В качестве рекомендуемых Банк России предлагает использовать общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как, например, Концепция (COSO). Концепция COSO легла в основу требований и рекомендаций по осуществлению внутреннего контроля, изданных как государственными органами, так и профессиональными объединениями.
Требования по управлению рисками, внутреннему контролю и внутреннему аудиту были законодательно утверждены. Так, в законе «Об акционерных обществах» были закреплены положения, согласно которым Совет директоров должен устанавливать принципы и подходы по внутреннему контролю и утверждать документы соответствующего уровня в этой области.
Нельзя не отметить, что данные положения были первоначально определены в Кодексе корпоративного управления и их закрепление на законодательном уровне говорит о том, что этот вопрос является принципиально важным.
Организация и осуществление внутреннего контроля установлено в законе «О бухгалтерском учете» для всех организаций25. Во исполнение данных норм закона Минфином РФ выпущена Информация № ПЗ-11/2013, которая содержит рекомендации по организации и осуществлению экономическим субъектом внутреннего контроля. В ходе анализа данного документа можно прийти к выводу, что в нем использованы основные подходы, изложенные в COSO: три группы целей (эффективность и результативность, достоверность и своевременность отчетности, комплайенс), пять элементов внутреннего контроля (контрольная среда, оценка рисков, процедуры внутреннего контроля, информация и коммуникация, оценка внутреннего контроля) и т.д. Документ включает общие положения и определения, которые могут помочь организовать СВК компании, но не содержит конкретных рекомендаций по оценке СВК, построению матриц рисков и контрольных процедур, составлению отчетности по СВК26. При этом под комплайенсом понимается соответствие регулирующим нормам.
В Налоговом кодексе РФ для отдельных категорий налогоплательщиков предусмотрен режим налогового мониторинга, в ходе которого налоговые органы в непрерывном режиме отслеживают деятельность налогоплательщика. Для таких налогоплательщиков в п. 7 ст. 105.26 НК РФ установлены требования к наличию системы внутреннего контроля. Данные требования уточнены в отдельном документе – «Требованиях к организации СВК» Федеральной налоговой службы РФ27.
При подробном рассмотрении данного документа можно сделать вывод о том, что в его основе также заложены принципы COSO – цели и компоненты внутреннего контроля. При этом в нем налоговые органы устанавливают более конкретные требования к оценке СВК, описанию рисков и контрольных процедур, составлению и представлению отчетности по СВК в налоговые органы. Но и данный документ также имеет определенные недостатки: отсутствуют многие определения понятий (ручные, автоматизированные, автоматические контрольные процедуры (далее – КП), ключевые и компенсирующие КП и т.д.), нет четких требований к описанию рисков и КП.
Более подробными и применимыми на практике являются методические рекомендации по организации и осуществлению внутреннего контроля28. Данный документ также основан на Концепции COSO и содержит и терминологию, и формы отчетности, и примеры составления матриц рисков и контрольных процедур.
Отдельно следует остановиться на рассмотрении стандартов аудита, содержащих положения по внутреннему контролю. В РФ в настоящее время применяются международные стандарты аудита (далее – МСА), которые утверждаются приказами Минфина РФ. Так, МСА № 315 устанавливает обязанность аудитора оценивать в том числе систему внутреннего контроля организации. В документе дается определение СВК, а также описание компонентов СВК, схожих с компонентами внутреннего контроля Концепции COSO29.
Ряд документов в области внутреннего контроля и внутреннего аудита принят в сфере регулирования деятельности государственных органов.
В целом, по результатам комплексного рассмотрения подходов к определению внутреннего контроля со стороны исследователей, международных концепций организации внутреннего контроля, а также реализации положений по внутреннему контролю в регулирующих документах можно сделать следующие выводы:
1. В научном сообществе существуют различные точки зрения на понятие внутреннего контроля. Среди них можно выделить два основных направления: процессный подход – рассмотрение внутреннего контроля как процесса или деятельности и системный подход – раскрытие внутреннего контроля как системы (внутреннего контроля). Оба эти подхода признают идентичные цели внутреннего контроля и, по сути, рассматривают одно и то же явление. На практике различия в данных подходах позволяют акцентировать внимание на отдельных аспектах данного явления: эффективность и результативность процесса, учет всей входящей и исходящей информации, непрерывность в процессном подходе или взаимосвязь элементов с возникновением специфических свойств в системном подходе.
2. Международные концепции внутреннего контроля также предлагают разные подходы к организации внутреннего контроля в зависимости от того, кто является основным пользователем: акционеры, менеджеры, внутренние или внешние аудиторы, контрольно-надзорные органы и др. Наиболее общей и распространенной является Концепция COSO, которая предлагает широкий подход к организации внутреннего контроля в целом по организации.
3. В регулирующих документах РФ по внутреннему контролю находят отражение положения международных концепций (в т.ч. COSO), исходя из специфики регулируемых отраслей (например, банковской или страховой). В то же время многие положения в части внутреннего контроля законодательно не закреплены и носят рекомендательный характер.
По мнению авторов, в рассмотренных источниках не в полной мере учтены вопросы организации внутреннего контроля в контексте непрерывного совершенствования, а также тенденции последнего времени на цифровую трансформацию бизнеса и автоматизацию процессов и систем. В действительности сейчас цифровизация актуальна для всех сфер деятельности. Так, например, налоговые органы ввели обязательное требование по представлению отчетности преимущественно в электронном виде. В Требованиях к системе внутреннего контроля по налоговому мониторингу налоговыми органами установлено, что уровень зрелости СВК тем выше, чем выше уровень автоматизации контрольных процедур. Аналогичное требование существуют в рекомендациях профессиональных сообществ.
Выявление и оценка рисков также происходит с использованием современных технологий. Реализуются методы анализа «больших данных» (big data), машинного обучения (machine learning), анализа процессов (process mining) для предсказания появления рисков и совершенствования методов их снижения.
С учетом современных тенденций развития, целей и способов контроля в зависимости от уровня управления организацией авторами предлагается рассматривать систему внутреннего контроля организации в следующем виде (см. рис.2).
Рис. 2. Система внутреннего контроля организации
Как видно на рис.2, основой СВК является цикл непрерывного совершенствования Деминга–Шухарта PDCA (plan-do-check-act – «планируй, делай, проверяй, актуализируй»). Данный подход на разных уровнях управления имеет свою интерпретацию. На уровне организации в целом это пять компонентов внутреннего контроля: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг и оценка эффективности. На уровне процессов организации заложен механизм непрерывного совершенствования процессов, уточнения рисков и корректировки контрольных процедур на основе анализа результатов их выполнения, как положительных, так и отрицательных. На уровне операций представлена классическая схема осуществления контрольной процедуры, когда какое-либо действие (результат) сравнивается с определенным эталоном (стандартом), проводится оценка результатов сравнения и при необходимости осуществляется корректировка данного действия (результата).
На каждом уровне организации СВК представлены различные цели: на верхнем уровне – 3 «классические» группы целей (операционные, информационные и комплайенс), на уровне процессов – цели достижения результатов процессов наиболее эффективным и экономичным образом и на уровне операций – цели соответствия установленным стандартам.
Выводы по главе 1
1. Несмотря на то что термины «внутренний контроль» и «система внутреннего контроля» приводятся в научной литературе и регулирующих документах в различной интерпретации, в большинстве из них отсутствуют акценты на особенностях понятий, обозначенных данными терминами.
2. На основе критического анализа специальной литературы и регулирующих документов уточнены понятия «внутренний контроль» и «система внутреннего контроля». В определении внутреннего контроля указано на направленность контроля с целью снижения негативных отклонений от запланированного результата. Система внутреннего контроля определена с учетом взаимодействия друг с другом входящих в нее элементов и возникающих в результате этого отличительных системных свойств.
3. Рассмотрены требования к внутреннему контролю в мировой практике в условиях действия различных международных концепций. По результатам анализа возможности их использования российскими организациями выявлена необходимость адаптации теоретико-методологических подходов на практике.
4. Анализ основных действующих в РФ регулирующих норм в области внутреннего контроля и внутреннего аудита выявил отсутствие четкого разделения данных понятий. Установлена тенденция постепенного внедрения норм международных концепций внутреннего контроля в российском правовом поле, в особенности Концепции COSO.
5. Анализ подходов к интерпретации внутреннего контроля позволил авторам разработать схему организации внутреннего контроля, учитывающую необходимость его осуществления на всех уровнях управления организации и предусматривающую непрерывное совершенствование в условиях циклического процесса принятия решений.
Глава 2. Общие центры обслуживания в России
История возникновения общих центров обслуживания в России: экономический аспект
Аутсорсинг в настоящее время активно используется многими крупными компаниями как в России, так и за рубежом. Как правило, на аутсорсинг передаются функции, поддерживающие ведение основной деятельности. Это может быть административно-хозяйственное обеспечение (клининг, питание), ИТ- и кадровое сопровождение, юридические и бухгалтерские услуги и др. Передача некоторых функций не несет серьезных рисков для организаций, в то время как другие критически важны, так как предполагают передачу аутсорсеру инсайдерской информации. Для снижения рисков утечки значимой информации крупными корпорациями создаются зависимые от них юридические лица или выделяются структурные подразделения. Как правило, в первую очередь это касается аутсорсинга учетной функции, передача которой стороннему лицу допускается законодательством РФ .
Ведение бухгалтерского учета в соответствии с законом «О бухгалтерском учете» организуется руководителем экономического субъекта. Законом также допускается возложение обязанностей по ведению учета и составлению финансовой отчетности на другое лицо. Требования для такого стороннего лица действуют такие же, как для главного бухгалтера или иного лица организации, на которого возложены обязанности по ведению бухгалтерского учета. Если это юридическое лицо, то оно должно иметь в штате не менее одного работника, соответствующего указанным требованиям. Данные требования действуют и для организаций, оказывающих услуги по ведению бухгалтерского учета.
Передача функции ведения бухгалтерского учета сторонней организации, как правило, происходит в следующих случаях:
– малый или средний бизнес в несложных видах деятельности (например, торговля) передает функцию учета сторонней организации. При этом исполнитель никак организационно или экономически не связан с заказчиком и специализируется на ведении учета и составлении бухгалтерской (финансовой) отчетности. По сути, это аутсорсинг функции в чистом виде;
– крупная корпорация, в составе которой может быть несколько взаимосвязанных компаний, передает функцию учета подразделению, филиалу либо отдельному юридическому лицу, связанному с ней каким-либо образом (имеет общего собственника, общие органы управления и т.д.). Это т.н. общие центры обслуживания (далее – ОЦО), практика создания которых распространена по всему миру. В данном случае аутсорсинг функции происходит скорее формально, так как фактически операции переводятся в дочернюю или аффилированную компанию (подразделение, филиал), т.е. происходит инсорсинг функции.
ОЦО создаются крупными корпорациями для достижения следующих целей:
– повышение прозрачности управляемости бизнеса за счет получения стандартизированной, более достоверной и оперативно обновляемой информации по всем предприятиям, входящим в группу;
– снижение совокупных издержек за счет унификации и стандартизации процессов обработки больших объемов операций и исключения дублирования функций на разных уровнях управленческой иерархии;
– возможность масштабирования при расширении бизнеса и приобретении (образовании) новых предприятий, которое позволит быстро включить новые элементы в действующую технологическую и управленческую иерархию компании;
– повышение инвестиционной привлекательности как компании в целом, так и отдельных предприятий30.
Мотивы создания ОЦО могут быть различными: стратегическими, организационными, политическими, техническими, экономическими. Практика создания ОЦО показывает, что далеко не все первоначально запланированные цели и мотивы могут быть подтверждены в последующем. Например, М. Янсенн и А. Йоха в исследовании ОЦО в публичном секторе указывают на факт неподтверждения после запуска ОЦО таких мотивов, как повышение продуктивности, снижение стоимости и неопределенности, концентрация инноваций, высокий уровень обслуживания и др. Вместе с тем достигнуты такие первоначально не заявленные цели, как лучшая предсказуемость затрат, сокращение избыточных мощностей за счет консолидации систем, распространение и внедрение успешных практик и др.31.
По результатам глобального исследования, проведенного компанией «Делойт», большинство компаний также выделяют такие преимущества внедрения ОЦО, как повышение эффективности системы внутреннего контроля; повышение качества бизнес-процессов; повышение качества обслуживания; снижение нагрузки на бизнес-функции; повышение соответствия нормативным требованиям32.
При создании ОЦО могут возникнуть определенные сложности: различия в правовом (в том числе и налоговом) регулировании их деятельности на территории других стран; значительный срок окупаемости инвестиционных затрат на создание, который может составлять несколько лет, потеря сотрудниками ощущения личного контакта при решении вопросов, которые раньше можно было решить при непосредственном обращении в подразделение предприятия, и разрыв бизнес-процесса между предприятием и ОЦО, который может сам по себе стать «слабым звеном» в процессе и нести повышенные риски при неправильной его организации33.