В последнее время тема внутреннего контроля привлекает все большее внимание. Что же такое система внутреннего контроля, насколько актуально ее внедрение и каким образом оно осуществляется на практике?
Руководители компаний всегда использовали внутренний контроль, хотя чаще всего неформально и не осознавая этого. Ведь во всех организациях, от крупнейших корпораций до небольших семейных бизнесов, обязательно контролируются выполнение распоряжений начальства, расходование денежных средств и т. д.
Усложнение деятельности предприятий и процессов управления ими в последнее десятилетие привело к усложнению процедур внутреннего контроля и к падению его эффективности при неформальном или слабо организованном подходе. Вот почему данная тема стала интенсивно разрабатываться во всех ее аспектах: методологическом, организационном, реализационном.
Всамом общем виде внутренний контроль можно формально определить как наблюдение, обследование и/или проверку соответствия процесса функционирования объекта контроля законам, стандартам, планам, нормам, правилам, приказам, другим принятым управленческим решениям. Выявляя отклонения и устанавливая причины их возникновения, контроль позволяет оперативно разрабатывать и реализовывать на практике мероприятия, нацеленные на оптимальное функционирование проверяемого объекта, повышение эффективности его работы.
Какие же аспекты деятельности современных организаций и предприятий требуют внутреннего контроля и, соответственно, создания и применения СВК? Этих аспектов много, и каждая компания, внедряющая такую систему, должна определить их круг исходя из требований своих владельцев и руководителей, законодательства, международных актов и соглашений, которые составляют условия ее деятельности.
Компоненты внутреннего контроля и требования к СВК
Наиболее авторитетной в настоящее время считается методология внутреннего контроля, разработанная комитетом СОSО (Committee of Sponsoring Organizations of the Treadway Commission - Комитет организаций-спонсоров комиссии Тредвея, создан в 1985 г. в США для формулирования определения внутреннего контроля и обеспечения руководства для оценки его эффективности. Первоначальной целью было курирование Национальной комиссии по злонамеренной финансовой отчетности (National Commission on Fraudulent Financial Reporting], которую возглавлял Джеймс Тредвей. Комитет был создан по инициативе ведущих отраслевых ассоциаций профессионалов (бухгалтеров, аудиторов, финансистов, ревизоров). ). Согласно этой методологии, основными компонентами внутреннего контроля являются:
- контрольная среда (в том числе организационная структура, ее состав, функции и т. д. );
- система управления рисками;
- информационная система (это не только система на базе информационных технологий, а в целом система движения информации в компании);
- контрольная деятельность;
- мониторинг контроля. Современная СВК должна функционировать эффективно и регулярно, быть документированной в формате, понятном аудиторам, а процедуры оценки ее эффективности должны применяться в организации систематически. В отсутствие такой системы проверка деятельности организации проводится либо в рамках аудита, либо в рамках ежегодной проверки ревизионной комиссией финансово-хозяйственной деятельности. Но для собственников предприятий, особенно действующих в динамичной конкурентной среде, получать информацию о состоянии дел подобным образом уже недостаточно. Они нуждаются в оперативных данных, чтобы своевременно реагировать на отклонения. Такими данными их и обеспечивают современные СВК, в рамках которых можно реализовать и профилактические мероприятия, например программы по предотвращению недобросовестных действий сотрудников.
По методологическим основам внедрения и использования внутреннего контроля и СВК уже существует множество публикаций, в том числе в Интернете.
СВК и финансовая отчетность
В настоящее время, пожалуй, самым важным аспектом деятельности организаций, для которого необходимы СВК, является составление достоверной и полной финансовой отчетности. В частности, в конце 2004 г. было принято Положение о деятельности по организации торговли на рынке ценных бумаг, постулирующее, что в компаниях, акции которых находятся в котировальных списках российских бирж, должны действовать комитеты по аудиту из числа независимых директоров. Комитеты должны осуществлять надзор за деятельностью системы внутреннего контроля (СВК) и финансовой отчетностью на всех стадиях ее подготовки. Кроме того, в отдельных отраслях действуют свои регуляторы. Например, в банковской сфере таким регулятором является Центральный банк России (ЦБР). Но требования российских регуляторов по системности, полноте и жесткости пока уступают требованиям регуляторов других стран и международных регуляторов, хотя наблюдается тенденция их сближения.
В 2001 г. в США была признана банкротом крупнейшая корпорация Enron. Ее руководство проводило сомнительные финансовые операции, для прикрытия которых прибегало к фальсификации бухгалтерской отчетности. Эти злоупотребления не смогли обнаружить внешние аудиторы из входившей в "большую пятерку" компании Andersen. Дело Enron показало слабость принятых в то время положений о внутреннем контроле и аудите и вытекающую отсюда незащищенность акционеров публичных компаний от неправильных или злонамеренных действий топ-менеджеров. По результатам расследования банкротства Enron и ряда других компаний был разработан и принят закон Сарбейнса-Оксли (SOX act 2002), где требования к внутреннему контролю и аудиту публичных компаний ужесточились. Аналогичные акты были приняты и в других странах, а также международными органами. После этого системы внутреннего контроля (прежде всего над составлением финансовой отчетности) вышли на первый план для многих компаний. Не стал исключением и российский бизнес.
Особое значение СВК приобретают для тех отечественных организаций, которые активно развиваются, выходят на международные рынки и нуждаются в больших инвестициях. Президент российской консалтинговой группы "Бор-лас" Алексей Ананьин в связи с этим отмечает: "Что нужно, чтобы инвесторы тебе поверили и ты смог реализовать свою программу по развитию и модернизации производства? Нужно быть эффективным, хорошо и понятно управляемым, открытым. Твои результаты должны быть видны и стратегическим инвесторам, и биржевым спекулянтам, и всем остальным. Этим результатам должны доверять, чтобы не было даже намека на повторение истории с Enron".
В зависимости от того, какие аспекты деятельности предприятия являются объектами внутреннего контроля, можно конкретизировать его определение. В случае контроля над составлением финансовой отчетности хорошо подходит следующее: внутренний контроль - процесс, осуществляемый советом директоров, руководством и другим персоналом организации, который направлен на обеспечение разумной уверенности в том, что будут достигнуты цели организации в следующих аспектах: эффективность и результативность деятельности; достоверность финансовой отчетности; соответствие деятельности действующему законодательству.
Создание СВК опирается на законодательные требования, методологии внедрения и исполнения, программные продукты. Для компаний, выходящих на международные фондовые рынки, фактически обязательным является выполнение требований главы 404 закона Сарбейнса-Оксли, которая требует от публичных компаний:
- выявлять риски, связанные с составлением финансовой отчетности;
- подтверждать исполнение соответствующих контрольных процедур и оценивать их эффективность;
- устранять недостатки контрольных процедур;
- постоянно проводить повторные проверки;
- документировать результаты.
Наиболее признанной в мире методологией соблюдения требований главы 404 закона Сарбейнса-Оксли является методология COSO Enterprise Risk Management Framework. На ее основе в мире уже построено немало эффективных систем внутреннего контроля над подготовкой финансовой отчетности (СВКФО). Внедрение СВК по этой методологии - достаточно сложный и творческий процесс, в котором в равной степени важны и применение методологии к условиям данного предприятия, и организационные изменения, и информационное обеспечение, включая решение проблемы данных и настройки программных продуктов.
СВК и средства IT
Информационное обеспечение СВК столь же важно для ее успешной работы, как и правильное решение методологических и организационных проблем. В настоящее время оно реализуется на базе широкого применения информационных технологий.
На мировом и российском рынке уже представлено немало программных продуктов, предназначенных для СВК. В частности, выделяют рынок SOX-software для автоматизации и оптимизации внутреннего контроля над составлением финансовой отчетности (Financial Compliance Process Management Software) в соответствии с законом Сарбейнса-Оксли. Продукты класса SOX-software автоматизируют и объединяют все этапы внутреннего контроля: документирование, мониторинг, тестирование, оценку и отчетность.
К основным функциям SОХ-продуктов относятся: анализ полноты контроля и установление контрольных точек в бизнес-процессах; планирование объема и управление тестированием контролей; процедуры сертификации СВК (как на уровне контрольных процедур, подпроцессов, процессов, так и в целом); централизованный доступ ко всем документам СВК: планам и результатам тестирования, планам корректирующих действий и т. д.
Кроме того, важной функцией этих продуктов является управление полным жизненным циклом документов (документирование исполнения контрольных и корректирующих процедур, регистрация существенных фактов и событий, возможность коллективной работы пользователей по подготовке, согласованию и визированию документов, автоматизация документооборота, поддержка версий документов, историй их редактирования, архивов и т. п. ).
SОХ-продукты должны располагать развитыми средствами анализа, включая инструментальные панели, которые позволяют эффективно проводить контроль СВК, ее элементов, статусов тестирования, корректирующих действий и т. п. в режиме реального времени.
Наиболее продвинутые SQХ-продукты поддерживают ведение детализированных справочников (библиотек) основных логических объектов СВК: бизнес-процессов, целей контроля, потенциальных рисков искажения финансовой отчетности, способов воздействия на риск и т. д. , а также позволяют устанавливать множественные связи между ними: бизнес-процесс > цели контроля > риски > способы воздействия на риск (контрольные процедуры) > тестирование.
В таких продуктах есть средства интеграции с другими информационными системами организации. Если в этих системах уже ведутся справочники статей финансовой отчетности, персонала, организационной структуры компании и т. п. , (Справочники могут вестись различными системами, в частности ведущими корпоративными информационными системами (ERP). ) это позволяет увязывать бизнес-процесс с соответствующими счетами финансовой отчетности. Тем самым устанавливается связь между финансовой отчетностью и возможными рисками, увязываются бизнес-процессы с их владельцами и контролерами, определяются роли и персональная ответственность должностных лиц за бизнес-процессы, за области внутреннего контроля и т. д.
SQХ-продукты предлагаются различными поставщиками, но чаще всего выбирается SОХ-продукт той же компании, которая разработала используемую на предприятии ЕRР-систему.
Пример создания СВК
Примеров построения СВК в России пока немного, и одним из наиболее значительных является проект в ОАО "Магнитогорский металлургический комбинат" (ММК).
В апреле этого года комбинат произвел начальное размещение части своих акций (IРО) на Лондонской фондовой бирже. В этом же месяце на ММК был завершен проект по созданию системы внутреннего контроля над подготовкой финансовой отчетности. Совпадение этих событий не случайно.
ОАО "Магнитогорский металлургический комбинат" - крупнейшее предприятие черной металлургии России, входящее в 20 ведущих сталелитейных компаний мира (по данным журнала Metal Bulletin). Лет пятнадцать назад бытовало мнение, что ММК - "колосс на глиняных ногах": большой объем производства, старое оборудование еще времен Второй мировой войны... Но, принимая "правила игры" мирового металлургического рынка, для которого характерен высокий уровень конкуренции, руководство ММК сумело изменить ситуацию, последовательно проводя политику модернизации предприятия. Одним из шагов на этом пути стало создание комплексной системы управления (ЕRР-системы), призванной охватить все основные аспекты деятельности комбината. Проект был реализован за полтора года по технологии "большого взрыва" , т. е. одновременно по всем направлениям финансово-хозяйственной деятельности с полномасштабным внедрением функционала ЖР-системы. Более того, ввод единой системы управления в эксплуатацию начался на два месяца раньше, чем планировалось: в ноябре 2004 г. вместо января 2005 г.
В 2006 г. руководство ММК инициировало проект по созданию системы внутреннего контроля над подготовкой финансовой отчетности ОАО "ММК" , реализация которого началась в августе того же года. В работах участвовали в том числе и специалисты нашей компании. Они осуществляли разработку и внедрение СВК на базе программного модуля класса SOX-software. Работа по методологической постановке процессов внутреннего контроля ММК велась согласно COSO Enterprise Risk Management Framework. Достаточно большой объем работ пришелся на согласование методологической части проекта, в частности выбор путей применения утвержденной методики проекта к функционалу программного модуля. В результате проекта удалось:
- обеспечить интеграцию процессов СВКФО с единой информационной системой управления ОАО "ММК";
- реализовать процесс корректного документирования информации;
- создать единое информационное поле для работы всех заинтересованных лиц (владельцы бизнес-процессов, внутренние и внешние аудиторы, топ-менеджмент предприятия);
- обеспечить возможность хранения и архивирования информации по СВКФО;
- создать автоматизированный документооборот в рамках СВКФО;
- реализовать возможность разделения полномочий в рамках СВКФО;
- обеспечить необходимую степень защиты информации.
Внедрение СВКФО коснулось пилотных бизнес-процессов "Финансовая отчетность" , "Основные средства" , "Процедуры контроля информационных систем". На завершающем этапе проекта было проведено обучение сотрудников ММК остальным бизнес-процессам. Запланирован режим первичной методологической и технической поддержки эксплуатации программного модуля, который уже используется как формационная среда для построения корпоративной системы управления рисками (ERM). В перспективе созданная СВКФО охватит все дочерние общества группы предприятий ОАО "ММК" , признанные существенными, а модуль будет применяться для выполнения требований стандарта по регулированию международной банковской деятельности Basel II.
Крупные компании планируют инвестировать в СВК
В настоящее время выход на западные фондовые рынки и, соответственно, требования закона Сарбейнса-Оксли определяют в основном развитие систем внутреннего контроля в крупных российских компаниях. Но СВК заслуживают внимания и без этого фактора, о чем говорит недавнее исследование компании "Эрнст энд Янг" , затронувшее 140 компаний в 17 странах мира. Целью исследования было выяснить, инвестируют ли во внутренний контроль крупные компании, деятельность которых не регулируется законом Сарбейнса-Оксли; эффективны ли системы внутреннего контроля для финансовой, операционной и IТ-областей; можно ли получить выгоду в результате инвестиций в обеспечение внутреннего контроля.
Согласно результатам исследования, крупные корпорации сегодня идут на увеличение расходов на организацию СВК. Руководители компаний полагают, что это способствует повышению эффективности их бизнеса благодаря росту доверия инвесторов (50 % опрошенных), совершенствованию существующих процессов и базовой структуры контроля (89 %), более глубокому пониманию основных зон риска (86 %). Но в результатах исследования отмечены и недостатки СВК, прежде всего в области контроля над экспансией на международные рынки, интеграционного процесса в период после приобретений, проектов по недвижимости и строительству, а также в таких финансовых вопросах, как учет операций по договорам (48 %), отсрочки платежей (37 %) и налогообложение (37 %). 57 % респондентов осуществляют сбалансированный мониторинг систем контроля, 21 % следят только за тем, как контролируется подготовка финансовой отчетности. "Данные результаты предполагают наличие недостатков в структуре контроля организации" , - заключает старший менеджер отдела услуг в области бизнес-рисков компании "Эрнст энд Янг" в СНГ Галина Малошенко. При этом официально утвержденная программа по профилактике недобросовестных действий отсутствует у 68 % компаний, хотя свыше трети опрошенных считают наличие такой программы важным или очень важным.
В исследовании отмечается: практически все опрошенные в СНГ компании планируют в ближайшее время значительные инвестиции в улучшение системы внутреннего контроля. В компаниях начинают задумываться не только о соблюдении формальных нормативных требований, но и о формировании такой системы внутреннего контроля, которая позволяла бы на ежедневной основе повышать эффективность операционной деятельности.
