Цель этой статьи состоит в том, чтобы обсудить различные вопросы внутреннего контроля, сделав особый упор на темы пункта I6 программы курса «Введение в финансы и управление бизнесом». Нас, в частности, будут особенно интересовать следующие темы учебного плана:
a) Объяснить внутренний контроль и внутреннюю проверку.
b) Объяснять внутреннего финансового контроля в организации.
c) Описать обязанности руководства по внутреннему финансовому контролю.
Кроме того, в статье мы обсудим роль внутреннего аудита и проверок, проводимых в рамках внутреннего аудита, что охватывается темами I2 e) и f) учебного плана.
Доклад Tернбулла, впервые опубликованный в 1999 году, определил внутренний контроль и сферу его действия следующим образом:
«Политики, процедуры, задачи, поведенческие и прочие аспекты деятельности организации, которые в совокупности:
Объяснение Тернбулла подчеркивает положительную роль, которую внутренний контроль призван играть в организации. Способствовать эффективному функционированию – это способствовать улучшению; и, если внедрить их правильно, то процессы внутреннего контроля несут пользу организации тем, что сравнивают вероятные сценарии с изначальными планами и предлагают способы избежать негативного развития событий.
В то же время Тернбулл признаёт, что идеальной системы внутреннего контроля не существует. Поскольку любая организация работает в динамичной среде, некоторые риски из значительных будут эволюционировать в несущественные, а некоторые из новых возникающих рисков может быть сложно или вообще невозможно предвидеть. Поэтому целью любой системы внутреннего контроля должна быть разумная уверенность в том, что организация всё-таки сможет достигать своих целей.
Внутренний контроль должен выполнять следующие задачи:
Обеспечение эффективности ведения бизнеса:
В организации должны быть внедрены инструменты контроля, которые могли бы обеспечивать бесперебойную работу её процессов и операций. В совокупности такие инструменты должны снизить риск неэффективной деятельности и свести к минимуму опасность того, что организация не сможет достичь своих целей.
Обеспечение сохранности активов:
Используемые организацией инструменты контроля также должны гарантировать, что её активы используются для надлежащих целей и не подвержены риску воровства или использования не по назначению. Такие инструменты контроля нужно применять равным образом как к материальным, так и к нематериальным активам организации.
Предотвращение и выявление мошенничества и других незаконных действий:
Такие правонарушения могут случаться даже в небольших организациях с простыми организационными структурами, а по мере того, как размер и сложность организации увеличиваются, разнообразие мошеннических практик только растёт. Очевидно, что механизмы контроля должны соответствовать этим вызовам.
Обеспечение полноты и правильности учётной информации:
Организация не в состоянии готовить достоверную финансовую информацию, если ненадёжны её системы первичного учёта. Эти системы должны фиксировать первичные операции так, чтобы все их необходимые характеристики были отражены в финансовой отчётности должным образом.
Обеспечение своевременности подготовки финансовой отчётности:
Своевременная сдача достоверной отчётности – это одна из юридических обязанностей любой организации. Вдобавок, многие организации также должны готовить отдельную отчётность для акционеров. Внутренний контроль необходим и для процессов управленческого учёта, без которых невозможно стратегическое планирование, принятие управленческих решений и мониторинг параметров деятельности организации.
Ответственность за внутренний контроль
Во многих небольших организациях – таких как индивидуальные предприниматели или товарищества без ограничения ответственности – ответственность за внутренний контроль находится в руках самих собственников. Небольшой размер этих организаций, как правило, способствует полной вовлечённости собственников в бизнес, и, даже при наличии наёмных сотрудников собственники всё равно хорошо осведомлены о текущих бизнес-операциях и о состоянии бизнеса в целом.
Необходимость в дополнительных механизмах внутреннего контроля растёт по мере роста организации, который влечёт за собой всё более усиливающуюся специализацию. В этих условиях уследить за тем, что и где происходит в бизнесе, становится всё менее реалистичным.
В компаниях с ограниченной ответственностью за создание и функционирование адекватной системы внутреннего контроля отвечает совет директоров. Директора являются по сути агентами акционеров и, действуя в интересах акционеров, несут перед ними ответственность. Поэтому в определённых случаях директора могут посчитать необходимым создать специализированное функциональное подразделение внутри организации, отвечающее за внутренний контроль. Решение о создании такого подразделения будет зависеть от того, насколько ожидаемые в результате выгоды превысят соответствующие затраты.
Директора должны уделить должное внимание среде контроля. Для того, чтобы внутренний контроль достигал своих целей нужна соответствующая культура, которая позволит механизмам контроля надёжно укорениться по всей организации.
Механизмы контроля можно классифицировать по множеству оснований. На схеме ниже приведены пять наиболее часто используемых категорий.
Механизмы внутреннего контроля могут быть:
Обязательными или добровольными:
Обязательные механизмы контроля – это те, которым необходимо следовать вне зависимости от обстоятельств. Как правило, они касаются предотвращения случаев нарушения закона или политик организации, а также минимизации угроз жизни и здоровью. Добровольные же механизмы контроля применяются в зависимости от суждения организации или её менеджеров.
Применяемыми по усмотрению или применяемыми всегда:
В некоторых случаях менеджерам может быть предоставлена возможность выбора – применять ли конкретный механизм контроля – в зависимости от субъективной оценки риска. Если такого права у менеджера нет, то контрольный механизм должен применяться всегда.
Ручными или автоматизированными:
Ручные механизмы контроля применяются конкретными сотрудниками, а автоматизированные заранее запрограммированы в системах организации. Некоторые системы сочетают оба вида. Например, при вынесении решения о возможности отсрочки платежа система может предлагать менеджеру по продажам такие варианты: автоматическое «отклонить» для покупателей с низким кредитным рейтингом, автоматическое «предоставить» для покупателей с высоким кредитным рейтингом, и дать менеджеру сделать выбор самостоятельно, если кредитный рейтинг покупателя средний.
Общими или прикладными:
Эта классификация механизмов контроля относится только к информационным системам. Общие механизмы контроля обеспечивают надёжность данных, которые генерируют системы, и помогают добиться того, чтобы они в целом работали в соответствии с их предназначением. Прикладные – это автоматические механизмы контроля, встроенные в информационные системы и предназначенные обеспечить полную и правильную фиксацию данных от момента ввода до вывода.
Физические инструменты контроля:
К таким контрольным инструментам относятся способы ограничения доступа в здания, конкретные офисы или к фабричному оборудованию: турникеты на входе, карты доступа или пароли. Прикрутить оборудование к полу чтобы сделать невозможным его вынос – это тоже из разряда физических инструментов контроля.
Доверенности и лимиты на авторизацию:
Большинство сотрудников имеют суммовые ограничения при принятии решений. Например, младший менеджер при организации собственной командировки не может самостоятельно приобретать авиабилеты стоимостью свыше $500, и при необходимости превысить этот порог должен получить одобрение более старшего менеджера.
Разделение полномочий:
Чтобы снизить риск ошибок и мошенничества, обязанности, связанные с денежной наличностью, часто разделены. Например, если бизнес-процесс компании предусматривает получение наличных денег по почте, то вскрытие конвертов в почтовой комнате и запись прихода будут осуществляться разными сотрудниками.
Разделение полномочий уместно и в других областях бизнеса. Например, должности председателя совета директоров и главного исполнительного директора занимают разные люди. Подразделение внутреннего аудита должно быть полностью отделено от финансового департамента с прямым подчинением либо совету директоров, либо комитету по аудиту.
Управленческие инструменты контроля:
Это инструменты, которые находятся в руках менеджеров. Например – анализ отклонений, с помощью которого менеджер, исполняя свои непосредственные должностные обязанности, определяет причины различий между планом и фактом. Управление результатами деятельности подчинённых – это тоже неотъемлемая часть многих управленческих должностей.
Если двигаться ниже по вертикали управления, то на уровне ежедневных операций регулярно выполняются управленческие процедуры надзора. Механизмы контроля, в целом заложенные в организационную структуру компании и её линии соподчинения, называют организационными процедурами контроля.
Арифметические и учётные инструменты контроля:
Сюда относятся такие контрольные процедуры, как различного рода сверки и оборотно-сальдовые ведомости. Их задача – удостовериться в том, что транзакции записаны и учтены с должной достоверностью.
Процедуры контроля, связанные с управлением персоналом:
Все аспекты управления персоналом пронизаны процедурами контроля. Это и проверка квалификации претендентов, и верификация рекомендаций, и проверка потенциальных сотрудников на предмет криминального прошлого или профессиональная переаттестация уже работающих сотрудников.
Внутренняя проверка – это такая система организации бухгалтерских процедур в организации, в результате которой ни одна бухгалтерская операция не находится под полным и независимым контролем какого-либо одного лица. Обязанности одного сотрудника должны таким образом дополнять обязанности другого, чтобы, по сути, осуществлять непрерывный аудит бизнес-операций.
Необходимые элементы внутренней проверки такие:
• проверке подвергаются ежедневные операции,
• проверки осуществляются постоянно как часть системы,
• работа одного сотрудника является смежной для работы другого.
Если распределить обязанности между сотрудниками таким образом, то никто по отдельности не получает полного контроля над какой-либо операцией.
Определение и цель внутреннего аудита
Внутренний аудит можно определить как независимое структурное подразделение, созданное внутри организации с целью проверки и оценки её деятельности. Внутренний аудит позволяет руководству компании более эффективно исполнять свои функции. То есть внутренний аудит снабжает руководство анализом, оценками, рекомендациями, советами и в целом информацией об изученных им областях и процессах организации.
Формальный список задач внутреннего аудита может включать все или несколько пунктов из следующего списка:
Важность внутреннего аудита была отмечена ещё в докладе Тернбулла. В нём указано, что те публичные компании, в которых по каким-либо причинам нет специального подразделения внутреннего аудита, должны как минимум раз в год рассматривать вопрос о необходимости его создания. Одновременно с этим те публичные компании, в которых подразделения внутреннего аудита уже есть, должны не реже раза в год обращаться к вопросу о его полномочиях, сфере применения и обеспеченности ресурсами.
Согласно докладу Тенрбулла потребность в отдельном подразделении внутреннего аудита зависит от ряда факторов:
Внутренний аудит – это внутренняя, но независимая оценочная функция. Хотя сотрудники службы внутреннего аудита и являются, как правило, сотрудниками компании, они должны работать независимо от руководства, чтобы их анализ, суждения и рекомендации оставались как можно более беспристрастными. Глава подразделения внутреннего аудита должен подчиняться напрямую либо совету директоров, либо комитету по аудиту. Некоторые организации заходят настолько далеко, что передают функционал внутреннего аудита внешним профессиональным фирмам.
Внутренняя аудиторская проверка – это оценка системы внутреннего контроля, и, по сути, сама по себе является инструментом управленческого контроля, позволяющая оценить соответствие внутреннего контроля заданным стандартам.
Ключевые риски:
Внутренний аудит проверяет и оценивает состояние системы внутреннего контроля в зависимости от ключевых рисков, затрагивающих организацию. Цель заключается в том, чтобы проверить, насколько имеющиеся инструменты контроля позволят нивелировать риск, если он материализуется. Заключения и рекомендации соответствующих отчётов внутреннего аудита должны помочь руководству критически оценить имеющиеся инструменты контроля и, если нужно, пересмотреть их дизайн.
Финансовая и операционная информация:
Внутренний аудит может проверить эту информацию на предмет её правильности, своевременности и применимости. Специальное тестирование позволяет оценить, насколько информация правильно отражает то, что она должна отражать, и насколько она подходит в качестве основы для принятия решений руководством и прочими заинтересованными сторонами.
Соответствие законодательству и прочим нормам:
В настоящее время всё больше организаций сталкиваются с необходимостью внедрения стандартов соответствия законодательству и иным нормам. Это может быть продиктовано необходимостью соответствовать как требованию закона, так и другим, зачастую внутренним, стандартам. Внутренний аудит помогает оценить, насколько такое соответствие действительно имеет место. В этом отношении фронт работ внутреннего аудита только расширяется по мере того, как организациям приходится соответствовать не только профессиональным или отраслевым стандартам, но и стандартам в области охраны окружающей среды.
В ходе исполнения своих обязанностей внутренние аудиторы могут столкнуться с необходимостью проводить разные виды аудита.
Операционный аудит – это проверка эффективности организационных процессов. Это оценка реальной деятельности компании по сравнению с заранее заданными параметрами.
Системный аудит проверяет, насколько правильной является информация, получаемая из информационных систем организации. Тесты на соответствие проверяют, насколько правильно применяются механизмы контроля. Тесты по существу призваны убедиться в правильности сумм, и их можно использовать для того, чтобы найти в системах ошибки и упущения.
Аудит транзакций или антикоррупционный аудит призван выявить мошенничество или другие незаконные или преступные действия. Однако его сферу можно расширить, включив проверку на непредвзятость, прозрачность и справедливость принимаемых организацией решений – тех областей, которые часто относят к социальному аудиту, который в целом может включать в себя любые аспекты корпоративного управления.