Организация системы внутреннего аудита и контроля в крупных организациях

В статье проводиться исследование формирования системы внутреннего контроля экономических субъектов, рассмотрены цели и задачи, методы и процедуры контроля.

В настоящее время во многих корпоративных структурах созданы специальные контрольные подразделения, в том числе отделы внутреннего аудита, на которые возложены задачи не только текущего контроля, но и разработки предложений по составлению и совершенствованию учетной политики, контроля за ее исполнением в обособленных подразделениях (филиалах, представительствах) и самостоятельных юридических лицах, входящих в состав корпорации или предпринимательской сети (дочерние акционерные общества, предприятия, входящие в предпринимательские сети, финансово-промышленные группы).
Развитие системы внутреннего контроля (далее – СВК) сделало востребованным регламентацию деятельности указанных подразделений, четкое понимание их задач и функций, форм взаимоотношений со всеми подразделениями аппарата управления и производственными звеньями, с органами внешнего контроля. С целью решения этих задач были созданы специальные национальные и международные организации внутренних контролеров. При создании таких организаций в России был учтен международный опыт.
Единый подход к пониманию и осуществлению внутреннего аудита, по мнению В.В. Пугачева, во многом обеспечивается силами международных общественных организаций профессионалов, в частности Международным институтом внутренних аудиторов, который основан в США в 1941 г. [1]. В настоящее время Институт является международной профессиональной ассоциацией, объединяющей 180 тыс. человек более чем в 170 странах [2]. Членами Международного института внутренних аудиторов все чаще становятся российские специалисты, работающие внутренними аудиторами корпоративных организаций.
В международной практике стандарты внутренних аудиторов можно разделить на три группы.
1. Стандарты качественных характеристик (Attribute Standards).
2. Стандарты деятельности (Performance Standards).
3. Стандарты практического применения (Implementation Standards).
Стандарты качественных характеристик регулируют требования, предъявляемые к качественному составу внутренних аудиторов и их подразделениям. Стандарты деятельности раскрывают основные задачи внутреннего аудита.
Российский Институт внутренних аудиторов (НПА «ИВА») был создан в 2000 г. и является профессиональной ассоциацией, объединяющей внутренних аудиторов и специалистов в области внутреннего контроля и управления рисками [3]. Институт представляет возможность получить знания в сфере внутреннего аудита и содействует профессиональному развитию внутренних аудиторов в России.
Институт регулярно проводит встречи, которые дают возможность его членам установить контакт с коллегами и обменяться мнениями, обсудить актуальные вопросы. Эксперты ИВА участвуют в семинарах и корпоративных тренингах по внутреннему аудиту, на которых обсуждаются теоретические и практические аспекты внутреннего аудита [3].
Партнерами ИВА являются ведущие профессиональные ассоциации, союзы и институты в области аудита и корпоративного управления [3]. Институт способствует развитию в России, участвуя в экспертизе, разработке, принятии и реализации нормативной базы в сфере корпоративных отношений.
Формирующийся в России внутренний аудит, как правило, сталкивается с рядом трудностей:
1) недопонимание роли внутреннего аудита со стороны как собственников и менеджеров компаний, так и самих внутренних аудиторов, что приводит к неоправданным ожиданиям и разочарованию в деятельности внутренних аудиторов;
2) зависимость внутреннего аудита от исполнительного руководства и, как следствие, потеря наиболее значимого качества объективности;
3) восприятие внутренних аудиторов как корпоративных ревизоров, что усложняет их работу и ведет к общему снижению эффективности внутреннего аудита;
4) отсутствие соответствующего спросу количества квалифицированных внутренних аудиторов, что приводит к серьезным проблемам в подборе специалистов и комплектовании служб внутреннего аудита российских компаний.
Вопросы, связанные с внутренним аудитом, не урегулированы российским законодательством, за исключением отдельных нормативных актов, касающихся финансово-кредитных организаций и внешних аудиторов. В связи с этим можно и нужно использовать наработки внешнего аудита, в частности некоторые федеральные правила (стандарты) аудиторской деятельности.
Материалы правила (стандарта) № 29 «Рассмотрение работы внутреннего аудита» (введено постановлением Правительства РФ от 25.08.06 г. № 523) [4] полезны для организации внутреннего аудита, так как в нем перечисляются условия эффективной работы службы внутреннего аудита, которые оценивает внешний аудитор:
- кадровый состав службы внутреннего аудита;
- порядок документирования работы;
- достаточность полученных доказательств для обоснования выводов по результатам работы внутренних аудиторов;
- полнота раскрытия информации о необычных фактах, выявленных при внутреннем аудите.
Аналогичное правило (стандарт) аудиторской деятельности «Изучение и использование работы внутреннего аудита», одобренное Комиссией по аудиторской деятельности при Президенте РФ 27 апреля 1999 г. [5] (в настоящее время не действующее из-за введения нового правила), имеет раздел 2 «Место внутреннего аудита в управлении экономическим субъектом». В нем представлены условия или факторы, определяющие необходимость организации внутреннего аудита, предназначение и место службы внутреннего аудита, указывается перечень задач, которые могут выполнять внутренние аудиторы.
Правило (стандарт) аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 г.) [6] также считается недействующим, хотя аналога ему до сих пор нет ни в российских, ни в международных аудиторских стандартах. В данном стандарте в качестве задачи внешнего аудитора рассматривается оценка надежности системы бухгалтерского учета и системы внутреннего контроля, при этом перечисляются критерии их надежности, определяющие цели, задачи и функции внутреннего аудитора.
В утратившем силу правиле (стандарте) аудиторской деятельности № 15 «Понимание деятельности аудируемого лица» (введено в действие постановлением Правительства РФ от 7.10.04 г. № 532) [7] представлен перечень факторов, которые влияют на среду контроля и на надежность системы внутреннего контроля в целом. Внутренний аудитор при анализе рисков и оценке их существенности может использовать данный перечень факторов.
В правиле (стандарте) № 8 «Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом» (введено в действие постановлением Правительства РФ от 4.07.03 г. № 405) [8] также перечисляются факторы, по которым оценивается надежность системы внутреннего контроля.
Правило (стандарт) № 7 «Внутренний контроль качества аудита » (введено в действие постановлением Правительства РФ от 4.07.03 г. № 405) [8] довольно подробно описывает порядок организации внутреннего контроля в аудиторских организациях. Таким образом, организации, оказывающие услуги, могут полностью воспользоваться предписанными данным правилом процедурами и принципами внутреннего контроля.
Организации, занимающиеся производством продукции и выполнением работ, могут взять за основу систему построения контроля качества, представленную в данном стандарте.
Многие другие стандарты для внешних аудиторов посвящены описанию контроля сложных и значимых (рисковых) участков учета и информации, раскрываемой в финансовой отчетности. Перечисленные в них требования можно воспринимать как руководство по планированию работы внутреннего аудитора на конкретных участках, например:
1. Обеспечение более тщательного контроля по сделкам с аффилированными лицами (правило (стандарт) № 9 «Аффилированные лица») [8].
2. Контроль за наличием неопределенных обязательств на отчетную дату и отслеживание событий после отчетной даты вплоть до отражения их в финансовой отчетности (правило (стандарт)№ 10 «События после отчетной даты») [9].
4. Контроль за соблюдением принципа непрерывности деятельности путем проведения регулярного экономического анализа финансового состояния и перспективных планов руководства организации (правило (стандарт) № 11 «Применимость допущения непрерывности деятельности аудируемоголица») [9].
5. Обеспечение своевременного выявления и предупреждение умышленных действий по искажению информации и хищению активов (утратившее силу правило (стандарт) № 13 «Обязанности аудитора по рассмотрению ошибок и недобросовестных действий в ходе аудита») [9].
6. Мониторинг качества проводимых инвентаризаций материально-денежных средств и расчетов с контрагентами, предупреждение и отслеживание качества ведения судебных дел и претензионных споров, обеспечение раскрытия в пояснительной записке и других формах финансовой отчетности требуемой законодательством информации о долгосрочных финансовых вложениях по отчетным сегментам (правило (стандарт) № 17 «Получение доказательств в конкретных случаях») [10].
7. Другие стандарты для внешних аудиторов, которые раскрывают требования к качеству финансовой отчетности и, следовательно, направления работы службы внутреннего аудита для достижения положительной оценки состояния бухгалтерского учета и системы внутреннего контроля в целом.
Следует также следует учитывать специфику выполняемой работы – когда аудитор говорит о недостатках или неэффективности систем, процессов и процедур, это воспринимается таким образом, что кто-то из сотрудников компании, будь то руководитель высшего звена или рядовой исполнитель (в зависимости от затрагиваемого вопроса), не выполняет свои обязанности должным образом. У аудируемых лиц нередко возникает вполне естественная защитная реакция, которая в результате может привести к отторжению и оспариванию всего, что делает аудитор.
Риск этого особенно велик в тех компаниях, где руководство склонно предпринимать карательные меры по результатам аудита. Поэтому для внутреннего аудитора так важно осознавать деликатность своей миссии и стараться действовать убеждением, т.е. использовать силу аргументов, а не аргумент силы.
С другой стороны, аудиторы должны постараться убедить руководство в контрпродуктивности подхода с позиции «жесткой руки», в первую очередь ради выполнения миссии и достижения целей внутреннего аудита. Очевидно, что у внутреннего аудитора не должно быть ни малейших признаков надменности или желания продемонстрировать свое превосходство. Сказанное не означает, что аудиторам следует быть мягкими и сговорчивыми, это лишь подчеркивает, что они должны учитывать человеческую психологию и принимать в расчет человеческие слабости.
Целью создания СВК является обеспечение контроля за:
- выполнением требований внешней и внутренней нормативной документации;
- созданием внутренней регламентирующей документации;
- целесообразностью создания (реструктуризацией) организационных структур компании;
- распределением полномочий и функций между подразделениями,
исключением их дублирования;
- правильной реализацией принятых решений ответственными лицами компании [11].
Кроме контрольных функций СВК, как правило, обеспечивает решение следующих задач:
- повышение эффективности услуг и, как следствие, минимизацию затрат;
- обеспечение руководства своевременной информацией об отклонениях от принятых стандартов;
- отслеживание рисков и принятие комплекса мер, способствующих их уменьшению;
- создание и функционирование соответствующих структур для разрешения конфликта интересов, возникающих в процессе деятельности компании.
Главное условие успешного функционирования СВК – это соблюдение принципов эффективности.
СВК создается в интересах руководства компании для целей эффективного осуществления функции управления.
Для полного понимания СВК необходимо проанализировать контрольную среду, обеспечить соответствующую регламентацию ее деятельности и контроль за ее функционированием.
Контрольная среда (КС) – понятие, характеризующее общее отношение, осведомленность и практические действия, мероприятия и процедуры руководства компании, направленные на установление и поддержание СВК [12].
Степень развития КС во многом определяется пониманием руководителями любого уровня необходимости существования системы и целей, для которых она создана. КС формируется из следующих элементов:
1) политики и методов управления (цели, стоящие перед компанией, и способы достижения целей, определяемые руководством компании);
2) организационной структуры компании (в качестве средства для упорядоченного и эффективного ведения профессиональной деятельности);
3) деятельности руководства по поддержанию функционирования системы контрольных методов администрации (отношение руководства к нарушениям, воздействие на нарушителей, использование результатов контроля в целях оптимизации управления компанией);
4) принципа распределения функций управления и ответственности (четкое распределение и эффективное использование персонала позволяет делегировать полномочия и при необходимости определить ответственного исполнителя);
5) методики и процедур работы с персоналом (кадровой политики) (работники компании – важнейший аспект СВК, если они компетентны и заслуживают доверия, то даже при определенных слабостях контроля будет обеспечена надежность в проведении операции); видов и управленческих методов контроля (разностороннее взаимодействие подчеркивает важность контроля и соответствующим образом влияет на ответственность исполнителей и руководителей);
6) внешних влияний (регламентация контроля внешними контролирующими органами: BDO International, Минфином России, ФКЦБ, СРО и т.д.) [13].
Контрольные процедуры – это методы и правила, дополняющие элементы контрольной среды, разработанные в компании для достижения поставленных целей [14].
Методы:
- адекватное разделение обязанностей;
- наличие эффективных процедур санкционирования;
- документирование и систематизация информации;
- фактический контроль и оценка;
- осуществление независимых проверок [15].
Контрольные процедуры направлены на предотвращение, выявление и исправление возможных ошибок [16].
Контрольные процедуры классифицируются следующим образом:
- обязательные контрольные процедуры (определяются внутренней регламентацией по направлениям деятельности);
- специальный контроль;
- процедуры контроля по высокорисковым (чувствительным) проектам.
Обязательные контрольные процедуры определяются в организационном порядке исходя из принципов необходимости и достаточности и должны давать уверенность в том, что бизнес-процессы выполнены в соответствии с принятыми стандартами (см. таблицу).
Таблица – Классификация контрольных процедур

Специальный контроль – это деятельность СВК по проверке конкретных проектов как на постоянной, так и на разовой основе. Одна из основных функций специального контроля — обеспечить выполнение заложенных в организационном порядке контрольных процедур. Процедуры контроля высокорисковых (чувствительных) проектов – это дополнительный контроль, направленный на минимизацию коммерческих рисков.
Коммерческий риск – вероятность возникновения потерь (ущерба) вследствие несоблюдения установленных требований (стандартов), отсутствия преемственности технологий работ и потери ключевого персонала, отставания от ожиданий клиентов. Риск определяется не в количественном (суммовом) выражении, а методом установления характеристик: низкий, средний, высокий. По каждому направлению услуг должны быть установлены критерии отнесения проектов к высокорисковым(чувствительным).
Регламентация представляет собой систему регламентирующих документов, регулирующих деятельность компании, ее подразделений и сотрудников.
Нормативный документ – это предписание, выраженное в виде правила поведения или отправного установления и являющееся регулятором отношений в охватываемых им видах деятельности [11].
Регламентирующие документы следует разделять на внешние нормативные акты и внутренние нормативные документы.
Внешние нормативные акты – документы, исходящие вне зависимости от компании: от государства, BDO International, IFAC, СРО и др.
Внутренние нормативные документы – документы, исходящие от руководства компании.
Внутренние нормативные документы принимаются с целью исполнения требований законодательства и подзаконных актов, обеспечения слаженной работы структурных подразделений и эффективного управления персоналом.
Все документы взаимосвязаны между собой, дополняют друг друга и именно поэтому представляют собой единую систему.
Классификация документов по видам:
1. Внешняя нормативная документация: Федеральные конституционные законы и федеральные законы; указы и распоряжения Президента РФ; нормативно-правовые акты Правительства РФ; Профессиональные стандарты (положения); Методические рекомендации ведомств; Нормативные акты органов исполнительной власти; Консультации.
2. Внутренняя нормативная документация: Устав; решения общего собрания учредителей; Утверждаемые генеральным директором положения, правила, инструкции Приказы, распоряжения генерального директора; Методические разработки, информационные системы; Распоряжения заместителей генерального директора, руководителей служб, отделов (в пределах их полномочий).
Регламентирующие документы являются основой существования СВК. Ими во многом определяется контрольная среда, в них представлены контрольные процедуры, исполнение которых сотрудниками должно давать руководству компании достаточные основания полагать, что при решении задач достигаются поставленные цели.
В целях мониторинга процесса регламентации СВК, выявления и анализа проблем, связанных с ее функционированием, а также разработки предложений по ее совершенствованию в компании создается Служба контроля качества (далее – СКК). Под мониторингом понимается процесс регулярного наблюдения и оценки эффективности работы СВК.
СКК действует на основании положения о СКК, утверждаемого генеральным директором, которое должно отвечать требованиям настоящей концепции.
СКК – это инструмент развития внутреннего контроля, который участвует в мониторинге:
- системы нормативного регулирования СКК: разработки новых и актуализации действующих нормативных документов, регулирующих СКК компании;
- принятия решения по вопросам, еще не урегулированным нормативными документами.
СКК – элемент корпоративного управления компанией, который позволяет ее руководству с достаточной уверенностью утверждать, что персонал на своем уровне правильно понимает политику компании и что все поставленные руководством цели достигаются с соблюдением установленных норм.
СКК способствует развитию компании, снижению рисков и минимизации затрат.
Объектами контроля являются бизнес-процессы компании:
- внутренняя нормативная база;
- разработка, актуализация и внедрение технологий услуг;
- соблюдение профессиональной и корпоративной этики;
- соблюдение конфиденциальности;
- взаимодействие с клиентами (стратегия, независимость);
- качество планирования и выполнения проектов;
- кадровая политика (подбор и наем персонала, внешнее и внутреннее обучение и аттестация, мотивация персонала);
- информационное обеспечение деятельности компании.
Контроль объектов осуществляется контролерами СКК.
Квалификационные требования к контролерам СКК представлены в положении о СКК.
СКК следит за состоянием СКК и обеспечивает ее соответствие характеру и масштабам деятельности компании. СКК непрерывно аккумулирует информацию о работе системы в виде периодических запросов от подконтрольных объектов, анализирует ее, разрабатывает предложения по повышению эффективности их функционирования и представляет их на рассмотрение генеральному директору компании. Генеральный директор с партнерами анализируют поступившие от СКК предложения и принимают соответствующие решения по совершенствованию СКК.
С целью соблюдения конфиденциальности компания обеспечивает защиту от несанкционированного распространения конфиденциальной информации между своими внутренними подразделениями.
С этой целью в компании утверждаются правила ограничения передачи конфиденциальной информации между подразделениями.
Контроль соблюдения конфиденциальности является частью СКК компании и осуществляется руководителем службы безопасности, руководителями направлений (подразделений), контролером СКК.
СКК обеспечивает взаимодействие и подготовку к проверкам внешних контролеров.

Литература:
1. Пугачёв B.B. Внутренний аудит и контроль. Организация внутреннего аудита в условиях экономического кризиса: учебник. М.: Дело и Сервис, 2010. –224 с.
2. Global Institute of Internal Auditors. – Режим доступа: https://join.theiia.org/Pages/default.aspx.
3. Институт внутренних аудиторов. – Режим доступа: http://www.iia-ru.ru/about/info/.
4. Постановление Правительства РФ от 25.08.2006 №523 «О внесении изменений в федеральные правила (стандарты) аудиторской деятельности, утвержденные Постановлением Правительства Российской Федерации от 23 сентября 2002 г. №696».
5. Правило (стандарт) аудиторской деятельности «Изучение и использование работы внутреннего аудита» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 27.04.1999, Протокол №3) (утратил силу).
6. Правило (Стандарт) аудиторской деятельности «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита» (одобрено Комиссией по аудиторской деятельности при Президенте РФ 25.12.1996, протокол №6) (утратил силу).
7. Постановление Правительства РФ от 07.10.2004 №532 «О внесении изменений в федеральные правила (стандарты) аудиторской деятельности, утвержденные Постановлением Правительства Российской Федерации от 23 сентября 2002 г. №696» (ред. от 22.12.2011).
8. Постановление Правительства РФ от 04.07.2003 №405 «О внесении дополнений в федеральные правила (стандарты) аудиторской деятельности».
9. Постановление Правительства РФ от 23.09.2002 №696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности» (ред. от 22.12.2011).
10. Постановление Правительства РФ от 16.04.2005 №228 «О внесении изменений в федеральные правила (стандарты) аудиторской деятельности, утвержденные Постановлением Правительств Российской Федерации от 23 сентября 2002 г. №696.
11. Колесникова Е.Н. Теория и методология ревизии и контроля в сельскохозяйственных производственных кооперативах. Диссертация доктора экономических наук – Режим доступа: http://www.dissercat.com/content/teoriya-i-metodologiya-revizii-i-kontrolya-v-selskokhozyaistvennykh-proizvodstvennykh-kooper.
12. «Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности» (утв. Комиссией по аудиторской деятельности при Президенте РФ).
13. Веретенникова О.Б., Володина Н.В. Система внутреннего контроля в банке: теория и практика // Финансы и кредит. – 2011. - №34 (466). – С.2-6.
14. Контрольные процедуры. – Режим доступа: http://opredelim.com/Контрольные_процедуры/.
15. Сафанов А. Финансовый контроль в контроллинге. – Режим доступа: http://www.intelcont.ru/information/articles/1469/.
16. Кузнецова Л.В. Роль внутреннего контроля в эффективном корпоративном управлении кредитной организацией. – Режим доступа: http://bgscience.ru/lib/7571/.

Источник: Мельник М.В. Организация системы внутреннего аудита и контроля в крупных организациях // Аудиторские ведомости. 2012. №1-2. С. 118 - 134 (статья сокращена, дополнена свежими сведениями и ссылками на литературу)