Одной из функций управления субъекта хозяйствования является внутренний контроль, субъекты которого:
Осуществляют сравнение плановых и фактических значений параметров;
Проводят аналогию с внешней экономико-правовой средой;
Выявляют отклонения в параметрах;
Дают оценку опасности размера отклонений для субъекта хозяйствования;
Выявляют факторы, вызвавшие отклонения, определяют степень их влияния;
Проводят подготовку информационной базы для принятия управленческих решений.
Внутренний контроль - это процесс, разработанный и осуществляемый лицами, наделенными руководящими полномочиями, руководством и прочим персоналом для достижения разумной уверенности в реализации целей организации в области достоверности финансовой отчетности, эффективности деятельности и соблюдения требований регулирующих документов.
Являясь функцией управления, внутренний контроль выполняет такие задачи:
Дает информацию о процессах, происходящих у субъекта хозяйствования;
Помогает принимать наиболее целесообразные решения по общим и специальным вопросам развития предприятия;
Предоставляет возможность судить о правильности принятых решений, своевременности и результативности их выполнения;
Способствует своевременному обнаружению и устранению условий и факторов, которые не оказывают содействия эффективному ведению производства и достижению поставленной цели;
Позволяет скорректировать деятельность субъекта хозяйствования или отдельных его производственных подразделений;
Дает возможность установить, какие именно службы и подразделения предприятия, а также направления его деятельности оказывают содействие достижению поставленной цели и повышению результативности деятельности предприятия.
В акционерном обществе может создаваться совет акционерного общества (наблюдательный совет), который осуществляет контроль за деятельностью его исполнительного органа. Уставом акционерного общества или по решению общего собрания акционеров на совет акционерного общества (наблюдательный совет) могут быть возложены отдельные функции, которые относятся к компетенции общего собрания. Члены совета акционерного общества (наблюдательного совета) не могут быть членами исполнительного органа. В случае возникновения существенной угрозы интересам акционерного общества или выявления злоупотреблений, содеянных должностными лицами, ревизионная комиссия обязана требовать внеочередного созыва общего собрания акционеров. Члены ревизионной комиссии могут принимать участие в заседаниях правления с правом совещательного голоса.
Внутренний аудит следует рассматривать как неотъемлемую часть общей системы управления. Служба внутреннего аудита создается на предприятии для выполнения контрольных функций в зависимости от цели и задач, возложенных на внутренних аудиторов руководством предприятия. Внутренние аудиторы зависимы, подчинены вышестоящему руководству, они проводят проверки как плановые, так и внеплановые по указанию руководства. По результатам проверки составляют отчет о проведенной работе, отчитываются перед руководством, дают оценку, рекомендации, советы и информацию. Они не обязаны иметь сертификат. Это может быть специалист по бухгалтерскому учету, экономист, финансист.
ISA 315 «Понимание деятельности организации и оценка риска существенных искажений» выделяет следующие компоненты внутреннего контроля:
Контрольную среду;
Процесс оценки рисков организацией; информационную систему, включая ее элементы, связанные с подготовкой финансовой отчетности, и информирование;
Контрольную деятельность; мониторинг контроля.
Под контрольной средой понимают отношение руководства и лиц, наделенными руководящими полномочиями, к внутреннему контролю, понимание его значения для организации, их осведомленность в отношении внутреннего контроля и действия, непосредственно связанные с ним.
Процесс оценки рисков организацией - это процесс выявления и реагирования на бизнес -риски, а также результаты этих действий. Применительно к финансовой отчетности процесс оценки рисков организацией включает выявление руководством рисков, связанных с подготовкой финансовой отчетности, достоверной во всех существенных отношениях, в соответствии с применяемыми принципами и правилами, оценку их значимости и вероятности возникновения, а также принятие решений в части реагирования на эти риски.
Риски, связанные с финансовой отчетностью, обусловлены внутренними и внешними факторами, которые могут неблагоприятно повлиять на способность организации формировать, фиксировать, обрабатывать и представлять в отчетности финансовую информацию, соответствующую предпосылкам, заявленным руководством в отчетности.
По мере выявления риска руководство оценивает его степень и значимость и разрабатывает способы реагирования. Руководство может прийти к выводу о нецелесообразности реагирования на риск, например из-за несоразмерности затрат на такие мероприятия с масштабами предотвращаемого отрицательного эффекта.
Информационная система организации включает оборудование, программное обеспечение, трудовые ресурсы, определенные процедуры и данные. В части подготовки финансовой отчетности информационная система включает процедуры и документы, используемые для формирования, документирования, обработки и представления в отчетности операций и событий, а также обеспечения возможности отразить в учете связанные с ними активы, обязательства и собственный капитал.
Информационная система должна обеспечивать:
Формирование информации обо всех осуществляемых операциях;
Своевременное отражение деталей совершаемых операций, необходимых для правильной классификации операций в отчетности;
Измерение операций в денежном выражении, позволяющее представить информацию в отчетности в правильных.суммах;
Определение временного периода осуществления операций для правильного отражения информации в бухгалтерском учете;
Раскрытие информации об операциях в финансовой отчетности в соответствии с применяемыми принципами и правилами.
Мониторинг контроля - это постоянно осуществляемое руководством наблюдение за тем, чтобы внутренний контроль отвечал установленным параметрам и модифицировался в соответствии с изменяющимися обстоятельствами.
Основная цель изучения и оценки аудитором системы внутреннего контроля клиента - подготовить основу для планирования аудита и установления видов, сроков проведения и объема аудиторских процедур.
Если аудитор убеждается, что он может положиться на соответствующие средства внутреннего контроля, он получает возможность проводить аудиторские процедуры менее детально и более выборочно, а также может внести изменения в суть аудиторских процедур, которые будут применяться, и в запланированные затраты времени на их осуществление.
Аудитор должен убедиться в том, что средства контроля проверяемого экономического субъекта достигают следующих целей:
Хозяйственные операции выполняются с согласия руководства, как в целом, так и в конкретных случаях;
Все операции фиксируются в бухгалтерском учете в правильных суммах, на надлежащих балансовых счетах, в том периоде времени, в котором были осуществлены, в соответствии с принятой у клиента учетной политикой и обеспечивают возможность подготовки достоверной бухгалтерской отчетности;
Доступ к активам возможен только с разрешения соответствующего управленческого работника;
Соответствие зафиксированных в бухгалтерском учете и фактически имеющихся активов определяется руководством с установленной периодичностью, а в случае расхождений, руководством применяются надлежащие действия.
При определении эффективности системы внутреннего контроля учитывают много факторов:
1) круг работников, принимающих участие в формировании информации на предприятии, и наличие у них ответственности за порученное дело;
2) наличие упорядоченных взаимоотношений между ними по ведению дел и формированию информации;
3) наличие технических средств контроля; наличие технологии контроля;
4) контролируемые параметры.
Аудитор обязан принимать во внимание, что система внутреннего контроля не может с абсолютной уверенностью, а лишь с определенной долей вероятности подтвердить, что цели ее создания достигнуты. Причиной этого являются такие неизбежные ограничения системы внутреннего контроля:
Естественное желание руководства экономического субъекта, чтобы затраты на осуществление контрольных мероприятий были меньшими, чем те экономические выгоды, которые обуславливают применение таких мероприятий;
Большинство средств контроля ставят цель выявить нежелательные хозяйственные операции, а не те, которые являются непривычными;
Ошибки вследствие небрежности, невнимательности, неверности суждений или непонимания инструктивных материалов сотрудниками службы;
Намеренное нарушение системы контроля в результате сговора работников экономического субъекта, как с другими работниками данного экономического субъекта, так и с третьими лицами;
Нарушения системы контроля вследствие злоупотреблении со стороны представителей руководства, ответственных за функционирование данных аспектов контроля, ^
Распространена практика существенных изменении условии ведения хозяйственной деятельности или правил учета, в результате чего принятые контрольные процедуры могут перестать выполнять свои функции.
Процедура изучения и оценки системы внутреннего контроля является обязательной при проведении аудита независимо от характеристики клиента. Как правило, это осуществляется одновременно с проверкой данных бухгалтерского учета.
Имея в своем распоряжении материалы исследования, выполненного перед заключением договора, отчет предыдущего аудитора проводит изучение системы внутреннего контроля путем опроса персонала заказчика, проведения собственного наблюдения, опроса предыдущего аудитора, изучения организационно нераспорядительной и учетной документации на месте, изучения результатов ревизий и проверок всех проверяющих органов и т.п.
Аудитор использует следующие методы изучения системы внутреннего контроля:
Опрос персонала;
Наблюдение;
Запрос к предыдущему аудитору;
Ознакомление с документами управления и учета;
Изучение документов предыдущего исследования клиента,
Изучение результатов ревизий и проверок всех проверяющих органов;
Ознакомление с существующими требованиями к организации системы внутреннего контроля;
Тестирование системы внутреннего контроля.
Учитывая то, что в системе внутреннего контроля значительное место занимает система бухгалтерского учета, аудитору следует выделить вопросы по ее изучению и оценке. Знакомство с системой бухгалтерского учета включает в себя изучение, анализ и оценку свидетельств относительно следующих сторон хозяйственной деятельности проверяемого экономического субъекта:
Учетная политика и основные принципы ведения бухгалтерского учета. Аудитору следует убедиться, что избранный метод учета достоверно отображает специфику деятельности клиента;
Организационная структура подразделения, ответственного за ведение бухгалтерского учета и подготовку бухгалтерской отчетности;
Распределение обязанностей и полномочий между работниками, которые принимают участие в ведении учета и подготовке отчетности;
Организация подготовки, оборота и хранения документов, отображающих хозяйственные операции;
Порядок отображения хозяйственных операций в регистрах бухучета, формы и методы обобщения данных таких регистров;
Порядок подготовки периодической бухгалтерской отчетности на основании данных бухгалтерского учета;
Роль и место средств вычислительной техники в ведении учета и подготовке отчетности;
Критические области учета, где риск возникновения ошибок или искажений бухгалтерской отчетности особенно высокий;
Средства контроля, предусмотренные в отдельных областях системы учета.
Аудит, проводящий внешнюю аудиторскую проверку, должен проанализировать работу внутреннего аудита и оценить ее влияние на аудит. ISA 610 «Рассмотрение работы внутреннего аудита» относит термин «внутренний аудит» к оценочной деятельности, которая ведется в организации и в том числе включает оценку эффективности внутреннего контроля.
При оценке эффективности и надежности системы внутреннего контроля в целом, контрольной среды и отдельных средств контроля аудитор может использовать следующие оценки качества внутреннего контроля: «высокая», «средняя», «низкая».
Аудитор оценивает систему внутреннего контроля клиента в три этапа:
1. общее ознакомление с системой внутреннего контроля;
2. первичная оценка надежности системы внутреннего контроля;
3. подтверждение правильности оценки системы внутреннего контроля.
На стадии общего ознакомления с системой внутреннего контроля аудитору следует получить общее представление о специфике и масштабе деятельности клиента, системе его бухгалтерского учета. По итогам ознакомления аудитор должен принять решение о целесообразности опираться на систему внутреннего контроля клиента в своей работе.
Если аудитор принимает решение, что он не может полагаться на систему внутреннего контроля, то он должен планировать аудит так, чтобы аудиторское заключение не основывалось на доверии к этой системе. Это необходимо и в случаях, если надежность системы оценивается как «низкая» или, если аудитору удобнее или экономически оправданно не опираться на эту систему.
Если по итогам общего ознакомления с системой внутреннего контроля экономического субъекта аудитор принимает решение, что он может полагаться в своей работе на систему внутреннего контроля, ему следует провести первичную оценку надежности системы внутреннего контроля.
Первичная оценка надежности системы внутреннего контроля осуществляется на основе методики и приемов, которые аудиторские организации разрабатывают самостоятельно.
По итогам процедуры первичной оценки надежности аудитор может оценить надежность всей системы внутреннего контроля и отдельных средств контроля как «среднюю» или «высокую». В этом случае аудитор должен планировать аудиторские процедуры, исходя из этой оценки, но не должен доверять этой системе абсолютно.
Если по итогам процедуры первичной оценки аудитор оценит надежность системы внутреннего контроля в целом и отдельных средств контроля как «низкую», он обязан констатировать это и в дальнейшем планировать аудиторские процедуры соответствующим образом.
Аудитор, который принял по итогам процедуры первичной оценки решение о доверии системе внутреннего контроля, обязан в ходе аудиторской проверки осуществлять процедуры подтверждения достоверности этой оценки. Процедуры подтверждения достоверности оценки системы внутреннего контроля осуществляются в период проверки на основе методики и приемов, которые разрабатываются аудиторской организацией самостоятельно.
Если внешний аудитор намерен использовать работу внутренних аудиторов, целесообразно ознакомиться с планом внутреннего аудита, а также согласовать сроки выполнения процедур, уровни существенности, способы отбора совокупностей для тестирования, порядок документирования результатов выполненных процедур и другие значимые аспекты.
Характер и объем аудиторских процедур, которые должны быть выполнены внешним аудитором в отношении результатов конкретной работы внутреннего аудита, определяются в зависимости от оценки риска существенных искажений, предварительной оценки работы внутреннего аудита и оценки результатов конкретной работы. Такие процедуры могут включать повторное тестирование элементов, уже проверенных внутренними аудиторами, тестирование аналогичных элементов, а также обзорную проверку работы внутренних аудиторов.
Аудитор в разумные сроки должен уведомить лиц, наделенных руководящими полномочиями, или руководство должного уровня о выявленных им существенных недостатках структуры или функционирования внутреннего контроля.
Результаты оценки конкретной работы внутреннего аудита и выполненные в отношении нее процедуры должны быть описаны в рабочих документах аудитора.
В своих рабочих документах аудитору надлежит отразить:
Результаты обсуждения с членами аудиторской команды подверженности финансовой отчетности клиента существенным искажениям в результате мошенничества и ошибок;
Результаты исследования всех аспектов деятельности клиента и всех компонентов внутреннего контроля в соответствии с ISA 315 «Понимание деятельности организации и оценка риска существенных искажений»; привлекаемые для этого источники информации; осуществляемые процедуры оценки рисков;
Результаты выявления и оценки рисков существенных искажений на уровне финансовой отчетности и на уровне предпосылок;
Результаты выявления и оценки значимых рисков и рисков, в отношении которых не
Представляется возможным получить достаточные надлежащие аудиторские доказательства из существующих в организации контрольных процедур;
Результаты оценки внутреннего контроля в части реагирования на риски.
Вопросы для самоконтроля:
Что представляет собой информационный риск?
Назовите пути снижения информационного риска.
С какими видами риска сталкивается аудитор в своей профессиональной деятельности?
Какова сущность аудиторского риска?
Какие цели преследует практика аудита в Украине?
Должен ли аудитор при определенных условиях стремиться к меньшему аудиторскому риску?
В каком диапазоне может колебаться уровень аудиторского риска?
Какие факторы должен изучить и оценить аудитор при определении уровня присущего риска?
Какие внутренние факторы среды контроля вам известны? Приведите примеры.
Как вы понимаете понятие: организационная структура как фактор внутреннего контроля?
Как влияет форма бухгалтерского учета на организацию внутреннего контроля?
риска контроля?
Какие полномочия имеют предприятия в осуществлении собственной учетной политики?
В чем выражается собственный риск?
Где больший риск контроля: при использовании машинных носителей информации или бумажных?
Как организация архива бухгалтерских записей влияет на риск контроля?
Кто имеет право на санкционирование хозяйственных операций?
Влияет ли ограничение доступа к активам на риск контроля?
Как устанавливается оценка риска контроля?
Какие основные вопросы вы бы включили в анкету для изучения среды контроля?
Какие основные вопросы вы бы включили в анкету для изучения системы бухгалтерского учета?
В чем заключается методика оценки аудиторского риска?
Как формируется модель оценки аудиторского риска?
Что включает в себя тестирование для достижения конечной уверенности относительно величины риска внутреннего контроля?
Какие факторы способствуют выработке единых стандартов оценки аудиторского риска?
Какие системы внутреннего контроля вам известны?
Как влияет на организацию внутреннего контроля общее состояние экономики?
Влияет ли на организацию внутреннего контроля подчиненность предприятий?
Какие контрольные функции осуществляются при оформлении первичных документов?
Перечислите специальные процедуры осуществления внутреннего контроля.
При каких формах обработки документов риск контроля уменьшается?
Назовите процедуры контроля, которые осуществляют учетные работники.
На каком этапе аудитором изучается система внутреннего контроля?
Как влияет оценка риска контроля на выбор методики и объема аудита?
Перечислите основные методы изучения системы внутреннего контроля.
Является ли обязательным документирование результатов изучения системы внутреннего контроля клиента?
Охарактеризуйте структуру системы внутреннего контроля и дайте ей оценку.
Как распределяются права и обязанности при внутреннем контроле?
Какие методы аудита системы внутреннего контроля применяются?
Назовите и охарактеризуйте этапы исследования системы внутреннего контроля.
Литература:
Вопросы организации внутреннего контроля у экономических субъектов отдельных организационно-правовых форм регламентируются следующими законодательными актами РФ:
Необходимо отметить, что в текстах указанных законодательных актов отождествляются понятия «внутренний контроль» и «ревизия». По своему содержанию данные понятия достаточно близки друг другу, что подтверждает п. 18.1 Информации Минфина России №ПЗ-11/2013 .
Учитывая сказанное ранее, можно сделать вывод о необходимости регламентирования и закрепления в распорядительной информации экономического субъекта обязанностей в части внутреннего контроля.
Внутренний контроль - это процесс, направленный на достижение достаточного уровня уверенности в том, что экономический субъект обеспечивает: эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов; достоверность и своевременность бухгалтерской (финансовой) и иной отчетности; соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.
В настоящее время методология проведения внутреннего контроля, как и методика оценки эффективности внутреннего контроля, законодательно не установлены и являются объектом исследований многих ученых и специалистов, в числе которых Р.А. Алборов , В.Б. Ивашкевич, Н.Н. Хорохордин и В.Г. Широбоков .
К сожалению, не во всех экономических субъектах, особенно в компаниях из сегмента малого бизнеса, в настоящее время созданы службы внутреннего контроля. При этом в тех компаниях, где внутренний контроль организован, анализ его эффективности зачастую не проводится.
Внутренний контроль является одной из основных функций менеджмента , при отсутствии которой невозможно эффективное управление экономическим субъектом. Именно внутренний контроль позволяет разрабатывать и вводить в действие решения по эффективному использованию ресурсов. Процесс управления финансово-хозяйственной деятельностью можно охарактеризовать и как взаимосвязанное, единовременное или периодическое целенаправленное воздействие совокупности его функций на объект, и как процесс, осуществляемый во временном аспекте и в пространственной иерархии.
Система управления любым экономическим субъектом неразрывно связана с системами учета и контроля. Наличие учета и контроля в корпоративном управлении объясняется необходимостью формирования информации по каждому факту хозяйственной жизни, в том числе связанному с использованием материальных, трудовых и финансовых ресурсов, что позволяет повысить эффективность финансово-хозяйственной деятельности экономического субъекта.
Необходимо отметить, что не все группы пользователей имеют равный доступ к информации, формируемой службами внутреннего контроля и бухгалтерского учета. Как правило, неограниченный доступ к информации может иметь администрация, частичный - собственники. Поэтому внутренний контроль необходимо организовать таким образом, чтобы реализовать возможность предоставления необходимой информации для целей управления на разных уровнях иерархии, с различными требованиями к ее полноте, форме и содержанию. Внутренний контроль в системе управления экономического субъекта может эффективно функционировать только во взаимосвязи с другими функциями управления. Связь контрольного, учетного и аналитического процессов позволяет наилучшим образом решить проблему информационного обеспечения управления.
Взаимодействие полномочий контрольных органов реализуется посредством функции управления экономическим субъектом, что достаточно полно раскрывают в своей работе С.Р. Концевая, В.А. Карасев и Н.К. Костенкова . Взаимосвязь функций управления, отраженная этими учеными в своей работе в виде схемы (рис. 1).
Рисунок 1. Взаимосвязь функций управления коммерческой организации при осуществлении контроля
Таким образом, взаимное влияние функций управления неоспоримо, что необходимо указывать в ходе оценки эффективности внутреннего контроля организации.
Цель внутреннего контроля определяется каждым экономическим субъектом самостоятельно. Так, согласно информации Минфина России №ПЗ-11/2013 внутренний контроль способствует достижению экономическим субъектом целей своей деятельности и должен обеспечивать предотвращение или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности. Реализация контрольных действий невозможна без рассмотрения его составляющих.
В указанной информации Минфина РФ в качестве основных элементов внутреннего контроля экономического субъекта выделяет:
Анализ вышеуказанного документа и работ отдельных специалистов позволяет сформировать данные для характеристики элементов внутреннего контроля, в том числе и использования ресурсов организации, которые систематизированы в табл. 1.
Таблица 1. Характеристика элементов системы внутреннего контроля
| Контрольная среда | Оценка рисков | Процедура внутреннего контроля | Информация и коммуникация | Оценка внутреннего контроля |
|---|---|---|---|---|
| Совокупность принципов и стандартов деятельности экономического субъекта | Процесс выявления и анализа рисков | Действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта | Обеспечивает функционирование внутреннего контроля и возможность достижения поставленных целей | Осуществляется в отношении элементов внутреннего контроля с целью определения их эффективности и результативности, а также необходимости изменения |
| Целенаправленность. Своевременность. Действенность. Объективность. Системность. Конфиденциальность. Гибкость. Простота | Возникновение и существование. Полнота. Права и обязательства. Оценка и распределение. Представление и раскрытие | Документальное оформление. Подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям. Санкционирование (авторизация) сделок и операций, обеспечивающее подтверждение правомочности их совершения. Сверка данных. Разграничение полномочий и ротация обязанностей. Процедуры контроля фактического наличия и состояния объектов, в том числе физическая охрана, ограничение доступа, инвентаризация. Надзор, обеспечивающий оценку достижения поставленных целей или показателей. Процедуры, связанные с компьютерной обработкой информации и информационными системами | Информационные системы экономического субъекта. Распространение информации | Мониторинг внутреннего контроля. Периодическая оценка внутреннего контроля |
Отметим что, в элементах внутреннего контроля недостаточно проработан вопрос оценки эффективности внутреннего контроля, как для целей управления, так и для целей независимого аудита финансовой отчетности. Как следствие, отсутствует методологическая база, позволяющая компаниям проводить эффективную работу над ошибками и влияющая на принятие управленческих решений. Поэтому для целей управления экономическим субъектам наиболее значимо и необходимо формировать систему показателей и критериев оценки эффективности внутреннего контроля использования ресурсов, в том числе материальных, трудовых и финансовых.
Другой проблемой является отсутствие в РФ общих критериев оценки эффективности, что объясняется отсутствием стандартов внутреннего контроля или недостаточной их разработанностью. Как отмечает в своей работе Р.О. Костирко, вопрос оценки качества деятельности субъектов внутреннего контроля осложняется тем, что «в экономической литературе недостаточно разработаны вопросы теории эффективности контроля и обобщения характеристик его качества». Для оценки эффективности внутреннего контроля отечественные ученые предлагают использовать отдельные частные показатели, а предложенные рекомендации, направленные на повышение действенности контроля, имеют локальный характер. Имеющиеся методики оценки эффективности внутреннего контроля ограничиваются оценкой эффективности внутреннего контроля из-за снижения риска .
В последние годы повышенное внимание внутреннему контролю уделяется и на международном уровне. Итогом работы в этой области стала разработка ряда документов, делающих попытки определить, оценить, описать и выявить направления совершенствования внутреннего контроля. Краткое описание отдельных документов представлено в табл. 2.
Таблица 2. Характеристика моделей внутреннего контроля
| Документ (модель) | Краткое описание |
|---|---|
| Стандарт «Цели контроля при использовании информационных технологий» (Control Objectives for Informatio№and Related Technology, COBIT) | Разработан Ассоциацией аудита и контроля информационных систем ISACA (Informatio№Systems Audit and Control Foundation"s Control Objectives for Informatio№and Related Technology). Содержит инструментарий для полного и эффективного исполнения обязанностей по контролю за безопасностью информационных систем |
| Доклад «Контроль и аудит систем» (Security access control, SAC) | Подготовлен Исследовательским фондом Института внутренних аудиторов (Institute of Internal Auditors Research Foundation"s Systems Auditability and Control). Содержит разъяснения для внутренних аудиторов по вопросам контроля и аудита информационных систем и технологий |
| Доклад «Внутренний контроль: интегрированный подход» (модель COSO - Committee of Sponsoring Organizations of the Treadway Commission) | Подготовлен Комитетом спонсорских организаций Комиссии Тридуэя (Committee of Sponsoring Organizations of the Treadway Commission"s Internal control - Integrated Framework). Содержит рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля |
| Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (Statement on Auditing Standards 55, SAS 55) | Утверждено Американским институтом дипломированных бухгалтеров (America№Institute of Certified Public Accountants" Consideration of the Internal Control Structure i№a Financial Statement Audit) с внесенными позднее изменениями (SAS 78). Документы SAS 55 и SAS 78 содержат руководящие указания внешним аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации |
Поскольку перечисленные документы разрабатывались различными органами для разных целевых групп, между ними возможны некоторые несоответствия. Однако каждый документ фокусируется на внутреннем контроле и конкретной целевой группе. Сравнение документов показывает, что каждый из них использует идеи предыдущих документов.
Заслуживает внимания сопоставление концепций внутреннего контроля, которое приведено сайте Bankir.ru (табл. 3).
Таблица 3. Сравнительный анализ концепций внутреннего контроля
| Критерий сравнения | Регулирующий документ | |||
| COBIT | SAC | COSO | SAS 55/78 | |
| Основная целевая группа | Менеджмент. Пользователи. Аудиторы информационных систем | Внутренние аудиторы | Менеджмент | Внешние аудиторы |
| Внутренний контроль | Совокупность процессов, включая нормы, процедуры, приемы и организационные структуры | Совокупность процессов, подсистем и людей | Процесс | Процесс |
| Организационные цели внутреннего контроля | Эффективные и результативные операции. Конфиденциальность, целостность и доступность информации. Надежная финансовая отчетность. Соблюдение законов и правил | Эффективные и результативные операции. Надежная финансовая отчетность. Соблюдение законов и правил | Надежная финансовая отчетность. Эффективные и результативные операции. Соблюдение законов и правил | |
| Компоненты или зоны | Зоны: планирование и организация; приобретение и внедрение; доставка и поддержка; мониторинг | Компоненты: среда контроля; ручные и автоматические системы; процедуры контроля | Компоненты: среда контроля; риск-менеджмент; действия по осуществлению контроля; информация и коммуникация; мониторинг | Компоненты: среда контроля; оценка риска; действия по осуществлению контроля; информация и коммуникация; мониторинг |
| Фокус | Информационные технологии | Информационные технологии | Вся организация | Финансовая отчетность |
| Оценка эффективности внутреннего контроля | За период времени | За период времени | На момент времени | За период времени |
| Ответственность за внутренний контроль | Руководство | Руководство | Руководство | Руководство |
Оценку эффективности внутреннего контроля необходимо начинать с ее организации, поскольку эффективной может быть только хорошо организованная система. Достаточно подробные требования для организации внутреннего контроля изложены в уже упоминавшийся информации Минфина России №ПЗ-11/2013.
Система внутреннего контроля за использованием ресурсов не может быть эффективной без четко разграниченных полномочий органов контроля экономического субъекта. Разграничение контрольных полномочий подразделений является внутренним делом каждой организации и всецело зависит от взаимодействия корпоративного управления, системы риск-менеджмента и собственно внутреннего контроля. Организация результативного взаимодействия подразделений, занятых в управлении, является еще одной проблемой при оценке эффективности внутреннего контроля. Схема взаимодействия подразделений экономического субъекта при осуществлении контрольных мероприятий представлена на рис. 2.
Рисунок 2. Взаимодействие компетенций (полномочий) контрольных подразделений организации
При формировании методики оценки эффективности внутреннего контроля необходимо четко сформулировать методы его проведения в зависимости от целей, поставленных корпоративным управлением. Ввиду этого контрольные мероприятия могут различаться. Вместе с тем перечни применяемых в рамках каждого мероприятия процедур оценки эффективности внутреннего контроля будут аналогичны:
При оценке эффективности внутреннего контроля может быть использована иерархическая «лестница» приемов и способов оценки, приведенная на рис. 3.
Рисунок 3. Иерархия приемов и способов оценки эффективности внутреннего контроля
Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, которые оказывают влияние на возможность достижения целей экономического субъекта.
Опрос персонала экономического субъекта проводится для того, чтобы оценить его знания и квалификацию, а также получить информацию о порядке совершения фактов хозяйственной жизни и функционирования внутреннего контроля. Наблюдение за совершением фактов хозяйственной жизни и осуществлением внутреннего контроля позволяет подтвердить факт его существования и действенность. Аналитические приемы применяются при необходимости выделения формализованных показателей оценки внутреннего контроля.
Проверка доказательств осуществления внутреннего контроля и его результатов применяется в случае, если его результаты были задокументированы.
Повторное проведение процедуры внутреннего контроля применяется, если все остальные способы не смогли обеспечить достаточного доказательства эффективности внутреннего контроля и его документальное оформление отсутствует.
Мнение проверяющего, которое формируется в ходе оценки эффективности внутреннего контроля, служит основанием для принятия на его основе каких-либо решений.
Как считают авторы, результаты оценки эффективности внутреннего контроля должны быть задокументированы. Особых требований к оформлению итогового документа по результатам оценки внутреннего контроля нет. Вместе с тем необходимо отметить, что формируемый документ должен быть достаточным и уместным и отвечать таким критериям, как: простота; наглядность; понятность; нейтральность информации и др.
Целесообразно проводить оценку внутреннего контроля исходя из следующих требований к проведению контрольных мероприятий: доли выборки документов или объектов контроля; обоснованности выявленных отклонений; рассмотрения возможных причин возникновения ошибок; разработки рекомендаций по исправлению ошибок; оценки влияния ошибок на принятие управленческих решений (риски неэффективности управленческих решений, причиной которых являются не выявленные ошибки).
На основании данных критериев контрольные показатели следует обобщить на специальном контрольном листе. Оценка внутреннего контроля осуществляется в процентном соотношении. 100% присваивается в случае, если проверены все документы и отсутствуют какие-либо замечания по результатам контроля. Соответственно, ноль процентов присваивается, если контрольные мероприятия по какому-либо направлению не проводились.
Как видно из указанного файла, в п. 1 контрольного листа результат оценки в 80% получен следующим путем:
Итого 80% (80% x 100%).
На основании данных, изложенных в контрольном листе, необходимо провести оценку эффективности внутреннего контроля организации на основе профессионального суждения лица, осуществляющего оценку эффективности. Как отмечают в своих работах Н.В. Генералова и С.Н. Карельская, одно из наиболее часто цитируемых определений «профессиональное суждение» представлено Л.З. Шнейдманом:
Профессиональное суждение - это мнение, заключение, являющееся основанием для принятия решения в условиях неопределенности. Оно базируется на знаниях, опыте и квалификации соответствующих специалистов .
В статье отмечено, что «профессиональное суждение можно охарактеризовать как обоснованное мнение профессионального бухгалтера, высказанное в условиях неопределенности при квалификации, стоимостном измерении, классификации и оценке значимости фактов хозяйственной жизни для целей бухгалтерской отчетности, основанное на доступной, на данный момент времени полной, достоверной и объективной информации, а также особенностях функционирования хозяйствующего субъекта». По мнению авторов, с точки зрения оценки внутреннего контроля никто не сможет характеризовать внутренний контроль более достоверно, чем профессиональный бухгалтер или аудитор.
Если учесть требования, предъявляемые к внутреннему контролю, то можно сформулировать отдельные подходы к стандартизации качества оценок для формирования профессионального суждения проверяющего:
Порядок проведения оценки внутреннего контроля целесообразно закрепить в локальном нормативном акте организации. Это может быть как учетная политика, так и отдельный документ, например положение о внутреннем контроле, наиболее рациональным представляется формирование второго документа.
В положении о внутреннем контроле организации должны быть закреплены внутренние принципы проведения проверок фактов хозяйственной жизни и других объектов бухгалтерского учета, отраженные в 402-ФЗ и иных федеральных стандартах бухгалтерского учета. Разработка внутренних стандартов контроля требует существенных затрат труда и финансовых ресурсов.
В положении о внутреннем контроле организации либо в другом локальном акте экономического субъекта необходимо определить те показатели, которые проверяющий будет использовать для оценки эффективности внутреннего контроля. Так, для крупных организаций предпочтительным видится создание отдельного стандарта, для малых и средних предприятий - введение отдельного параграфа. Помимо этого, менеджменту организации очень важно проводить работу, направленную на повышение качества внутреннего контроля. Целесообразно осуществлять дополнительные мероприятия: опрос работников, анализ архивных данных и проведение статистических исследований, в рамках которых может анализироваться процент правильно оформленных документов, процент претензий инспекции Федеральной налоговой службы (ИФНС), которые удалось отстоять в рамках досудебного оспаривания решений, и пр.
Экономическому субъекту необходимо проводить работу, направленную на интеграцию отдельных компонентов внутреннего контроля в единую среду и единое информационное поле. Все функции контролирующих подразделений должны быть четко определены (закреплены в локальном акте, отражающем их взаимодействие и функции) и дополнять друг друга, создавая единое защитное пространство. Кроме этого, представляется целесообразным создать единую автоматизированную систему по контролю за рисками, включая единую базу рисковых событий экономического субъекта. Последнее, несомненно, будет способствовать предотвращению рисков и повышению эффективности функционирования внутреннего контроля экономического субъекта. Для оценки эффективности внутреннего контроля целесообразно, по мнению авторов, использовать тесты, разработанные профессором Р.А. Алборовым и применяемые в практических проверках многими аудиторскими фирмами.
Из анализа представленных данных тестирования следует, что в данном примере уровень организации внутреннего контроля за вопросами исследования низкий и ниже среднего. Основной недостаток внутрихозяйственного контроля - отсутствие фактического контроля поступления, наличия и использования материалов.
Если в ходе изучения и оценки эффективности системы внутреннего контроля будут выявлены отдельные недостатки, рекомендуется использовать следующие процедуры:
Необходимо отметить, что внутренний контроль должен быть направлен на выявление и предотвращение всех ошибок, как существенных, так и несущественных. Внутренний контроль осуществляют как бухгалтерская служба, так и служба внутреннего контроля или ревизионные отделы, и если служба внутреннего контроля при проверках может применять выборочные методы, то бухгалтерской службе присущ способ сплошной проверки.
Рекомендуемый рабочий документ, формируемый в системе внутреннего контроля, содержащий рекомендации по устранению выявленных недостатков в системе внутреннего контроля на примере использования материалов, представлен на следующем примере.
Таким образом, в ходе оценки контрольных процедур очень важно свести до минимума риски, связанные с ведением учета, что достигается формированием рекомендаций по устранению выявленных недостатков в системе внутреннего контроля.
Рисунок 4. Схема формирования информационных потоков в процессе оценки эффективности системы внутреннего контроля
В заключение следует отметить, что из-за отсутствия четко сформулированного стандарта в части оценки эффективности внутреннего контроля экономическим субъектам приходится самостоятельно формировать мнение о соответствии внутреннего контроля целям и задачам своей деятельности, а также проводить проверку эффективности контрольных мероприятий по своему профессиональному суждению.
Список литературы:
Контроль и учет являются взаимозависимыми и взаимодополняющими инструментами управления. При этом эффективность управленческого учета во многом определяется надежностью системы внутреннего контроля организации.
С 1 января 2013 г. вступил в силу Федеральный закон "О бухгалтерском учете" от 6 декабря 2011 г. (далее Закон № 402-ФЗ). Согласно ст. 19 Закона № 402-ФЗ экономические субъекты обязаны организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
В свою очередь, контроль позволяет менеджменту организации получить информацию о реальном положении объекта управления, оценить качество результатов принятых решений и внести необходимые корректировки. Определение СВК также приведено в федеральном правиле (стандарте) аудиторской деятельности № 8.
Под СВК понимается совокупность процедур и мероприятий, разработанных и утвержденных руководством организации с целью предотвращения ошибок и недобросовестных действий, формирования условий, способствующих достижению запланированных целей, предотвращению кризисных явлений и повышению эффективности финансово-хозяйственной деятельности. Организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению стратегических целей.
К основным функциям внутреннего контроля можно отнести:
Элементами системы внутреннего контроля являются:
Роль системы внутреннего контроля возросла после череды скандальных банкротств крупнейших мировых корпораций, среди которых энергетическая компания "Энрон", прекратившая свое существование в 2001 г., несмотря на то, что аудиторские заключения обанкротившейся корпорации "Энрон" были безоговорочно положительными за все периоды проверок. К сожалению, данный случай не единственный. В связи с этим были приняты ответные меры по борьбе с корпоративными недобросовестными действиями. В 2001 г. в США был принят Закон Сарбейнса – Оксли, согласно которому значительно повышалась ответственность руководителей и представителей собственников за создание эффективной системы внутреннего контроля, позволяющей предотвратить факты недобросовестных действий и усилить контроль за формированием достоверной финансовой отчетности. Закон устанавливал дополнительные требования при подготовке корпоративной отчетности в отношении не только менеджмента и представителей собственников организаций, но и внешних аудиторов. Позднее американская Комиссия по ценным бумагам и биржам (SEC) получила большие полномочия по контролю за деятельностью аудиторских организаций. Данный закон затронул и неамериканские организации, акции которых обращаются на американском фондовом рынке. События, связанные с банкротством крупнейшей корпорации "Энрон", показали, что ни внутренний, ни внешний аудит в полной мере не может защитить бизнес от недобросовестных действий, а пользователей отчетности – от негативных последствий, связанных с недостоверным отражением данных в финансовой отчетности. В связи с этим были пересмотрены принципы работы служб внутренних аудиторов.
Так, внутренний аудит (внутренняя проверка), представляя собой элемент системы внутреннего контроля, не является независимой проверкой и в этом смысле не соответствует сущности аудита, поскольку отличительной особенностью аудита, согласно требованиям Федерального закона "Об аудиторской деятельности", является его независимость. В последние годы понятие внутреннего аудита широко используется в сфере деятельности органов исполнительной власти. Согласно положениям ст. 270.1 Бюджетного кодекса Российской Федерации внутренний финансовый аудит (контроль) – это контроль внутри органов исполнительной власти (органы местной администрации), которые вправе создавать подразделения внутреннего финансового аудита (внутреннего контроля), осуществляющие разработку и контроль за соблюдением внутренних стандартов и процедур составления и исполнения бюджета, составления бюджетной отчетности и ведения бюджетного учета, а также подготовку и организацию осуществления мер, направленных на повышение результативности (эффективности и экономности) использования бюджетных средств. Из-за того, что службы внутреннего аудита не могли в полной мере справиться с поставленными перед ними задачами, положения Закона Сарбейнса – Оксли усилили процедуры, связанные с функционированием системы внутреннего контроля. Так, все организации, акции которых котировались на бирже, обязаны были создавать комитеты по аудиту, в состав которых должны были войти представители собственников и члены совета директоров. Такие меры призваны повысить ответственность за принимаемые решения и степень доведения к данным, содержащимся в финансовой отчетности. В российском законодательстве императивных норм по формированию системы внутреннего контроля не предусмотрено (за исключением банковской сферы и бюджетных учреждений). Вместе с тем обычаи делового оборота привели к тому, что многие крупные российские организации создают комитеты по аудиту с участием представителей собственников. Несмотря на то что многие специалисты проводят разграничения между внутренним аудитом и ревизорами общества, Федеральный закон "Об акционерных обществах" от 26 декабря 1995 г. (в ред. от 28 декабря 2013 г.) регламентирует только порядок назначения ревизора в обществе. Функции, должностные обязанности других специалистов, осуществляющих внутренний контроль за деятельностью общества, нормативно не урегулированы. Эффективность системы внутреннего контроля во многом зависит от политики менеджмента, мотивации руководителей, стратегических целей организации.
На практике надежность системы внутреннего контроля оценивается посредством тестирования. При этом анализируются следующие элементы:
По результатам тестирования следует оценить надежность системы внутреннего контроля (применяется балльный метод с учетом весовых коэффициентов). Общепринятой считается трехуровневая градация: высокоэффективная, среднеэффективная и низкоэффективная. Если по результатам тестирования система внутреннего контроля является ненадежной (низкоэффективной), необходимо принять меры по устранению недостатков. Пример теста по оценке надежности СВК представлен в табл. 7.3.
Таблица 7.3
Пример теста по оценке надежности системы внутреннего контроля (извлечение)
|
Оцениваемый компонент |
Надежность компонента |
|||
|
Определение (делегирование) полномочий и ответственности |
Не определены/не делегированы |
Частично определены/делегированы |
Делегированы полномочия, ответственность определена |
|
|
Анализ соответствия организационной структуры характеру деятельности |
Не соответствует |
Не в полной мере соответствует |
Соответствует |
|
|
Участие высшего руководства в контрольных процедурах |
Недостаточное |
Умеренное |
Активное |
|
|
Анализ должностных инструкций |
Отсутствуют |
Частично разработаны |
Разработаны |
|
|
Кадровая политика |
Определена и формализована |
Частично определена |
Определена и утверждена |
|
|
Разработка локальных нормативных актов (коллективный договор, правила внутреннего распорядка и т.д.) |
Отсутствуют |
Разработаны частично |
Разработаны и установлены в полной мере |
|
|
Анализ текучести кадров |
Умеренная |
|||
|
Оценка состояния риск-менеджмента (внутренняя оценка рисков) |
Неэффективная |
Недостаточно эффективная |
Эффективная. Отслеживаются изменения и принимаются необходимые меры |
|
|
Меры по защите от несанкционированного и нежелательного доступа |
Не установлены |
Частично установлены, нерегулярное проведение |
Установлены постоянное проведение и контроль |
|
|
Проводится ли анализ выявленных отклонений |
Не проводится |
Проводится нерегулярно |
Производится постоянно |
|
|
По результатам проведенного тестирования можно сделать вывод о том, что в целом система внутреннего контроля является надежной |
||||
Менеджмент и представители собственника ответственны за надлежащую организацию системы внутреннего контроля.
Таким образом, основанная роль системы внутреннего контроля – это способность выявлять риски как в системе управления, так и в финансово-хозяйственной деятельности организации. Являясь индикатором рисков, эффективная СВК сигнализирует менеджменту о необходимости адекватного реагирования на появившиеся проблемы и оказывает существенное влияние на бизнес-процессы организации, в связи с чем вопросы, связанные с оценкой надежности СВК, играют важнейшую роль при диагностике возможных причин неблагоприятных явлений, особенно в условиях нестабильной внешней среды.
Внутренний контроль в системе управления организацией
Организационная структура внутреннего контроля. Орган внутреннего контроля является самостоятельным подразделением аппарата управления организации и подчиняется только ее руководителю. Он создается с целью независимой проверки выполнения сотрудниками организации своих должностных обязанностей. Организационными формами внутреннего контроля могут быть отдел (служба) внутреннего аудита, управление внутреннего аудита, бюро внутреннего аудита или отдельная группа внутренних аудиторов. Для работников службы внутреннего аудита должны быть разработаны должностные инструкции, в которых предусматриваются общие положения, конкретные должностные обязанности, права и ответственность каждого работника службы внутреннего аудита.
Система внутреннего контроля. Система внутреннего контроля – это политика и процедуры, принятые руководством организации для содействия в реализации целей, предусматривающих упорядоченное и эффективное ведение финансово-хозяйственной деятельности. Эти цели включают: строгое следование политике руководства; обеспечение сохранности активов; предотвращение и обнаружение фактов мошенничества и ошибок; полноту и точность бухгалтерских записей; своевременную подготовку достоверной финансовой информации. Система внутреннего контроля включает в себя надлежащую систему бухгалтерского учета, контрольную среду и отдельные средства контроля.
Система бухгалтерского учета. Система бухгалтерского учета организации – это совокупность задач, процедур и бухгалтерских записей клиента, применяющихся в целях идентификации, сбора, анализа, расчета, классификации, регистрации, обобщения и отражения результатов хозяйственных событий. Она считается эффективной (надлежащей), если в ходе фиксации хозяйственных операций выполняются следующие требования: операции в учете зафиксированы в правильных суммах; операции в учете правильно отражают временной период; операции правильно и в соответствии с действующими нормативными положениями и учетной политикой отражены на счетах бухгалтерского учета; зафиксированы детали операций, имеющие существенное значение для учета и отчетности; ограничена возможность появления злоупотреблений.
Контрольная среда. Контрольная среда – это общее отношение, осведомленность и действия руководства, относящиеся к системе внутреннего контроля и ее значимости для организации. Она включает в себя: стиль и основные принципы управления; организационную структуру организации; распределение ответственности и полномочий; осуществляемую кадровую политику; порядок подготовки бухгалтерской отчетности для внешних пользователей; порядок осуществления внутреннего управленческого учета и подготовки отчетности для внутренних целей; соответствие хозяйственной деятельности организации в целом требованиям действующего законодательства.
Отдельные средства контроля. Средства контроля устанавливаются руководством организации на отдельных направлениях и участках хозяйственной деятельности для обеспечения эффективного и надежного управления системой внутреннего контроля. Они должны обеспечивать: выполнение хозяйственных операций, доступ к активам только с одобрения руководства, как в целом, так и в конкретных случаях; своевременный учет всех операций в точных суммах, на соответствующих счетах в установленные отчетные периоды; сопоставление учетных данных по активам с фактическими через разумные промежутки времени, принятие мер в отношении обнаруженных расхождений. К процедурам внутреннего контроля относятся: контроль и утверждение документов; проверка арифметической точности записей; ведение и проверка аналитических счетов и оборотных ведомостей; подготовка, проведение и утверждение отчетов; осуществление контроля над прикладными программами и средой компьютерных информационных систем; сравнение данных, полученных из внутренних источников, с данными внешних источников; проведение инвентаризаций имущества; ограничение прямого физического доступа к активам и записям.
Оценка системы внутреннего контроля в ходе аудита
Этапы оценки системы внутреннего контроля. Аудиторская организация должна оценивать систему внутреннего контроля аудируемого лица не менее чем в три этапа. Вначале аудиторы должны провести общее знакомство с системой внутреннего контроля клиента, затем дать первичную оценку ее надежности и, наконец, подтвердить достоверность оценки системы внутреннего контроля.
Общее знакомство с системой внутреннего контроля. По итогам первоначального знакомства с системой внутреннего контроля на основе общего представления о специфике и масштабе деятельности и системе бухгалтерского учета клиента аудиторская организация должна принять решение о том, может ли она в своей работе полагаться на его систему внутреннего контроля или нет. В первом случае ей следует осуществить первичную оценку надежности системы внутреннего контроля. Во втором – основывать аудиторское мнение не на доверии к этой системе.
Первичная оценка надежности системы внутреннего контроля. Для первичной оценки надежности системы внутреннего контроля аудитор должен ознакомиться с системой бухгалтерского учета аудируемого лица и провести изучение, анализ и оценку сведений о таких сторонах хозяйственной деятельности аудируемого лица, как: учетная политика и основные принципы ведения бухгалтерского учета; организационная структура подразделения, ответственного за ведение бухгалтерского учета и подготовку бухгалтерской отчетности; распределение обязанностей и полномочий между работниками, принимающими участие в ведении учета и подготовки отчетности; организация подготовки, оборота и хранения документов, отражающих хозяйственные операции; порядок отражения хозяйственных операций в регистрах бухгалтерского учета, а также формы и методы обобщения данных таких регистров; порядок подготовки периодической бухгалтерской отчетности на основе данных бухгалтерского учета; роль и место средств вычислительной техники в ведении бухгалтерского учета и подготовки отчетности; критические области учета, где риск возникновения ошибок или искажений бухгалтерской отчетности особенно высок; средства контроля, предусмотренные в отдельных областях системы бухгалтерского учета. Оценивая надежность системы внутреннего контроля в целом, контрольной среды и отдельных средств контроля, аудиторская организация должна использовать не менее трех следующих градаций: высокая, средняя, низкая. Но она может принять решение о применении в своей деятельности большего числа градаций. В ходе процедуры первичной оценки надежности системы внутреннего контроля аудитор обязан принимать во внимание, что: следует проверять на предмет надежности средств контроля бухгалтерскую и хозяйственную документацию аудируемого лица всего отчетного периода; при проверке необходимо уделить большое внимание тем периодам, деятельность в которых имела особенности или различия по сравнению с деятельностью, типичной для всего периода в целом; оценка надежности всей системы внутреннего контроля и/или отдельных средств контроля как «низкой» не исключает возможности оценки надежности других отдельных средств контроля как «средней» или «высокой».
Подтверждение достоверности оценки системы внутреннего контроля. Аудиторская организация, принявшая по итогам процедуры первичной оценки решение о доверии системе внутреннего контроля и/или отдельным средствам контроля, обязана осуществлять процедуры подтверждения достоверности этой системы на основе методики и приемов, которые разрабатываются ею самостоятельно (аудиторские процедуры, проводимые для проверки работоспособности и надежности системы внутреннего контроля и отдельных средств контроля, называются тестированием средств контроля).
Документирование этапов оценки системы внутреннего контроля. Полученное представление и оценка систем бухгалтерского учета и внутреннего контроля аудируемого лица должны надлежащим образом документироваться с указанием аргументов, которыми руководствовалась аудиторская организация, давая соответствующую оценку надежности всей системы или отдельных средств контроля.
Вопросы для самопроверки
1. Перечислите организационные формы внутреннего контроля.
2. В каких случаях система бухгалтерского учета считается эффективной?
3. Что такое контрольная среда и процедуры контроля?
4. Что должны обеспечивать средства контроля?
5. Какие существуют этапы оценки системы внутреннего контроля?
6. В чем суть первичной оценки системы внутреннего контроля?
Тесты по теме
1. Оценка системы внутреннего контроля осуществляется для:
а) оценки и планирования масштаба аудита;
б) получения общей информации о предприятии;
в) определения возможности банкротства предприятия.
2. Система бухгалтерского учета представляет собой:
а) совокупность задач, процедур и бухгалтерских записей клиента, используемых для сбора, регистрации и отражения результатов хозяйственных событий;
б) политику и процедуры, принятые руководством организации для содействия в реализации целей, предусматривающих упорядоченное и эффективное ведение финансово-хозяйственной деятельности;
в) общее отношение, осведомленность и действия руководства предприятия.
3. К элементам контрольной среды не относятся:
а) кадровая политика организации;
б) стиль и основные принципы организации;
в) процедуры контроля.
4. Оценка системы внутреннего контроля включает следующие этапы:
а) общее знакомство с системой внутреннего контроля, подтверждение достоверности ее оценки;
б) первичная оценка надежности системы внутреннего контроля, подтверждение достоверности ее оценки;
в) общее знакомство с системой внутреннего контроля, первичная оценка ее надежности, подтверждение достоверности ее оценки.
5. Доверие аудитора к системе внутреннего контроля субъектов малого предпринимательства по сравнению с системой внутреннего контроля крупного экономического субъекта:
в) приблизительно одинаково.
В статье анализируются главные принципы, положенные в основу осуществляемой аудитором системы внутреннего контроля аудируемого объекта. Приводятся приемы и методы этой оценки.
Повышение требований к финансовой отчетности, которые сформировались в начале 2000-х годов, изменили подходы к анализу системы внутреннего контроля (далее - СВК). Наблюдается общая тенденция к ужесточению мер по подготовке достоверной отчетности. Появилось стремление обязать аудиторов давать в своих отчетах оценку СВК. Это выразилось в разработке стандартов, обеспечивающих учет качества контроля аудируемых лиц. Появились новые стандарты ISA 315, ISA 330, которые увязывают оценку аудиторских рисков и аудиторские процедуры по оцененным рискам с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности, что привело к внесению дополнений и поправок практически во все МСА.
В прежних стандартах СВК определялась как совокупность мероприятий, в которых заинтересованы прежде всего аудируемые лица. В новой редакции сделан акцент на надежность финансовой отчетности, а также на возможность руководителей предприятий снижать риск с помощью системы внутреннего контроля.
МСА требуют проводить анализ СВК постоянно. Начиная с 2006 г. вносится изменение, вводящее ответственность руководства аудируемого лица за разработку, внедрение и поддержание СВК, которая обеспечила бы правдивое представление о финансовой отчетности.
В последние годы в субъектах хозяйствования успешно формируются системы внутреннего контроля и аудита, результаты деятельности которых учитываются при проведении аудиторских проверок. Вопрос об организации СВК органически связан с управленческой структурой субъекта хозяйствования, его стратегией и постановкой управленческого и финансового учета, порядком составления внутрипроизводственной (управленческой) отчетности.
В соответствии со стандартами аудита СВК представляет систему, состоящую из пяти составляющих. Первая составляющая - контрольная среда - включает позицию, осведомленность и действия руководства. В составе контрольной среды обозначены положения о том, чтобы руководители предприятий в явном виде сообщали своим подчиненным требования в отношении честности и уважения этических норм. Важно также уделять внимание компетентности. Руководство обязано анализировать, какие качества требуются для выполнения тех или иных работ. Остальные факторы контрольной среды, такие, как философия руководства, организационная структура, полномочия и ответственность, практика и политика в отношении человеческих ресурсов, остались прежними или претерпели исключительно редакционные изменения.
Понимание аудитором контрольной среды имеет особое значение при изучении вопросов, связанных с угрозой мошенничества. Аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Аудитор должен учитывать, как применялись элементы контрольной среды, и определить, используются ли средства контроля на практике.
Вторая составляющая СВК - оценка бизнес-риска аудируемым лицом как процесс выявления рисков, их возможных последствий и реагирование на них. В новых МСА появилось требование к руководителям аудируемого лица самостоятельно оценивать связанные с работой своей организации риски. Аудитор должен понять, каким образом организация выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким результатам это приводит.
Третья составляющая СВК - информационная система, связанная с целями финансовой отчетности и состоящая из процедур и записей. Аудитор должен понимать, как организация доносит информацию о ролях и обязанностях конкретных сотрудников, а также существенных вопросах, имеющих отношение к финансовой отчетности. В бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает. Аудитору следует проверить, насколько хорошо подготовлены служебные инструкции и насколько добросовестно они выполняются.
Четвертая составляющая СВК - контрольные действия. Под ними понимаются политика и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются. К ним относятся процедуры и мероприятия, проводимые аудируемым лицом и выходящие за пределы непосредственного ведения учета и подготовки отчетности.
Пятая составляющая СВК - мониторинг средств контроля. Под ним понимается процесс оценки качества функционирования СВК. Он выполняется с помощью постоянного наблюдения, отдельных оценок надежности средств и позволяет убедиться, что средства контроля функционируют эффективно. Аудитор должен понимать основные виды мероприятий, которые проводит организация для мониторинга внутреннего контроля финансовой деятельности.
Что касается оценки риска существенных искажений, то аудитор должен установить, уместно ли при оценке рисков существенных искажений данное средство контроля. Надо принять во внимание оценку уровня существенности, размер аудируемого лица, природу его бизнеса, сложность систем, составляющих СВК. Самый простой, но наименее надежный способ получения аудиторских доказательств об СВК - расспросы сотрудников клиента, а самый надежный - наблюдение аудитора за контрольными процедурами. К сожалению, аудитор физически не в состоянии лично проследить за ними. Внутренний контроль может обеспечить только частичную уверенность в достижении цели. Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, то аудитор исключает эффект контроля из соответствующих оценок рисков. Аудитор должен планировать и осуществлять процедуры проверок по существу для каждой существенной операции.
Проверка процедур контроля проходит две стадии. На первой стадии аудитор выясняет, существует ли данная процедура у аудируемого лица. На второй стадии он устанавливает, выполняют ли процедуры контроля предполагаемые функции. Тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления. Временные рамки тестов - это период времени, с которым связано проведение аудиторских процедур. Масштаб аудиторских тестов средств контроля напрямую связан с оценкой риска аудитором. Все описанные действия аудитора должны быть отражены в рабочей документации.
В соответствии с Федеральным правилом (стандартом) "Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом" основу внутреннего контроля экономического субъекта составляют контрольная среда, система бухгалтерского учета и средства контроля. По нашему мнению, целесообразно в составе элементов внутреннего контроля рассматривать и систему налогового учета, представляющую собой упорядоченную систему регистрации и обобщения информации о фактах хозяйственной деятельности, опосредующих возникновение доходов и расходов, подлежащих учету в соответствии с нормами НК РФ, для формирования полной и достоверной налоговой информации.
Аудитор в ходе планирования должен оценить адекватность внутреннего контроля масштабам, специфике деятельности экономического субъекта и достичь понимания закономерностей его функционирования в той части, которая обеспечивает регулирование и мониторинг процесса сбора, обработки и обобщения информации, необходимой для подготовки достоверной бухгалтерской и налоговой отчетности.
Аудитор изучает СВК субъекта, для того чтобы спланировать аудиторскую проверку и определить природу, степень и время проведения необходимых процедур. В конечном счете такое изучение дает возможность оценить риск искажения в финансовой отчетности. При этом аудитор должен больше уделять внимания средствам контроля, которые имеют отношение к финансовой информации, уместной при обосновании утверждений по финансовой отчетности. Средства контроля, которые не влияют на финансовую информацию, не являются существенными для аудитора, если только они косвенно не затрагивают финансовую отчетность.
При планировании аудита аудитор изучает все пять компонентов СВК субъекта, чтобы:
Определить тип возможных существенных искажений;
Рассмотреть факторы, приводящие к появлению существенных искажений;
Разработать тесты системы контроля;
Определить формы тестирования по существу, если это возможно.
Практика показывает, что на стадии планирования вряд ли удается детально изучить деятельность экономического субъекта применительно ко всему объему совершаемых хозяйственных операций, поэтому целесообразно выбрать самые существенные из них. При выборке можно руководствоваться существенностью оборотов и остатков по счетам. По результатам оценки бухгалтерского учета и внутреннего контроля этих счетов и участков аудитор формирует свое мнение о системе бухгалтерского учета и внутреннего контроля экономического субъекта.
Оценка, проводимая за столь короткий срок, достаточно субъективна, и вводить на этой стадии большое количество градаций не имеет смысла. Поэтому здесь применяются три градации оценки систем бухгалтерского учета и внутреннего контроля. Свидетельства, полученные по результатам экспертизы бизнеса, влияют на формирование мнения аудитора в отношении уровня неотъемлемого риска и целесообразности применения в ходе аудита знаний о внутреннем контроле экономического субъекта.
Для рациональной организации проверки аудитор должен, исходя из оценки неотъемлемого и контрольного риска и принимая во внимание предварительное суждение о существенности, определить допустимый риск необнаружения и с учетом минимизации последнего спланировать соответствующие аудиторские процедуры.
Диагностика внутреннего контроля экономического субъекта осуществляется в целях предварительной оценки степени надежности СВК и предполагает изучение, анализ, оценку:
Отношения руководства к необходимости поддержания адекватного внутреннего контроля;
Порядка делегирования полномочий и распределения ответственности;
Порядка обеспечения сохранности активов и конфиденциальной информации экономического субъекта;
Учетной и налоговой политики экономического субъекта, ее организационно-технических и методологических аспектов;
Организационной структуры бухгалтерии;
Порядка документального оформления фактов хозяйственной деятельности и организации документооборота;
Роли и места средств вычислительной техники в ведении бухгалтерского и налогового учета;
Порядка систематизации данных в регистрах бухгалтерского и налогового учета;
Процесса подготовки бухгалтерской и налоговой отчетности.
Для предварительной оценки эффективности СВК используются следующие градации: высокая, средняя, низкая. Свою оценку аудитор формирует в результате:
Бесед с компетентными работниками экономического субъекта;
Проверки документов;
Наблюдения за применением конкретных мероприятий и процедур;
Аналитических процедур.
Рассмотрим более подробно процесс изучения и оценки СВК, который состоит из понимания и документирования этой системы, оценки контрольного риска, тестирования средств контроля, оценки результатов тестирования и их документирования, тестирования по существу.
Для анализа СВК аудитору следует:
Опираться на собственный опыт работы с субъектом;
Запрашивать необходимую информацию у руководства, контролеров и персонала;
Исследовать документы и записи;
Изучать характер и виды деятельности;
Задокументировать полученное понимание.
Текущие средства внутреннего контроля исследуются аудитором на основе данных из нескольких источников - как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Однако следует учитывать, что структура средств внутреннего контроля предыдущих периодов может не соответствовать текущему периоду.
Документирование понимания СВК может быть сделано аудитором путем подготовки блок-схем, заполнения анкет, описаний и составления древа-решений и таблиц. Такие формы документирования доказывают, что достаточное понимание и оценка СВК были фактически осуществлены.
Блок-схемы представляют собой символические диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Блок-схемы могут использоваться, во-первых, для оценки СВК, во-вторых, - как средства документирования в электронном виде при программировании.
Блок-схема, используемая для оценки системы, показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора тем, что документируют все шаги в процессе проверки.
Электронные блок-схемы, используемые в качестве документации, первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.
Для подготовки блок-схем следует:
Составить схему документооборота и информационных потоков;
Начинать с верхней части страницы и двигаться сверху вниз и слева направо;
Использовать описание для лучшего понимания пользователем;
Избегать разделяющих линий, если это возможно;
Анкета по СВК обычно содержит вопросы, которые предполагают ответы "да" или "нет". Отрицательные ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог разместить там свои пояснения. Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.
Описания являются письменной версией блок-схемы. Аудитор описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения событий по определенной операции.
Блок-схемы подходят для документирования более сложных структур контроля, а письменное изложение фактов - для менее сложных.
Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы "да", "нет", направляющие пользователя к логически следующему вопросу. Таблицы показывают логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.
Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.
Оценка риска контроля - определение того, насколько эффективны средства внутреннего контроля при предупреждении или выявлении существенных искажений в финансовой отчетности. Средства контроля могут иметь значительный эффект в отношении многих, одного или нескольких утверждений.
Средства контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить риск контроля ниже, чем во втором.
Аудитор может принять одну или несколько различных стратегий аудита утверждений.
Оценка риска контроля как максимальная (или немного ниже) означает, что аудитор планирует применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться. Максимальный уровень оценки риска контроля свидетельствует о том, что процедура контроля:
Неуместна либо неэффективна;
Соотношение затраты - выгоды мешает проведению тестирования;
Неэффективна для тестирования средства контроля;
Представляет собой слабо разработанное средство контроля.
Оценка риска контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля. Оценка риска ниже максимального уровня затрагивает:
Идентификацию определенных уместных средств контроля, которые, скорее всего, обнаружат и устранят существенные искажения;
Проведение тестирования данных средств контроля;
Заключение по оцененному уровню риска контроля.
Какая стратегия ни была бы выбрана, она определяет:
Степень понимания СВК, которую аудитор должен достичь;
Природу, степень, время для выполнения процедур для получения такого понимания;
Документирование выводов относительно оцененного уровня риска контроля;
Природу, время и степень проведения процедур по существу, которые должны быть выполнены.
Оценка риска контроля должна быть оформлена документально, так как любая оценка риска контроля ниже максимальной должна быть обоснована доказательствами, полученными в результате тестирования средств контроля.
Если далее аудитор предполагает снизить риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В основном дополнительное тестирование проводится, если есть необходимость получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.
О надежности СВК свидетельствуют:
Нумерация документов, которая позволяет убедиться в том, что все операции отражены в учете (полнота); все операции отражены в учете только один раз (существование);
Разрешение на проведение операции, которое должно осуществляться до передачи ресурсов (существование);
Независимые проверки, включающие проверку работы, выполненной другими лицами (оценка), - сверку банковских выписок, сравнение субсчетов с синтетическими счетами главной книги, сравнение данных проведенной инвентаризации с данными бухгалтерского учета;
Документирование, которое предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);
Распределение обязанностей, дающее уверенность в том, что отдельные лица не выполняют не совместимые с их работой служебные обязанности. С точки зрения контроля служебные обязанности считаются несовместимыми, когда, например, конкретное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение);
Физические средства контроля, предполагающие применение охранных устройств и средств, а также ограничение доступа к запрещенным участкам с использованием определенных средств и компьютерных программ.
Оценка риска качества аудита базируется на обратной взаимосвязи риска необнаружения и комбинации неотъемлемого и контрольного риска. Высокий уровень неотъемлемого риска и риска средств контроля обязывает организовать проверку таким образом, чтобы минимизировать величину риска необнаружения и тем самым свести аудиторский риск до приемлемого значения. Низкий уровень неотъемлемого и контрольного риска позволяет допустить в ходе аудита более высокий риск необнаружения (посредством применения менее трудоемких методов получения аудиторских доказательств) и достичь приемлемого значения аудиторского риска.
