По мнению авторов, использование терминов «внутренний контроль» и «система внутреннего контроля», называющих соответствующие понятия, должно четко различаться. Так, под «внутренним контролем» следует понимать деятельность, процесс, функцию, этап управления, а под «системой внутреннего контроля» – взаимосвязанную совокупность элементов, обладающую системными свойствами. Вместе с тем цели «внутреннего контроля» и «системы внутреннего контроля» одинаковы и сводятся к трем базовым группам целей: операционные цели, информационные цели и цели соблюдения регулирующих норм (комлайенс-цели).
Разница между этими понятиями заключается также в том, что система внутреннего контроля является способом организации внутреннего контроля в конкретной организации. Например, в концепции COSO определено, что внутренний контроль организации могут реализовывать по-разному. В небольшой организации система внутреннего контроля может быть менее формализованной и структурированной, но при этом обеспечивать эффективный внутренний контроль. Определение внутреннего контроля, согласно COSO, намеренно является более широким: так оно позволяет создать основу для применения в организациях, имеющих различную организационно-правовую форму и осуществляющих деятельность в различных отраслях и географических регионах. Используя определения и предлагаемые подходы из концепции COSO, каждая организация создает свою систему внутреннего контроля с учетом специфики деятельности, особенностей организационной структуры, наличия определенных органов управления и подразделений и т.д. Причем под элементами этой системы можно понимать направления деятельности, подразделения, методы и технологии работы, персонал и т.д.
Таким образом, оба эти понятия могут употребляться в отношении организации контроля внутри организации. С учетом вышеизложенного авторами предложены следующие определения внутреннего контроля и системы внутреннего контроля.
Внутренний контроль – деятельность органов управления и персонала организации, направленная на фиксирование негативных отклонений от намеченных результатов и снижение рисков, а также на обеспечение разумной уверенности в достижении целей организации по обеспечению эффективности и результативности деятельности, подготовке достоверной внутренней и внешней отчетности и соблюдению требований регулирующих норм.
В данном определении учтены особенности внутреннего контроля как деятельности / процесса, направленного на достижение определенных целей, а также тот факт, что традиционно контроль рассматривается как функция управления, направленная на выявление имеющихся негативных отклонений от запланированного результата.
Система внутреннего контроля – взаимосвязанная совокупность направлений и компонентов внутреннего контроля, органов управления, подразделений и персонала организации, обладающая свойствами эмерджентности, многомерности, адаптивности и самоорганизации систем, целью которой является эффективность и результативность деятельности организации, подготовка достоверной, полезной и своевременной информации о ее деятельности и соблюдение ею как внешних, так и внутренних регулирующих норм.
В данном определении учтены основные свойства систем, что является принципиально важным для описания системных объектов исследования.
Концепции внутреннего контроля в мировой и отечественной практике
В регулирующих документах по вопросам корпоративного управления различных стран присутствуют требования по оценке СВК и поддержанию ее в эффективном состоянии. Краткий обзор приведен в табл. 2.
Таблица 2
Требования к внутреннему контролю публичных компаний в мировой практике
Содержание требований по внутреннему контролю можно привести к общему знаменателю. Все они, как правило, указывают на необходимость создания, поддержки и периодической оценки системы внутреннего контроля. При этом внимание к данным вопросам должно быть на уровне высшего руководства компаний – Совета директоров (и в их составе Комитетов по аудиту) и исполнительного руководства.
Отдельного внимания заслуживает закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX)10, который был принят в США в 2002 г. в ответ на ряд корпоративных скандалов, связанных с недобросовестными действиями со стороны внешних аудиторов и менеджмента организаций.
Закон действует для любой компании, ценные бумаги которой зарегистрированы в Комиссии по биржам и ценным бумагам США. В законе устанавливается ответственность руководства за эффективность СВК по подготовке финансовой отчетности компании, проведение оценки ее эффективности, документирование проведения оценки и представление в конце отчетного периода письменного подтверждения эффективности действующей СВК. Он также устанавливает необходимость контроля деятельности аудиторов, обеспечения независимости аудиторов и аудиторских комитетов11.
Следует отметить, что в большинстве стран применяется подход «твердого» регулирования, когда устанавливаются четкие требования, обязательные для исполнения (подход «соблюдай»). В то же время в некоторых странах применяется подход «мягкого» регулирования в формате «соблюдай или объясняй» («comply or explain»), который впервые стал использоваться в Великобритании. Суть данного подхода заключается в том, что нельзя все компании привести под общий знаменатель и что им нужна определенная гибкость, чтобы следовать духу Кодекса корпоративного управления или другого регулирующего документа, а не его конкретным положениям, но при этом необходимо обоснованно объяснять отклонения12.
Данный подход имеет определенные преимущества. Практика показала, что «мягкое» регулирование приводит к постепенному росту соответствия требованиям регулирующих документов благодаря тому, что отдает вопросы администрирования в ведение акционеров, которые делают это с помощью рыночных механизмов, таких как ценообразование и голосование на общих собраниях. В то же время у него имеются и недостатки: не всегда достоверная информация о соответствии требованиям («объяснения»), типовые и несодержательные формулировки, используемые компаниями, и несовершенство рыночных механизмов, вследствие которого происходит регулирование несоответствий.
В России в основном применяется «твердое» регулирование, когда нормы о необходимости осуществления внутреннего контроля установлены в нормативных документах как обязательные к исполнению. К таким документам можно отнести, например, закон «О бухгалтерском учете», в котором установлена обязанность по организации и осуществлению внутреннего контроля13. Во исполнение этой нормы Минфином РФ изданы Методические рекомендации № ПЗ-11/201314.
В то же время некоторые документы не имеют статуса нормативно-правовых актов, обязательных к исполнению. Один из таких документов – Кодекс корпоративного управления15. В преамбуле данного документа указано, что Кодекс носит рекомендательный характер. Банк России в своих письмах сообщает о неверном применении российскими организациями подхода «соблюдай или объясняй», которые не представляют объяснения отклонений и их причин, а также информации о мероприятиях по их корректировке и дальнейшим действиям16. Банк России дает конкретные рекомендации по составу и характеру представляемых обществами объяснений по фактам несоответствия положениям Кодекса. Так, кроме подробного описания сути несоответствий предлагается направлять также информацию о ключевых причинах и факторах, вызвавших данные несоответствия, описание механизмов и инструментов, используемых взамен рекомендованных, и о планируемых действиях по совершенствованию модели управления.
Концепции внутреннего контроля
Наряду с нормативно-правовым регулированием в мировой практике применяются общие подходы, методики, концепции внутреннего контроля. Наиболее распространенной является концепция внутреннего контроля COSO, в которой внутренний контроль является неотъемлемой частью всех процессов организации17. В ней четко прослеживается мысль, что внутренний контроль – это не план мероприятий (даже успешно выполненный), не рубеж обороны от бесконтрольных и опасных действий и не охрана от рисков (даже хорошо оснащенная), а процесс, интегрированный в обычную деятельность.
Комитет спонсорских организаций Комиссии Тредуея (The Committee of Sponsoring Organizations of the Treadway Commission) разработал в 1985 г. Концепцию COSO.
Суть модели COSO обычно представляют в виде куба COSO (рис. 1).
Рис. 1. Концепция внутреннего контроля COSO
Модель COSO представляет собой совокупность элементов, структурированных следующим образом:
1. Категории целей:
– операционные – эффективность и экономичность операций, включая сохранность активов;
– подготовка отчетности – качество внутренней и внешней финансовой и нефинансовой отчетности;
– оценка соответствия действующему законодательству и нормам.
2. По взаимосвязанным компонентам:
– контрольная среда;
– оценка рисков;
– контрольные процедуры;
– информация и коммуникация;
– мониторинг.
3. По уровням организационной структуры:
– уровень компании (организации в целом);
– подразделение;
– бизнес-процесс;
– функция.
При этом существует еще 17 фундаментальных принципов, соответствующих каждому компоненту.
Исследование отечественной нормативной базы в области внутреннего контроля позволяет сделать вывод о том, что основой для большинства подходов являются принципы, заложенные в модели COSO.
Другой международный стандарт COBIT18 направлен на снижение рисков информационных технологий. Он не является стандартом по построению только системы внутреннего контроля. Данный документ регулирует область управления и руководства ИТ на предприятии, помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов; в качестве одной из целей руководства ИТ, наряду с оптимизацией ресурсов и получением выгод, рассматривается оптимизация рисков.
Кроме модели COSO существуют альтернативные концепции внутреннего контроля:
– модель внутреннего контроля Cadbury (Институт Профессиональных бухгалтеров Англии и Уэльса), 1992 г.;
– модель COCO, разработанная Советом по критериям контроля Канадского Института дипломированных бухгалтеров в 1995 г. Является адаптированной моделью COSO для целей аудита.
Кроме того, есть другие концепции и стандарты (COBIT, SAC, COSO, SAS 55/78), которые незначительно отличаются друг от друга основными целевыми группами пользователей, компонентами, зонами внутреннего контроля, фокусом, подходами к оценке эффективности внутреннего контроля, но все они направлены на обеспечение эффективного внутреннего контроля19.
Требования к организации внутреннего контроля в России: анализ регулирующих норм
Система регулирующих норм в области организации внутреннего контроля в Российской Федерации несовершенна и находится в стадии становления. Во многом это обусловлено устоявшимися в деловой практике подходами к осуществлению контроля как ревизии или надзора, оставшимися с времен плановой экономики. Некоторые исследователи смешивают понятия «внутренний контроль» и «внутренний аудит».
Так, в проведенном Л.В. Юрьевой и В.С. Сухих исследовании отмечается, что в отдельных нормативных актах, регулирующих сферу внутреннего аудита в государственном секторе, отождествляются понятия «внутренний контроль» и «внутренний аудит» и на подразделение внутреннего аудита возлагаются обязанности по осуществлению внутреннего контроля. В ходе анализа другого федерального закона ими выявлено, что внутренний аудит по какой-то причине осуществляется службой внутреннего контроля и в связи с этим возможно неосуществление оценки надежности уровня эффективности системы внутреннего контроля на предприятии, а также отождествление функций внутреннего аудита и внутреннего контроля20.
Выявлено также, что согласно Закону № 395-121 внутренний аудит занимает двойственное положение: с одной стороны – им осуществляются внутренние контрольные мероприятия, что соответствует функциям системы внутреннего контроля, с другой – тестируется и анализируется СВК как независимым подразделением.
В том же исследовании указано, что в России отсутствует законодательное регулирование внутреннего аудита, что, по их мнению, необходимо для развития внутреннего аудита как полноценной сферы деятельности. Исследователи приходят к выводу, что «в противном случае будет происходить формирование большого количества нормативно-правовых актов в отдельных отраслях финансово-хозяйственной деятельности, в которых могут как дублироваться некоторые положения, так и значительно различаться основные аспекты».
Сравнивая определение и функции внутреннего аудита22и внутреннего контроля согласно концепции COSO, можно прийти к выводу, что внутренний контроль является системным процессом, осуществляемым на всех уровнях организации и охватывающим множество целей. В то же время внутренний аудит – процесс, выполняемый отдельным подразделением (либо аутсорсинговой организацией) по предоставлению оценки СВК для Совета директоров и высшего руководства компании. По сути, внутренний аудит дает оценку СВК для высшего руководства организации. Следовательно, по нашему мнению, внутренний контроль должен охватываться отдельной системой регулирующих актов, отличной от внутреннего аудита.
Существующие исследования нормативно-правовой базы РФ посвящены, как правило, внутреннему аудиту. Внутренний контроль рассматривается только в отношении к внутреннему аудиту. Авторами проведен обзор системы российских нормативных актов, регулирующих внутренний контроль (см. прилож. 1).
Прежде всего, следует остановиться на документах, устанавливающих общие требования к организации внутреннего контроля. Банком России был издан Кодекс корпоративного управления, который является документом, рекомендованным к исполнению акционерными обществами, ценные бумаги которых допущены к организованным торгам, и который является ориентиром по внедрению стандартов корпоративного управления23.
Банк России отмечает, что значительное количество проблемных вопросов, подходы к решению которых рекомендовались в Кодексе, были разрешены на уровне законодательства и ведомственных нормативных правовых актов. Вместе с тем подчеркивается также, что не все вопросы должны и могут быть урегулированы законодательно: во-первых, законодательство не может учитывать все нюансы деятельности организаций, во-вторых, оно не всегда «поспевает» за изменениями деловой практики, и, в-третьих, многие вопросы носят не правовой, а этический характер.
В Кодексе разд. 5, касающийся принципов корпоративного управления, посвящен организации системы управления рисками и внутреннему контролю. Указано, что в обществе должна быть создана эффективная СВК. Далее этот принцип детализирован в рекомендациях. В частности, определено, что Совет директоров общества определяет принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе. Следует отметить, что в настоящее время этот принцип уже закреплен в ст. 65.1 Закона «Об акционерных обществах»24.