связанным с функционированием системы внутреннего контроля.

 

В России в настоящее время начинается процесс выработки требований к системам корпоративного управления и внутреннего контроля. Крупные компании, компании, имеющие выход на международные рынки капитала, уже сформировали эти системы и занимаются их мониторингом и усовершенствованием с учетом меняющихся условий и предъявляемых требований. Компании, рассматривающие вопрос о проведении IPO, в качестве одной из стадий подготовки к IPO обязаны создать надежную систему внутреннего контроля и проводить регулярный мониторинг этой системы.

Кроме того, многие серьезные как зарубежные, так и российские инвесторы в последнее время стали уделять большое внимание вопросам внутреннего контроля в тех компаниях, в которые они вкладывают свои средства. Чтобы убедиться в сохранности инвестиций и адекватности отдачи от инвестиций, они требуют от руководства компаний формализации системы внутреннего контроля, а от аудиторов – отчета о состоянии системы внутреннего контроля.

 

На российском рынке услуги, связанные с постановкой и усовершенствованием систем корпоративного управления и внутреннего контроля, предлагают, в основном, компании «большой четверки» и крупные российские компании, входящие в международные сети. Эти компании используют богатый зарубежный опыт, включая последние разработки в этой области, и адаптируют его с учетом российских условий.