Концепции внутреннего контроля
Наряду с нормативно-правовым регулированием в мировой практике применяются общие подходы, методики, концепции внутреннего контроля. Наиболее распространенной является концепция внутреннего контроля COSO, в которой внутренний контроль является неотъемлемой частью всех процессов организации17. В ней четко прослеживается мысль, что внутренний контроль – это не план мероприятий (даже успешно выполненный), не рубеж обороны от бесконтрольных и опасных действий и не охрана от рисков (даже хорошо оснащенная), а процесс, интегрированный в обычную деятельность.
Комитет спонсорских организаций Комиссии Тредуея (The Committee of Sponsoring Organizations of the Treadway Commission) разработал в 1985 г. Концепцию COSO.
Суть модели COSO обычно представляют в виде куба COSO (рис. 1).
Рис. 1. Концепция внутреннего контроля COSO
Модель COSO представляет собой совокупность элементов, структурированных следующим образом:
1. Категории целей:
– операционные – эффективность и экономичность операций, включая сохранность активов;
– подготовка отчетности – качество внутренней и внешней финансовой и нефинансовой отчетности;
– оценка соответствия действующему законодательству и нормам.
2. По взаимосвязанным компонентам:
– контрольная среда;
– оценка рисков;
– контрольные процедуры;
– информация и коммуникация;
– мониторинг.
3. По уровням организационной структуры:
– уровень компании (организации в целом);
– подразделение;
– бизнес-процесс;
– функция.
При этом существует еще 17 фундаментальных принципов, соответствующих каждому компоненту.
Исследование отечественной нормативной базы в области внутреннего контроля позволяет сделать вывод о том, что основой для большинства подходов являются принципы, заложенные в модели COSO.
Другой международный стандарт COBIT18 направлен на снижение рисков информационных технологий. Он не является стандартом по построению только системы внутреннего контроля. Данный документ регулирует область управления и руководства ИТ на предприятии, помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов; в качестве одной из целей руководства ИТ, наряду с оптимизацией ресурсов и получением выгод, рассматривается оптимизация рисков.
Кроме модели COSO существуют альтернативные концепции внутреннего контроля:
– модель внутреннего контроля Cadbury (Институт Профессиональных бухгалтеров Англии и Уэльса), 1992 г.;
– модель COCO, разработанная Советом по критериям контроля Канадского Института дипломированных бухгалтеров в 1995 г. Является адаптированной моделью COSO для целей аудита.
Кроме того, есть другие концепции и стандарты (COBIT, SAC, COSO, SAS 55/78), которые незначительно отличаются друг от друга основными целевыми группами пользователей, компонентами, зонами внутреннего контроля, фокусом, подходами к оценке эффективности внутреннего контроля, но все они направлены на обеспечение эффективного внутреннего контроля19.
Требования к организации внутреннего контроля в России: анализ регулирующих норм
Система регулирующих норм в области организации внутреннего контроля в Российской Федерации несовершенна и находится в стадии становления. Во многом это обусловлено устоявшимися в деловой практике подходами к осуществлению контроля как ревизии или надзора, оставшимися с времен плановой экономики. Некоторые исследователи смешивают понятия «внутренний контроль» и «внутренний аудит».
Так, в проведенном Л.В. Юрьевой и В.С. Сухих исследовании отмечается, что в отдельных нормативных актах, регулирующих сферу внутреннего аудита в государственном секторе, отождествляются понятия «внутренний контроль» и «внутренний аудит» и на подразделение внутреннего аудита возлагаются обязанности по осуществлению внутреннего контроля. В ходе анализа другого федерального закона ими выявлено, что внутренний аудит по какой-то причине осуществляется службой внутреннего контроля и в связи с этим возможно неосуществление оценки надежности уровня эффективности системы внутреннего контроля на предприятии, а также отождествление функций внутреннего аудита и внутреннего контроля20.
Выявлено также, что согласно Закону № 395-121 внутренний аудит занимает двойственное положение: с одной стороны – им осуществляются внутренние контрольные мероприятия, что соответствует функциям системы внутреннего контроля, с другой – тестируется и анализируется СВК как независимым подразделением.
В том же исследовании указано, что в России отсутствует законодательное регулирование внутреннего аудита, что, по их мнению, необходимо для развития внутреннего аудита как полноценной сферы деятельности. Исследователи приходят к выводу, что «в противном случае будет происходить формирование большого количества нормативно-правовых актов в отдельных отраслях финансово-хозяйственной деятельности, в которых могут как дублироваться некоторые положения, так и значительно различаться основные аспекты».
Сравнивая определение и функции внутреннего аудита22и внутреннего контроля согласно концепции COSO, можно прийти к выводу, что внутренний контроль является системным процессом, осуществляемым на всех уровнях организации и охватывающим множество целей. В то же время внутренний аудит – процесс, выполняемый отдельным подразделением (либо аутсорсинговой организацией) по предоставлению оценки СВК для Совета директоров и высшего руководства компании. По сути, внутренний аудит дает оценку СВК для высшего руководства организации. Следовательно, по нашему мнению, внутренний контроль должен охватываться отдельной системой регулирующих актов, отличной от внутреннего аудита.
Существующие исследования нормативно-правовой базы РФ посвящены, как правило, внутреннему аудиту. Внутренний контроль рассматривается только в отношении к внутреннему аудиту. Авторами проведен обзор системы российских нормативных актов, регулирующих внутренний контроль (см. прилож. 1).
Прежде всего, следует остановиться на документах, устанавливающих общие требования к организации внутреннего контроля. Банком России был издан Кодекс корпоративного управления, который является документом, рекомендованным к исполнению акционерными обществами, ценные бумаги которых допущены к организованным торгам, и который является ориентиром по внедрению стандартов корпоративного управления23.
Банк России отмечает, что значительное количество проблемных вопросов, подходы к решению которых рекомендовались в Кодексе, были разрешены на уровне законодательства и ведомственных нормативных правовых актов. Вместе с тем подчеркивается также, что не все вопросы должны и могут быть урегулированы законодательно: во-первых, законодательство не может учитывать все нюансы деятельности организаций, во-вторых, оно не всегда «поспевает» за изменениями деловой практики, и, в-третьих, многие вопросы носят не правовой, а этический характер.
В Кодексе разд. 5, касающийся принципов корпоративного управления, посвящен организации системы управления рисками и внутреннему контролю. Указано, что в обществе должна быть создана эффективная СВК. Далее этот принцип детализирован в рекомендациях. В частности, определено, что Совет директоров общества определяет принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе. Следует отметить, что в настоящее время этот принцип уже закреплен в ст. 65.1 Закона «Об акционерных обществах»24.