Системный подход к системе контроля

Организация внутреннего контроля на предприятии

Анализируя последовательность вышедших в свет законодательных актов, поручений правительства и президента Российской Федерации и прослеживая тенденции в развитии вопроса об эффективности и прозрачности ведения бизнеса в России, можно сделать следующий вывод. Темы инвестиционной активности, инновационного развития, операционной эффективности предприятий, сокращения расходов, организации системы внутреннего контроля и внутреннего аудита, а также системы управления рисками для государственных корпораций и компаний, акционерных обществ с государственным участием являются наиболее актуальными. Организация контроля – одно из основных требований государства

На практике перед руководителями предприятий часто встает вопрос, можно ли реализовать имеющиеся рекомендации по построению системы внутреннего контроля и при этом получить экономическую выгоду.

С одной стороны, исполнение функции внутреннего контролера на предприятии, – это расходная статья, и неважно, как она реализована – посредством найма необходимого специалиста либо через аутсорсинг данной услуги силами консалтинговых компаний. С другой стороны, грамотно и эффективно выстроенные системы внутреннего контроля и управления рисками могут способствовать:

• финансовой экономии в прямом смысле этого слова. Например, искажения налоговой базы вследствие ошибочных / неправомерных (недобросовестных) действий работников организации могут быть своевременно обнаружены и скорректированы в текущем налоговом периоде, что избавит предприятие от уплаты штрафов;

• преимуществам, которые иной раз невозможно надежно измерить в денежной оценке. Например, ведение деятельности без получения соответствующих разрешительных документов, что может повлечь не только выплату прямо указанных в законодательстве штрафных санкций, но и наступление репутационных рисков, вплоть до приостановки деятельности, экономический ущерб от которой практически невозможно достоверно рассчитать (простой персонала и незаключенные контракты);

• получению дополнительных возможностей для своевременного выявления рисков или препятствий в достижении поставленных перед организацией целей, а также получению новых возможностей для повышения статуса компании, включая увеличение капитализации, экономический рост, снижение издержек, освоение новых рынков сбыта.

С чего начать организацию процесса построения службы внутреннего контроля – это вопрос, который актуален для руководителей тех предприятий, которые в настоящий момент времени еще не приступили к ее построению. Во-первых, необходимо определиться с подходами: организация самостоятельного подразделения внутри компании, подбор нового сотрудника, обучение штатного сотрудника новой трудовой функции, аутсорсинг услуги или комбинация изложенных вариантов. Ответить на вопрос, какой подход наиболее эффективен, можно только понимая особенности каждой компании, и в случае отсутствия опыта подобную услугу также можно получить в консалтинговых компаниях. Можно также принять решение самостоятельно, основываясь на личном опыте.

Обращаем внимание, что одной из важных задач совета директоров и исполнительного органа является проверка эффективности существующей системы внутреннего контроля на предприятии, того, насколько реализована на практике взаимосвязь всех компонентов внутреннего контроля. Поэтому первым шагом является тестирование существующей системы контроля на предмет ее полноты и достаточности, актуальности и реальности (неформальный подход к исполнению в организации), оценка рисков. Вторым шагом должно быть создание идеальной модели для данной организации. После того как руководитель утвердит модель и выберет способ организации службы, необходимо разработать дорожную карту (план) по совершенствованию контроля с учетом затрат и полученных от них выгод.

При этом следует обратить внимание на рациональный подход к процессу организации контрольной функции, четкому разграничению обязанностей и ответственности, качественное информационное сопровождение, включая автоматизацию бизнес-процессов и контроль за выполнением плана по внедрению.

Для обеспечения единообразных квалификационных требований к специалистам в области внутреннего контроля Министерство труда и социальной защиты Российской Федерации 22 апреля 2015 года утвердило профессиональный стандарт «специалист по внутреннему контролю (внутренний контролер)». Министерство труда рекомендует пройти повышение квалификации специалистам всех уровней, обеспечивающих осуществление внутреннего контроля в экономических субъектах.

Особое внимание руководителя при построении, внедрении, тестировании и организации работы системы внутреннего контроля должно быть направлено на создание благоприятного климата, а именно на достижение понимания важности данной задачи всеми участниками процесса на всех уровнях контроля, соблюдение корпоративной этики и культуры.

Для оценки руководителем предприятия эффективности системы внутреннего контроля необходимо ответить на ряд вопросов о внутренних потребностях организации (операционные, финансовые и соответствия законодательству). Например, такие:

• Направлены ли управленческие решения на достижение целей, заявленных организацией?

• Обеспечивается ли эффективность управления ресурсами общества?

• Все ли риски выявлены и определены ли способы их минимизации и мониторинга?

• Контролируется ли деятельность по соблюдению требований действующего законодательства?

• Обеспечена ли достоверность отражения фактов хозяйственной деятельности?

• Осуществляется ли контроль за достоверностью формирования отчетности?

• Организован ли процесс выявления фактов хищений и противоправных действий сотрудников?

• Обеспечена ли сохранность активов? и т. д.

В работе по построению системы внутреннего контроля руководителю предприятия важно понимать основные задачи внутреннего контроля, способы их реализации. Для этого можно обратиться к популярным методическим рекомендациям: положения Концепции COSO (Комитета спонсорских организаций Комитета Тредуэя) «Внутренний контроль. Интегрированная модель (2013)».

Отдельное внимание руководителю предприятия следует уделить построению эффективной системы управления рисками, включая процессы выявления, оценки и мониторинга рисков. Основные подходы к построению системы управления рисками описаны в Enterprise Risk Management – Integrated Framework (COSO, 2004) и Guidance on Risk Management, Internal Control and Related Financial and Business Reporting The UK Corporate Governance Code, 2014, Financial Reporting Council (FRC). Оценка рисков (как компонент системы внутреннего контроля) необходима по всем бизнес-процессам для разработки и утверждения как профилактических мер, так и планов по их восстановлению в случае наступления негативных событий. Следует отметить, что зачастую руководители предприятий забывают про свою ответственность за своевременное предотвращение рисков и организацию своевременных мер по их недопущению и устранению. Совет директоров определяет «аппетит» к риску, а именно устанавливает уровень приемлемого риска.

Контрольные процедуры утверждаются в политиках и процедурах, которые уменьшают риски недостижения целей руководством. Контрольные процедуры устанавливаются на всех уровнях в организации по всем бизнес-процессам, включая применяемые технологии. Они могут быть как превентивными, так и регистрирующими, и могут включать в себя ручные и автоматические процедуры, например процедуры подписания и согласования документов, сравнение показателей, сверку данных и бизнес-обзоры.

Следующим важным компонентом системы является информационное обеспечение и коммуникации. Руководители либо получают необходимую им информацию, либо сами транслируют ее как внутри организации так и вне. Коммуникации – это непрерывный процесс передачи информации внутри организации и получения ее извне.

Важным аспектом является понимание руководителем предприятия существующих ограничений системы внутреннего контроля как модели. Как и любая модель, основанная на профессиональных суждениях руководства и произведенных расчетах (бизнес-планов, бюджетов), система имеет ограничения, которые могут быть обусловлены следующими обстоятельствами:

• изменением экономической конъюнктуры или законодательства, возникновением новых обстоятельств вне сферы влияния руководства экономического субъекта;

• ошибочными суждениями;

• неправильными интерпретациями и последующими решениями;

• возникновением ошибок в процессе принятия решений;

• форс-мажорными обстоятельствами;

• начальными допущениями, вызванными ошибочными первоначальными целями;

• человеческим фактором;

• пренебрежением руководства и работниками организации правилами внутреннего контроля;

• превышением должностных полномочий руководством или иным персоналом экономического субъекта, включая сговор персонала.

Таким образом, сложность и необходимость постановки эффективного внутреннего контроля требует более детального ознакомления руководителей всех уровней, занятых в организации системы внутреннего контроля каждого бизнес-процесса организации, с возможностями данной системы и необходимой и достаточной степенью зрелости ее конкретной организации. Поэтому Министерство труда сформировало критерии для руководителей всех уровней, занятых в организации и поддержании работы системы внутреннего контроля.

Грамотное построение функциональной системы внутреннего контроля требует от руководителя организации частичного делегирования полномочий работникам организации. Но всегда существует риск человеческого фактора, потому руководителю следует ответить на следующие вопросы:

• правильно ли работник понимает свои обязанности в области внутреннего контроля?

• насколько принципы внутреннего контроля ему понятны?

• какое у работника образование и какой опыт работы?

• насколько требования внутреннего контроля соответствуют его личным KPI, в соответствии с которыми работник получает вознаграждение и т. д. ?

Поэтому международная практика (в частности Институт внутренних аудиторов) рекомендует построение трех линий контроля, в том числе и для эффективной защиты от рисков.

К первому уровню контроля относятся оперативные менеджеры. Именно они отвечают за организацию внутреннего контроля бизнес-процессов, за которые они отвечают. Эти менеджеры являются так называемыми «собственниками» подобных процессов. Их главная задача – организация бизнес-процесса в соответствии с утвержденными стандартами, политиками и процедурами. Например, контроль качества выпускаемой продукции и соответствие этой продукции утвержденному стандарту качества, или организация контроля за количеством, номенклатурой и качеством закупаемых материалов (или сырья) для производства и т.д.

Утвержденные положения, политики, стандарты и регламенты также относятся к первой линии внутреннего контроля. Поскольку предприятия являются живыми организмами и подвергаются постоянному воздействию внешней среды (и внешним рискам), то все внутренние документы и стандарты требуют регулярного пересмотра, чтобы соответствовать требованиям бизнеса. Это относится почти ко всем предприятиям, которые являются «открытыми» системами. По сути первый уровень контроля – это «on-line» контроль.

Ко второму уровню защиты относятся все внутренние контролирующие структурные подразделения, а именно: риск-менеджеры, службы безопасности, лаборатории по проверки качества, финансовый департамент, специалисты по проверке соответствия законодательству и т.д. Именно они контролируют соответствие деятельности предприятия утвержденным целям и задачам, соответствие действующему законодательству, эффективность действий руководства по минимизации угрожающих рисков и т.д. Это – так называемый «post» контроль. Деятельность данных контрольных подразделений направлена на проверку первой линии контроля – а именно, насколько действия операционных менеджеров соответствуют утвержденным стандартам, насколько принятые стандарты соответствуют утвержденному Советом директоров риск-аппетиту и т.д. Руководитель организации своевременно получает информацию от специалистов, находящихся на первой и второй линии контроля для принятия своевременных управленческих решений.

К третьей линии защиты относятся внутренние аудиторы – цель которых, обеспечить уверенность Совету директоров, что поставленные цели и задачи – реалистичны и будут достигнуты, что предприятие ведет деятельности в соответствии с утвержденной стратегий, что утвержденный бюджет выполняется, финансовая отчетность достоверна и т.д. Внутренние аудиторы предоставляют отчеты как руководителям структурных подразделений и руководителю предприятия, так и Совету директоров.

Эффективная работа специалистов на трех уровнях контроля на предприятии позволит минимизировать риски и подготовиться к внешним проверкам, в частности, к внешнему аудиту и проверкам государственных регуляторов. Задача руководителя предприятия заставить работать специалистов на трех уровнях контроля эффективно, в тесной взаимосвязи, чтобы своевременно получать информацию и реагировать на возможные угрозы.

ПОДХОД

К основным компонентам внутреннего контроля относятся:

• контрольная среда;

• оценка рисков;

• контрольные процедуры;

• информация и коммуникации;

• процедуры мониторинга.

ВАЖНО

Предприятия с грамотно организованной структурой корпоративного управления, которые также имеют опыт стратегического планирования, используют процесс бюджетирования и имеют высокоэффективную внутреннюю коммуникацию (как вертикальную, так и горизонтальную), могут вполне обойтись внутренними ресурсами и либо организовать соответствующее подразделение, либо возложить функцию внутреннего контроля на отдельного сотрудника. В случае, если предприятие занимается еще несколькими процессами, то мнение эксперта «со стороны» как поможет в организации данной функции, так и позволит упорядочить все остальные процессы. При этом основная роль как в целеполагании и принятии решений по организации, так и по контролю отводится собственникам компании и совету директоров. Создание отдельных подразделений наиболее эффективно на предприятиях со сложными технологическими и бизнеспроцессами, с высокими рисками и с необходимостью проведения регулярных контрольных процедур и мониторингов. При этом требования к специалистам очень высоки, а именно: наличие специальных знаний, опыта работы, знание действующего законодательства, аналитический склад ума, умение работать с большими массивами информации и т. д.

Структура подобной службы на сегодняшний день не регулируется, а вот квалификационные требования к специалистам сформированы профессиональным стандартом. Идеальной картиной является четкое распределение полномочий, функций и ответственности между всеми участниками процесса контроля: советом директоров, генеральным директором, финансовым директором, главным бухгалтером, руководителями подразделений, персоналом службы внутреннего контроля и прочим персоналом организации.

В предприятиях малого и среднего бизнеса контрольные функции могут быть возложены на отдельных менеджеров по направлениям деятельности с перекрестным контролем, т. е. должен соблюдаться принцип «четырех глаз», при этом задача генерального директора – организация внутреннего контроля.

Совместить «полезное с приятным» возможно, и требования законодательства помогают организовать этот процесс наиболее эффективно. В продолжение требований законодательства отдельными ведомствами разрабатываются методические указания и рекомендации, типовые формы документов, которые необходимо творчески применять на практике с грамотной адаптацией для нужд конкретного предприятия, исходя из его целей, особенностей ведения бизнеса и его масштабов, организационной структуры и т. д.

На практике регулярно сталкиваемся с ситуацией экономии средств организацией. Это приводит к тому, что контрольные подразделения либо не сформированы до конца и в них отсутствует достаточное и необходимое количество персонала, либо квалификационный уровень персонала не достаточен для компетентного выполнения задач. Зачастую отсутствуют внутрифирменные стандарты и методики проверок и проведения последующего мониторинга рисков, исправлений и т. п. При условии эффективного мониторинга обеспечивается постоянное развитие и совершенствование системы внутреннего контроля, что создает условия для ее гибкой настройки и своевременной адаптации к решению новых задач.

ТЕОРИЯ

Риск – это событие или ситуация, которые могут повлиять с определенной вероятностью на достижение поставленных целей, сохранение положительной репутации и оправдание ожиданий собственников, т. е. на цели, ориентиры и планы. Риски – это как угроза для достижения целей, так и возможность освоения новых рынков, достижения заранее не планируемых результатов.

Управление рисками – это процесс, осуществляемый советом директоров, менеджерами и другими сотрудниками, который начинается при разработке стратегии и затрагивает всю деятельность организации. Он направлен на определение событий, которые могут влиять на организацию, и управление связанным с этими событиями риском, а также контроль того, чтобы не был превышен риск-аппетит организации и предоставлялась разумная гарантия достижения целей организации.

АКТЫ, РЕГУЛИРУЮЩИЕ ВНУТРЕННИЙ КОНТРОЛЬ

Конституция и Кодексы Российской Федерации.

Федеральные законы Российской Федерации, в том числе:

• 208-ФЗ от 26.12.1995 г. «Об акционерных обществах»;

• 402-ФЗ от 06.12.2011 г. «О бухгалтерском учете»;

• 273 от 25.12.2008 г. «О противодействии коррупции»;

• 115-ФЗ от 07.08.2001 г. «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

• и другие, в т.ч. о создании государственных корпораций.

Постановления Правительства Российской Федерации, в том числе:

• № 696 от 23.09.2002 г. «Об утверждении федеральных правил (стандартов) аудиторской деятельности»;

• № 667 от 30.06.2012 г. «Об утверждении требований к правилам внутреннего контроля, разрабатываемым организациями, осуществляющими операции с денежными средствами или иным имуществом, и индивидуальными предпринимателями, и о признании утратившими силу некоторых актов Правительства Российской Федерации».

Акты министерств и ведомств, Банка России, в том числе:

• Информация № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности»;

• Приказ Росимущества № 249 от 04.07.2014 г. «Об утверждении методических рекомендаций по организации работы внутреннего аудитора в акционерных обществах с участием Российской Федерации»;

• Письмо ЦБ РФ № 06-52/2463 от 10.04.2014 г. «Кодекс корпоративного управления»;

• Приказ Росимущества № 357 от 21.11.2013 г. «Об утверждении методических рекомендаций по организации работы Совета директоров в Акционерном Обществе»;

• Приказ Росимущества № 306 от 22.08.2014 г. «Об утверждении методики самооценки качества корпоративного управления в компаниях с государственным участием»;

• Приказ Росимущества № 524 от 30.12.2014 г. «Об утверждении Методических рекомендаций по разработке дивидендной политики в акционерных обществах с государственным участием».