Введение
Внутренний контроль представляет собой один из ключевых инструментов управления компанией любого масштаба: от небольшого индивидуального предпринимателя до крупной корпорации. Вопрос в том, что контроль может быть устроен совершенно по-разному в каждой организации: где-то он регламентирован, где-то нет, но в том или ином виде он осуществляется всегда и в каждом экономическом субъекте.
В 2002 году Комиссией по ценным бумагам США был принят закон Сарбейнса-Оксли (SOx), который устанавливает основные требования к организациям, акции и ценные бумаги которых размещаются на фондовых биржах США. Все организации, которые прошли регистрацию на фондовой бирже США, а также их дочерние компании обязаны поддерживать эффективную систему внутреннего контроля за составлением финансовой отчетности. Руководство организаций в лице генеральных и финансовых директоров несет высокий уровень персональной ответственности за предоставление достоверной финансовой отчетности. Закон Сарбейнса-Оксли требует, чтобы система внутреннего контроля за подготовкой финансовой отчетности была задокументирована, а также регулярного тестирования данных контролей и мониторинга работы данной системы [1].
Под действие данного закона подпадают не только американские компании, а все компании акции и ценные бумаги которых размещаются на фондовых биржах США независимо от их страновой принадлежности. Из этого следует вывод, что российские компании, которые подходят под вышеперечисленные условия также обязаны внедрить систему внутреннего контроля за подготовкой финансовой отчетности, а также производить регулярную оценку эффективности данной системы.
Основной целью данного исследования является рассмотрение основных компонентов эффективной системы внутреннего контроля в соответствии с законом Сарбейнса-Оксли в целях формирования понимания места внутренних контролей в корпоративном управлении.
Материалы и методы исследования
Для данного был использован следующий материал: закон Сарбейнса-Оксли, а также статьи известных специалистов в области внутреннего контроля: А.Б.Богопольского и А.К.Коптелова. При анализе обозначенных материалов был применен критический подход и формирование собственных выводов и автора на основе его теоретических знаний и практического опыта.
Результаты исследования и их обсуждение
Для выполнения поставленной цели необходимо рассмотреть две ключевые статьи закона Сарбейнса-Оксли, связанные с формированием системы внутреннего контроля: статью 302 и 404 соответственно.
Статья 302 вышеуказанного закона под названием «Корпоративная ответственность за финансовую отчетность» гласит, что руководство организации несет личную ответственность, вплоть до уголовной, за предоставление достоверной информации в финансовой отчетности организации, а также за эффективность системы внутреннего контроля за подготовкой финансовой отчетности.
Статья 404 под названием «Управление и оценка финансового контроля», определяет требования к системе внутреннего контроля, а также к процедурам ее оценки. В частности установлено требование к руководителям по документальной оценке системе внутреннего контроля с отражением всех выявленных существенных недостатков, а также комплекса мер по их устранению. Данная оценка, которая, как правило, проводится внутренними аудиторами организации, должна быть проверена внешними аудиторами, которые формируют отчет с перечнем выявленных недостатков в системе внутреннего контроля за подготовкой финансовой отчетности, а также включают свой вывод по итогам проведенной проверки в общее аудиторское заключение.
Построение эффективной системы внутреннего контроля важно не только для того, чтобы присутствовать на американской бирже, но и для того, чтобы минимизировать потенциальные риски [2].
Контроль в данном случае представляет собой набор согласованных между собой действий, направленных на подготовку, проверку и согласование финансовой отчетности и иных финансовых документов, которые направлены на выявление потенциальных рисков, а также несоответствия установленным нормативным актам (в том числе локальным) в данных документах. Бизнес-процесс, связанный с подготовкой пакетов финансовой отчетности должен включать в себя эффективные контроли за составление данных документов. Наличие эффективных контролей позволит заблаговременно покрывать возникающие риски, возникающие в процессе подготовки финансовой отчетности. Каждый контроль должен быть привязан к одному или нескольким процессам или подпроцессам организации и покрывать один или несколько рисков.
Далее рассмотрим основные этапы формирования системы внутреннего контроля за подготовкой финансовой отчетности:
1) Формирование карты рисков, возникающих при подготовке финансовой отчетности. На данном этапе необходимо: сформировать перечень всех финансовых отчетов и документов – объектов внутреннего контроля, выявить все риски, которые могут возникнуть при подготовке финансовой отчетности, распределить их по уровням влияния (низкий, средний, высокий), сформировать карту рисков;
2) Формализация внутренних контролей. На данном этапе необходимо: разработать контрольные процедуры за подготовкой финансовой отчетности на основе выявленных рисков, сформировать уровень существенности по каждому отчету, определить подход (покрытие контрольными процедурами всех рисков или только высоких, например), выявить наиболее значимые и наиболее часто используемые счета плана счетов и основные типы транзакций в организации, привязать контрольные процедуры к выявленным рискам, разработать матрицу рисков и контрольных процедур (в том числе с учетом неформализованных контрольных процедур, которые применялись ранее), определить ответственных лиц и сроки тестирования отчетности.
3) Тестирование дизайна и операционной эффективности системы внутреннего контроля. На данном этапе необходимо: протестировать дизайна и операционную эффективность существующей системы внутреннего контроля за подготовкой финансовой отчетности, задокументировать результаты оценки. Тестирование внутреннего контроля – это комплекс мероприятий, направленных на оценку эффективности внутреннего контроля. По результатам тестирования формируется вывод о том, позволяет ли контроль выявлять существенные искажения и ошибки, а также является ли контроль эффективным. Тестирование должно проводиться на регулярной основе и, как правило, проводится внутренними аудиторами и также подтверждается внешними аудиторами (по наиболее важным контролям).
4) Определение и устранение недостатков. На данном этапе необходимо: определить, сгруппировать и оценить недостатки, отдельно относящиеся к дизайну и к операционной эффективности внутренних контролей, обобщить выводы, исправить ошибки в контролях и устранить выявленные недостатки.
5) Подготовка отчета по итогам проведенного тестирования. На данном этапе необходимо: подготовить для совета директоров и внешних аудиторов письменный отчет руководства по обеспечению функционирования эффективной системы внутреннего контроля над подготовкой финансовой отчетности.
Далее следует рассмотреть типы контрольных процедур. Чаще всего их делят на превентивные, выявляющие и корректирующие [3].
Основной целью превентивных контрольных процедур является предотвращение нежелательных событий и минимизация рисков, то есть данные контрольные процедуры призваны предотвратить потенциальные потери организации. Рассмотрим примеры превентивных контрольных процедур:
- распределение и разделение полномочий и обязанностей между сотрудниками организации в целях предотвращения мошеннических действия, в том числе связанных с махинацией в отношении отчетности (недопустимо, чтобы один и тот же сотрудник составлял финансовую документацию, например заявку на расход и самостоятельно ее утверждал, в таком случае возникает риск возникновения мошеннических схем, а также искажения финансовой отчетности);
- система внутренних согласований определенных действия (например, согласование с юридическим подразделением при выборе нового поставщика);
- правила, устанавливающие получение соответствующего разрешения от руководителя сотрудника для совершение определенных действий в рамках установленных полномочий (например, сотрудники отдела финансовой отчетности не могут утверждать отдельные отчеты без согласования с финансовым директором);
- наличие эффективной и функционирующей системы документооборота (отсутствие заранее подписанных пустых бланков, внедренная структура электронного документооборота, закрепление электронных подписей за ответственными должностными лицами отдельным локальным актов и т. д.);
- осуществление физического контроля за сохранностью активов организации (охрана складов, наделение данными полномочиями материально-ответственных лиц организации).
Далее рассмотрим выявляющие контрольные процедуры. Выявляющие контроли разрабатываются в целях обнаружение нежелательных действий сотрудников после факта их совершения, то есть они предназначены не для предотвращения возникших потерь, а скорее для их минимизации. Рассмотрим примеры данных контролей:
- плановые и внеплановые проверки деятельности сотрудников организации со стороны руководства;
- аналитические процедуры (финансовый и экономический анализ, расчет различных коэффициентов и показателей, выявление статей финансовой отчетности, повлиявших на невыполнение плановых показателей или искажение отчетности);
- проведение сверок (сверка данных финансовой и управленческой (внутренней) отчетности, а также данных из ERP-систем организации с другими источниками, например, сверка с поставщиками и покупателями);
- проведение инвентаризаций (например, в целях проверки физического наличия запасов материалов и основных средств, которые числятся на балансе организаций);
- проведение аудиторских проверок (как внутренних – подразделением, отвечающим за внутренний аудит в организации, так и внешних – привлеченными внешними аудиторами).
Далее будут рассмотрены корректирующие контрольные процедуры (они представлены не всегда, иногда они рассматриваются как часть выявляющих контрольных процедур). Основной целью корректирующих контрольных процедур является исправление и корректировка ранее допущенных ошибок, исправление допущенных искажений в финансовой отчетности (например, в группах компаний могут применяться корректирующие сверки внутригрупповых оборотов с целью выверки и исправления некорректно проведенных транзакций между основной организаций и его филиалами и/или дочерними организациями.
Наиболее важное значение, если рассматривать вопрос формирования качественной финансовой отчетности, имеют превентивные контрольные процедуры, так как как они активны по существу (требуют определенных действий от работников организации, а в отдельных случаях и от их руководства) и направлены, как правило, на поддержание качества, как бизнес-процессов, так и финансовой отчетности, которая получается по итогам выполнения данных бизнес процессов.
Выявляющие контрольные процедуры также выполняют весомую роль для получения доказательств эффективного функционирования превентивных контроль и, как и предполагается, предотвращают как бизнес потери организации, так и искажения в его финансовой отчетности. Также стоит отметить, что, например, контроли в системе контрольных процедур за надлежащим функционированием и управлением информационными системами (так называемые ИТ-контроли) могут быть как превентивными, так и выявляющими (в силу специфики ИТ-среды).
Стоит подчеркнуть, что ответственным за разработку и внедрение системы внутренних контролей является топ-менеджмент организации, несмотря на то что фактически этим занимаются сотрудники специального подразделения (или отдельной назначенный сотрудник), ответственного за формирование и поддержание системы внутренних контролей, а тестируют эффективность данной системы, как правило, сотрудники подразделения внутреннего аудита.
Поэтому важно предусмотреть механизм получения обратной связи от топ-менеджмента при внедрении системы внутренних контролей. В идеале, необходимо закрепить полномочия одного или нескольких представителей высшего руководства за поддержание системы внутреннего контроля за подготовкой финансовой отчетности. Как минимум, в виде курирования данного процесса. В таком случае процесс получения обратной связи от топ-менеджмента в сторону руководителей подразделений значительно упроститься, а эффективность контролей повысится, так как топ-менеджмент также будет заинтересован в их качественном проведении.
Заключение
По мнению автора, эффективное корпоративное управление невозможно без функционирования эффективной системы внутреннего контроля, особенно в крупных корпоративных структурах. Несмотря на кажущуюся сложность при внедрении регламентированных контрольных процедур, их внедрение впоследствии облегчит управление бизнесом, а также повысит уверенность в формировании достоверной финансовой отчетности, а также снизит риски возникновения мошеннических и коррупционных схем внутри организации.