В качестве рекомендуемых Банк России предлагает использовать общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как, например, Концепция (COSO). Концепция COSO легла в основу требований и рекомендаций по осуществлению внутреннего контроля, изданных как государственными органами, так и профессиональными объединениями.
Требования по управлению рисками, внутреннему контролю и внутреннему аудиту были законодательно утверждены. Так, в законе «Об акционерных обществах» были закреплены положения, согласно которым Совет директоров должен устанавливать принципы и подходы по внутреннему контролю и утверждать документы соответствующего уровня в этой области.
Нельзя не отметить, что данные положения были первоначально определены в Кодексе корпоративного управления и их закрепление на законодательном уровне говорит о том, что этот вопрос является принципиально важным.
Организация и осуществление внутреннего контроля установлено в законе «О бухгалтерском учете» для всех организаций25. Во исполнение данных норм закона Минфином РФ выпущена Информация № ПЗ-11/2013, которая содержит рекомендации по организации и осуществлению экономическим субъектом внутреннего контроля. В ходе анализа данного документа можно прийти к выводу, что в нем использованы основные подходы, изложенные в COSO: три группы целей (эффективность и результативность, достоверность и своевременность отчетности, комплайенс), пять элементов внутреннего контроля (контрольная среда, оценка рисков, процедуры внутреннего контроля, информация и коммуникация, оценка внутреннего контроля) и т.д. Документ включает общие положения и определения, которые могут помочь организовать СВК компании, но не содержит конкретных рекомендаций по оценке СВК, построению матриц рисков и контрольных процедур, составлению отчетности по СВК26. При этом под комплайенсом понимается соответствие регулирующим нормам.
В Налоговом кодексе РФ для отдельных категорий налогоплательщиков предусмотрен режим налогового мониторинга, в ходе которого налоговые органы в непрерывном режиме отслеживают деятельность налогоплательщика. Для таких налогоплательщиков в п. 7 ст. 105.26 НК РФ установлены требования к наличию системы внутреннего контроля. Данные требования уточнены в отдельном документе – «Требованиях к организации СВК» Федеральной налоговой службы РФ27.
При подробном рассмотрении данного документа можно сделать вывод о том, что в его основе также заложены принципы COSO – цели и компоненты внутреннего контроля. При этом в нем налоговые органы устанавливают более конкретные требования к оценке СВК, описанию рисков и контрольных процедур, составлению и представлению отчетности по СВК в налоговые органы. Но и данный документ также имеет определенные недостатки: отсутствуют многие определения понятий (ручные, автоматизированные, автоматические контрольные процедуры (далее – КП), ключевые и компенсирующие КП и т.д.), нет четких требований к описанию рисков и КП.
Более подробными и применимыми на практике являются методические рекомендации по организации и осуществлению внутреннего контроля28. Данный документ также основан на Концепции COSO и содержит и терминологию, и формы отчетности, и примеры составления матриц рисков и контрольных процедур.
Отдельно следует остановиться на рассмотрении стандартов аудита, содержащих положения по внутреннему контролю. В РФ в настоящее время применяются международные стандарты аудита (далее – МСА), которые утверждаются приказами Минфина РФ. Так, МСА № 315 устанавливает обязанность аудитора оценивать в том числе систему внутреннего контроля организации. В документе дается определение СВК, а также описание компонентов СВК, схожих с компонентами внутреннего контроля Концепции COSO29.
Ряд документов в области внутреннего контроля и внутреннего аудита принят в сфере регулирования деятельности государственных органов.
В целом, по результатам комплексного рассмотрения подходов к определению внутреннего контроля со стороны исследователей, международных концепций организации внутреннего контроля, а также реализации положений по внутреннему контролю в регулирующих документах можно сделать следующие выводы:
1. В научном сообществе существуют различные точки зрения на понятие внутреннего контроля. Среди них можно выделить два основных направления: процессный подход – рассмотрение внутреннего контроля как процесса или деятельности и системный подход – раскрытие внутреннего контроля как системы (внутреннего контроля). Оба эти подхода признают идентичные цели внутреннего контроля и, по сути, рассматривают одно и то же явление. На практике различия в данных подходах позволяют акцентировать внимание на отдельных аспектах данного явления: эффективность и результативность процесса, учет всей входящей и исходящей информации, непрерывность в процессном подходе или взаимосвязь элементов с возникновением специфических свойств в системном подходе.
2. Международные концепции внутреннего контроля также предлагают разные подходы к организации внутреннего контроля в зависимости от того, кто является основным пользователем: акционеры, менеджеры, внутренние или внешние аудиторы, контрольно-надзорные органы и др. Наиболее общей и распространенной является Концепция COSO, которая предлагает широкий подход к организации внутреннего контроля в целом по организации.
3. В регулирующих документах РФ по внутреннему контролю находят отражение положения международных концепций (в т.ч. COSO), исходя из специфики регулируемых отраслей (например, банковской или страховой). В то же время многие положения в части внутреннего контроля законодательно не закреплены и носят рекомендательный характер.
По мнению авторов, в рассмотренных источниках не в полной мере учтены вопросы организации внутреннего контроля в контексте непрерывного совершенствования, а также тенденции последнего времени на цифровую трансформацию бизнеса и автоматизацию процессов и систем. В действительности сейчас цифровизация актуальна для всех сфер деятельности. Так, например, налоговые органы ввели обязательное требование по представлению отчетности преимущественно в электронном виде. В Требованиях к системе внутреннего контроля по налоговому мониторингу налоговыми органами установлено, что уровень зрелости СВК тем выше, чем выше уровень автоматизации контрольных процедур. Аналогичное требование существуют в рекомендациях профессиональных сообществ.
Выявление и оценка рисков также происходит с использованием современных технологий. Реализуются методы анализа «больших данных» (big data), машинного обучения (machine learning), анализа процессов (process mining) для предсказания появления рисков и совершенствования методов их снижения.
С учетом современных тенденций развития, целей и способов контроля в зависимости от уровня управления организацией авторами предлагается рассматривать систему внутреннего контроля организации в следующем виде (см. рис.2).
Рис. 2. Система внутреннего контроля организации
Как видно на рис.2, основой СВК является цикл непрерывного совершенствования Деминга–Шухарта PDCA (plan-do-check-act – «планируй, делай, проверяй, актуализируй»). Данный подход на разных уровнях управления имеет свою интерпретацию. На уровне организации в целом это пять компонентов внутреннего контроля: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг и оценка эффективности. На уровне процессов организации заложен механизм непрерывного совершенствования процессов, уточнения рисков и корректировки контрольных процедур на основе анализа результатов их выполнения, как положительных, так и отрицательных. На уровне операций представлена классическая схема осуществления контрольной процедуры, когда какое-либо действие (результат) сравнивается с определенным эталоном (стандартом), проводится оценка результатов сравнения и при необходимости осуществляется корректировка данного действия (результата).