Содержание к диссертации
Введение
Глава 1. Теоретические основы формирования системы внутреннего контроля 11
1.1. Контроль как функция управления хозяйственным субъектом 11
1.2. Экономическое содержание системы внутреннего контроля 17
1.3. Законодательные основы организации внутреннего контроля (зарубежный и отечественный опыт) 41
Глава 2. Методические подходы к организации внутреннего контроля 48
2.1. Сравнение концепций внутреннего контроля: COBIT, SAC, COSO и SAS 55, SAS 78. Содержание закона Сарбейнса-Оксли 48
2.2. Анализ западного опыта применения закона Сарбейнса-Оксли для подготовки финансовой отчетности 70
2.3. Разработка системы внутреннего контроля для управления рисками, связанными с мошенничеством 97
Глава 3. Методика организации системы внутреннего контроля в компании на основе закона сарбейнса-оксли 110
3.1. Методика планирования работ по организации контроля 110
3.2. Компоненты системы внутреннего контроля и отчетности 127
3.3. Документирование 138
3.4. Оценка результативности работы системы внутреннего контроля 148
3.5. Оценка недостатков системы внутреннего контроля и отчетности 166
Заключение 172
- Экономическое содержание системы внутреннего контроля
- Законодательные основы организации внутреннего контроля (зарубежный и отечественный опыт)
- Анализ западного опыта применения закона Сарбейнса-Оксли для подготовки финансовой отчетности
- Компоненты системы внутреннего контроля и отчетности
Введение к работе
Актуальность темы диссертационного исследования. За последние несколько лет в мире произошло огромное количество корпоративных скандалов, банкротств и судебных разбирательств, приведших к кризису доверия к финансовой отчетности со стороны потенциальных инвесторов. Все это показало, что существующие модели управления компаниями, в том числе в странах с развитой рыночной экономикой обладают существенными недостатками. В связи с этим создание системы внутреннего контроля в компании приобретает все большую актуальность.
Наличие системы внутреннего контроля создает реальные предпосылки успешного развития бизнеса и роста конкурентоспособности предприятия.
В России практика создания подразделений внутреннего аудита (или служб внутреннего контроля) насчитывает лишь несколько лет. Ранее такие подразделения формировались на базе реорганизации контрольно-ревизионных управлений, основной задачей которых считалась проверка сохранности активов. Такие контрольно-ревизионные управления не занимаются оценкой системы управления рисками и не являются подразделениями, независимыми от исполнительного руководства, т. е. подчиняются непосредственно менеджменту.
Основные преимущества наличия системы внутреннего контроля в самой организации состоят в том, что при внутреннем контроле возможно улучшение качества организации бухгалтерского учета компании; система внутреннего контроля положительно сказывается на дальнейшем развитии бизнеса и помогает в привлечении инвестиций или кредитов. Появляются новые возможности развития бизнеса в связи с наличием налаженной и контролируемой системы финансового подразделения предприятия. Еще одно преимущество наличия системы внутреннего контроля состоит в повышении качества работы филиалов и структурных подразделений компании в связи с надзором за их деятельностью. Необходимо отметить, что система внутреннего контроля компании способна выявлять скрытые резервы по использованию материальных и трудовых ресурсов и стимулировать разработки мероприятий по снижению себестоимости выпускаемой продукции.
С точки зрения нормативно-правового регулирования организации системы внутреннего контроля на предприятии, можно выделить следующие основные законы и нормативно-правовые акты, содержащих целый ряд критериев, которые организации должны учитывать в своей деятельности: Программа экономических реформ корпоративного права 2004 г., Акт о компаниях (аудит, расследования и общественные учреждения) 2004 г., Акт USA PATRIOT, Закон о коррупционных действиях за границей, различные стандарты бирж NYSE и NASDAQ и т. д.
Однако особо значимым на сегодняшний день является закон Сарбейн-са-Оксли (SOX, 2002 г.). Данный закон расширяет давно существующее требование к открытым акционерным обществам по созданию и поддержанию системы внутреннего контроля, возлагая обязанность на руководство компа-
ний представлять информацию о результативности этой системы, а на независимого аудитора – удостоверять предоставленные сведения.
В России осознание необходимости создания аналогичной законодательной базы появилось недавно. В 2013 году Министерством финансов РФ был подготовлен проект рекомендаций в области бухгалтерского учета «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности». В рекомендациях приведены, в частности, общие подходы к организации внутреннего контроля, а также описаны элементы внутреннего контроля и необходимые процедуры. Следует также отметить, что в основе данного проекта лежат принципы закона Сарбейнса-Оксли. В настоящее время данный проект по-прежнему находится в разработке.
Недостаточная теоретическая разработанность методических и организационных аспектов в области организации системы внутреннего контроля во многом обусловливает неэффективность практических управленческих решений. Обоснование направлений организации и внедрения систем внутреннего контроля на примере зарубежного опыта представляется актуальным как с теоретической, так и практической точек зрения.
Актуальность, теоретическая и практическая значимость совершенствования организации внутреннего контроля в российских компаниях, а также наличие целого ряда нерешенных в этой области проблем и их значимость в современных условиях определили выбор темы, цели и задачи исследования.
Степень разработанности научной проблемы. Анализ работ отечественных и зарубежных авторов показывает наличие проблем в области организации системы внутреннего контроля финансовой отчетности в компании. Это определило необходимость рассмотрения работ по теории контроля, изучения законодательных актов разных стран, а также практических работ, посвященных различным методикам организации системы внутреннего контроля в компании.
Основой исследования послужили вопросы корпоративного управления и организации внутреннего контроля, затронутые в работах таких отечественных авторов, как: Д.А. Аллахвердян, В.Д. Андреев, И.А. Белобжецкий, Н.Д. Бровкина, Э.А. Вознесенский, Ю.А. Данилевский, Г.В. Кулинина, А.Д. Ларионов, Н.С. Малеин, А.С. Наринский, Г.И. Пашигорева, М.Л. Слуцкин, Я.В. Соколов, Г.А. Соловьев, Л.В. Сотникова, В.И. Подольский и др.
Дж.Г. Сигел, В.П. Суйц, А.Д. Шеремет, Дж.К. Шим и др. ученые подчеркивали в своих работах значимость содержания методических основ ведения контроля внутри организации.
В работах, посвященных проблемам аудита, внутренний контроль рассматривается как объект аудита, обеспечивающий достоверность мнения аудиторов. К таким работам можно отнести труды А.А. Тереховой, А.Ф. Аксененко, В.В. Бурцевой, С.М. Бычковой, Н.Г. Гаджиевой, Ю.Л. Данилевского, П.И. Камышанова, А.Н. Кизилова, Н.Т. Лабынцева, О.А.Мироновой, В.И.
Подольского, В.И. Петровой, П.В. Ревенкова, В.П. Суйца, А.А.Терехова и других.
Отдельные теоретические и методологические подходы к формированию системы внутреннего контроля в компаниях различных отраслей экономики рассматривались в работах В.А. Бабина, Е.А. Еленевской, В.Н. Нестерова, В.Л. Поздеева и многих других.
Необходимо отметить также работы таких зарубежных авторов, как: Э.А. Аренс, А. Берли, Ш. Датар, К. Друри, Г. Демсец, Дж. К. Лоббек, Р. Манн, Э. Майер, Г. Минз, У. Меклинг и М. Дженсен, Р. Монтгомери, Ю. Фам, Д. Хан, Ч. Т. Хорнгрен, Дж. Фостер, и др.
Оценка работ этих авторов позволяет выделить следующие проблемные вопросы: недостаток информации о методах разработки и внедрения системы контроля за подготовкой финансовой отчетности, противоречивые подходы к определению сущности контроля, его целей.
Для определения того, каким образом в настоящее время на предприятиях реализуется процесс внутреннего контроля, были изучены статьи русских и зарубежных исследователей, статистические данные различного рода исследований, проведен анализ аудиторских данных (компании большой четверки, Big 4). Данная статистика показала, что в крупных компаниях система внутреннего контроля работает на периодической основе, процедуры выполняются не полностью; а малый и средний бизнес не применяет контрольные процедуры при подготовке финансовой отчетности.
Цель и задачи диссертационного исследования. Цель настоящего исследования заключалась в разработке и обосновании нового подхода по созданию и внедрению системы контрольных процедур внутри компании любого масштаба, основываясь на зарубежном опыте, в частности на законе Сарбейнса-Оксли.
Для достижения данной цели были поставлены следующие основные задачи:
уточнить понятие «внутренний контроль», изучить проблемы контроля;
провести анализ существующих подходов по разработке и внедрению системы внутреннего контроля для определения направлений контроля, удовлетворяющих информационные потребности пользователей;
раскрыть сущность и содержание системы внутреннего контроля в корпоративном управлении и оценить современные требования к его функционированию в компаниях;
проанализировать существующую законодательную базу РФ и зарубежное законодательство в области регулирования внутреннего контроля и отчетности компаний;
разработать методику бухгалтерских контрольных процедур, направленных на выявление фальсификации;
разработать алгоритм по организации системы внутреннего кон
троля на предприятии.
Объект и предмет исследования. Предметом исследования являются теоретико-методологические подходы формирования системы внутреннего контроля.
Объектом исследования выступают нормативно-правовые формы организации контроля за составлением отчетности в соответствии с требованиями закона Сарбейнса-Оксли.
Теоретической и методологической основой исследования являются научные труды отечественных и зарубежных авторов, посвященные вопросам корпоративного управления и организации внутреннего контроля, а также проблемам внутреннего аудита; законодательные акты разных стран; статистические данные различного рода исследований,
В диссертации использовался комплекс общенаучных методов исследования: наблюдение, сравнение, группировка, абстрагирование, анализ и синтез, индукция и дедукция, исторический и логический методы.
Информационная база исследования. В работе были использованы федеральные законы и нормативно-правовые акты Российской Федерации, а также законодательные акты других стран в области регулирования бухгалтерского учета, аудита и внутреннего контроля, материалы министерств и ведомств Российской Федерации, статистические данные, монографии, материалы международных и всероссийских научно-практических конференций и семинаров, периодической печати, сайтов сети Интернет.
Обоснованность и достоверность результатов исследования подтверждается:
использованием нормативно-правовых актов Российской Федерации и зарубежных стран, международных стандартов, собственных экономических исследований автора, а также статистических и фактических данных, опубликованных в монографиях и периодических изданиях;
применением методов системного, логического, структурного и сравнительного анализа;
результатами исследований, в частности: проведение глубокого анализа западного опыта применения закона Сарбейнса-Оксли для подготовки финансовой отчетности;
отражением основных результатов диссертации в публикациях автора в ряде научных изданий;
обсуждением результатов исследования на научно-практических конференциях.
Соответствие диссертации Паспорту научной специальности. Диссертация выполнена в рамках Паспорта специальности ВАК РФ 08.00.12 -«Бухгалтерский учет, статистика»: п. 3.4 «Аудиторское и контрольно-статистическое тестирование систем внутреннего контроля».
Научная новизна результатов исследования состоит в уточнении определения «внутренний контроль», построении схемы по управлению рисками, связанными с мошенничеством, разработке модели организации системы внутреннего контроля на основе раздела 404 закона Сарбейнса-Оксли, сочетающей статистические данные и практический опыт, позволяющей существенно снизить риски по подготовке отчетности.
В ходе исследования были получены и выносятся на защиту следующие наиболее существенные результаты исследования, обладающие научной новизной и полученные лично соискателем:
дано собственное определение понятия «внутренний контроль» на основе проведенного исторического анализа;
выделены шаги по сближению с европейскими стандартами на основе проведенного глубокого анализа существующего законодательства в области контроля и борьбы с мошенничеством в финансовой отчетности;
разработан алгоритм по внедрению в компании системы внутреннего контроля, основанной на требованиях закона Сарбейнса-Оксли, предложены структурные изменения компании;
предложены способы оценки результативности работы системы контроля, а также методы тестирования на соответствие требованиям SOX;
на основе полученных оценок результативности работы системы контроля разработан алгоритм нахождения и устранения ошибок в системе.
Теоретическая и практическая значимость исследования. В диссертационном исследовании разработаны методические и практические рекомендации по подготовке и внедрению системы внутреннего контроля на различных предприятиях, способствующей уменьшению рисков при подготовке финансовой отчетности. Материалы диссертации могут найти отражение в нормативных документах, определяющих практику составления финансовой отчетности. Ее результаты можно использовать в практической деятельности в области финансового и управленческого учета. Выводы и результаты проведенного исследования могут послужить основой для дальнейших разработок по данной тематике и применяться в высших учебных заведениях в преподавании курсов «Управленческий учет», «Финансовая отчетность» для студентов экономических специальностей.
Апробация результатов исследования. Основные теоретические и практические положения диссертационной работы докладывались автором на Четвертом, Пятом, Шестом научных конгрессах студентов и аспирантов (Санкт-Петербург, ИНЖЭКОН, 2011-2013 гг.), Шестой научной конференции: «Бухгалтерский учет, анализ и аудит: история, современность и перспективы развития» (Санкт-Петербург, 2011 г.), Второй всероссийской научной конференции молодых ученых, аспирантов и студентов «Молодая наука 21 в. - за мир без проблем» (г. Пятигорск, 2012 г.), ХІІ Международной
научной конференции «Бухгалтерский учет, экономический анализ и контроль в условиях формирования и развития современных концепций управления» (Житомир, 2013 г.).
Публикации результатов исследования. По теме диссертации опубликовано 12 печатных работ общим объемом 6,3 п.л., в том числе в изданиях, рекомендованных ВАК, – четыре работы, и одна монография.
Структура диссертации. Работа состоит из 242 страниц машинописного текста, включающего в себя введение, три главы, заключение, список литературы из 105 наименований, 13 таблиц, 17 рисунков. Объем приложений составляет 53 страницы.
Во введении обоснована актуальность темы диссертации, охарактеризована степень изученности проблемы, определены цели и задачи исследования, раскрыты научная новизна и предмет исследования, отмечена теоретическая и практическая значимость работы.
В главе 1 «Теоретические основы формирования системы внутреннего контроля» рассмотрены предпосылки возникновения внутреннего контроля. Проведен анализ взглядов ученых XIX–XXI вв. Обозначены принципы, цели и задачи внутреннего контроля. Выделены основные направления законодательного регулирования качества подготавливаемой информации в России и за рубежом.
В главе 2 «Методические подходы к организации внутреннего контроля» проводится сравнение существующих концепций внутреннего контроля (COBIT, SAC, COSO и SAS 55, SAS 78). Подробно рассматривается закон Сарбейнса-Оксли на возможность применения в российских компаниях. Изучается проблема мошенничества с финансовой отчетностью. На основании выявленной проблемы разрабатывается методика управления рисками, связанными с мошенничеством и злоупотреблениями в организации. Рассматривается специфика внедрения системы внутреннего контроля на разных предприятиях.
Глава 3 «Методика организации системы внутреннего контроля в компании на основе закона Сарбейнса-Оксли» посвящена разработке алгоритма организации системы внутреннего контроля на предприятии согласно требованиям закона Сарбейнса-Оксли. Даны предложения по методам тестирования системы контроля, оценки ее недостатков.
В заключении сформулированы основные выводы и предложения диссертационного исследования.
Экономическое содержание системы внутреннего контроля
Понятие контроля встречается в разных дисциплинах, таких как: бухгалтерский учет, аудит, финансовый анализ, менеджмент, финансы. А что же такое «контроль»? Впервые понятие «контроль» появляется в трудах французских ученых несколько веков назад. Контроль происходит от французского «controle» -«список, ведущийся в нескольких экземплярах». Затем это понятие стали трактовать как проверку за соблюдением правил и предписаний.
В русском языке понятие «контроль» входит в обиход уже в начале XVIII века, когда появляются первые контролеры на портовых таможнях. Со временем понятие видоизменяется, расширяется. И уже ко второй половине XX века в советское время ученые начинают задумываться над проблемами оперативного анализа и контроля за финансовой деятельностью организаций. Так, в своих трудах С. И. Шкарабан и М. И. Баканов доказывают необходимость разработки систем внутреннего контроля. Профессор Э. А. Вознесенский дает определение понятия «контроль», впервые предлагает систематизацию (по видам, формам и методам).
Анализ исследований отечественных и зарубежных специалистов, таких как: Т. А. Головина, Р. Е. Исакова, Я. В. Соколов, О. А. Ногина, В. Ф. Палий, Р. Краузе, С. Г. Фалько, Ю. Вебер, Р. Манн, В. Хофенбек, П. Фридман и т. п., позволяет сделать вывод о неоднозначности подходов к определению контроля, его сущности и классификации.
Можно выделить следующие направления исследования контроля: 1) как управленческая функция, применяемая руководителями и регулирующими органами, содержащая совокупность различных методов и форм; 2) как один из последних этапов процесса управления; 3) как одна из форм обратной связи, с помощью которой руководство по лучает данные о состоянии компании, и на основе которой в последую щем принимает управленческие решения; 4) как способ анализа отклонений работы системы от заданных значений. Наиболее широкое распространение получила точка зрения ученых, кото рые считают, что сущностью контроля является регулярная проверка соблюдения хозяйственного законодательства, выявление нарушений государственной дисци плины. Так, в монографии А.С. Наринского и Н.Г. Гаджиева «Контроль в услови ях рыночной экономики» указано, что «контроль – система наблюдения и провер ки хозяйственной деятельности, необходимая для решения поставленных перед ней задач и устранения негативных условий, препятствующих достижению ее це лей»1. Выдающийся советский ученый А.Г. Зверев утверждал, что контроль – это проверка законности, правильности и целесообразности расходования государ ственных средств, эффективности их использования. Такая позиция представляет собой правовую концепцию сущности контроля, поскольку она сводит его лишь к способу обеспечения законности, к проверке соблюдения правовых норм. С такой трактовкой контроля невозможно согласиться, так как ограничивать сущность контроля требованием соблюдения законов и подзаконных актов нельзя. Его сле дует рассматривать в сочетании с наличием обратных связей, выражающихся в активном воздействии контроля на более рациональное использование ресурсов, устранение препятствий на пути оптимального функционирования различных звеньев управления и принятия правильных управленческих решений.
Определение сущности контроля представлено также в работах многих юристов, социологов и экономистов, исследующих контроль как сферу деятельности органов государственного и хозяйственного управления. Они обычно определяют контроль как метод или форму управленческой (исполнительно-распорядительной) деятельности.
По-нашему мнению, трактовка контроля как метода или формы управления вызывает сомнение. В самом деле, под методами управления принято понимать способы практического административного, общественного или экономического воздействия со стороны субъекта управления на управляемый объект. Форма управления в свою очередь представляет собой способ внешнего выражения содержания управленческой деятельности путем издания различных нормативных актов, положений инструкций, приказов и т. д. Нам представляется, что контроль не может быть сведен к методу или форме управленческой деятельности еще и потому, что он является самостоятельной функцией управления, т. е. особым видом деятельности, характеризующимся целевой направленностью, однородностью содержания и однотипностью способов его осуществления.
В ряде случаев контроль связывают с организацией обратных связей, посредством которых управляющая система получает необходимую информацию о действительном состоянии управляемого объекта и исполнении управленческих решений. Так, А.А. Годунов в своей монографии «Социально-экономические проблемы управления социалистическим производством» трактует контроль как способ «организации обратных связей, благодаря которым орган управления получает информацию о ходе выполнения его решения»1. Такой подход, безусловно, правомерен, хотя и не полон. На наш взгляд, сторонники такой позиции допускают своеобразный «информационный уклон» в понимании сущности контроля. Конечно, механизм обратной связи является центром контроля, однако при такой трактовке он отрывается от процесса принятия управленческих решений, не видна важнейшая черта контроля – возможность и необходимость активного воздействия на происходящие хозяйственные процессы.
Довольно распространенным является рассмотрение контроля «в трех аспектах: контроль как деятельность аппарата управления, одна из его общих функций; контроль как принцип управления; как завершающий процесс процедуры принятия управленческих решений».1 Такой точки зрения придерживаются ученые экономисты В.С. Юкаев, Е.А. Кочерин, Н.В. Лапухин, Г.А. Соловьев. С таким подходом можно согласиться, если рассматривать контроль с узких позиций проверки исполнения каждого конкретного управленческого решения, а не в качестве целенаправленного и относительно обособленного вида управленческой деятельности.
Законодательные основы организации внутреннего контроля (зарубежный и отечественный опыт)
Руководство компаний в соответствии с законом Сарбейнса-Оксли: несёт ответственность за результативность работы системы внутреннего контроля; обязано проводить постоянную оценку результативности внутреннего контроля за подготовкой финансовой отчетности на основе адекватных критериев эффективности контрольных процедур; должно иметь достаточные доказательства для выводов о результативности системы внутреннего контроля, в том числе необходимую документацию; обязано в конце отчетного периода предоставлять письменное подтверждение результативности системы внутреннего контроля за подготовкой финансовой отчетности.
Аудиторы в соответствии с законом Сарбейнса-Оксли должны провести аудит и дать заключение о результативности системы внутреннего контроля за подготовкой финансовой отчетности, включая результативность процедур оценки системы внутреннего контроля руководством компании
Это список стандартов и правил, направленных на предотвращение различных махинаций и злоупотреблений. В данном разделе «кодекс этических норм» означает стандарты, обоснованно необходимые для обеспечения: 1) честного и этичного поведения, включая этичное решение фактических или видимых конфликтов между личными и профессиональными интересами; 2) полного, точного, своевременного и понятного раскрытия информации в периодических отчетах, которые должны подаваться эмитентом; 3) соответствия действующим государственным правилам и регламентирующим нормам.
Статья 409. Время подготовки отчетности
Эта статья лимитирует время подготовки отчетности, а также требует сообщать в отчетах информацию об изменениях в бизнесе по определенному списку пунктов. Почти все пункты из списка отражают события и информацию, которая не может быть отражена большинством систем (например: ERP - Enterprise Resource Planning System — Система планирования ресурсов предприятия). Статья 906. Подписание всех докладов в SEC СЕО и CFO В данной статье говорится об обязанности исполнительного директора (CEO) и финансового директора (CFO) компании подписывать все выпускаемые доклады SEC, включающие финансовые отчеты. А также в этой статье описывается наказание в случае нарушения в виде уголовной ответственности и денежного штрафа.
В соответствии с Sarbanes-Oxley Act (SOX) создан «Наблюдательный совет по ведению финансовой отчетности публичных компаний».
Мошенничество с финансовой отчетностью
За последние несколько лет в мире произошло огромное количество корпоративных скандалов, банкротств и судебных разбирательств, связанных с мошенничеством высших менеджеров компаний. Вследствие этого был принят ряд законов и нормативно-правовых актов, содержащих различные критерии, которые организации должны учитывать в своей деятельности по предотвращению мошенничества. Однако, как показывает практика, проблема решена лишь отчасти. Ведь чем лучше становится защита, тем изощреннее инструментарий и тактика атаки. Как же научиться отличать мошенничество и определять риск мошенничества?
Статья 159 Уголовного кодекса РФ определяет мошенничество как «хищение чужого имущества или приобретение права на чужое имущество путем обмана или злоупотребления доверием».
Риск и возможность мошенничества можно оценить по следующим характерным признакам: объект мошенничества представляет собой определенную ценность и стимулирует повышенный интерес либо для мошенника, либо для других заинтересованных сторон; существует возможность совершить мошенничество, т.е. объект мошенничества недостаточно хорошо контролируется; существует личная заинтересованность или вынужденная необходимость мошенника совершить поступок, т.е. прямая или косвенная выгода (например, получить заслуженный бонус); мошенник оправдывает свои действия тем или иным видом, подводя моральное обоснование своим неэтическим действиям; общая среда, внешний фон и тон высшего руководства не способствуют предотвращению мошенничества и даже, наоборот, попустительствуют и стимулируют; руководство попирает установленные правила, переходит границы ответственности и пренебрегает внутренним контролем. Среди корпоративного мошенничества можно выделить три основные группы: 1) хищение активов и коррупция; 2) налоговые преступления; 3) манипуляция с финансовой отчетностью.
Манипуляция с отчетностью при хищении активов и коррупции Вывод активов из предприятия и коррупция являются самыми распространенными видами экономических преступлений. Недобросовестные действия руководства разнообразны по форме и содержанию. Они включают: продажу активов и услуг по заниженным ценам и покупку по завышенным, мелкие хищения на складе и крупные махинации с акциями предприятий. Деятельность недобросовестных руководителей осуществляется с привлечением аффилированных и посреднических структур в ущерб интересам всех акционеров или в ущерб интересам миноритарных акционеров.
Анализ западного опыта применения закона Сарбейнса-Оксли для подготовки финансовой отчетности
Для большинства компаний процесс организации системы внутреннего контроля является важной и сложной задачей. Объем работ по проекту выходит за пределы функций бухгалтерии и финансов компании и включает вопросы информационных технологий, налогов, юридические аспекты, а также вопросы внутреннего аудита.
В данной главе мы рассмотрим два наиболее важных аспекта, относящихся к организации системы внутреннего контроля на предприятии в соответствии с требованиями раздела 404 закона Сарбейнса-Оксли: разработку систем контроля и управление системой внутреннего контроля.
Определение объема работ включает в себя определение объема необходимой документации, а также характера, объема и сроков выполнения работ по тестированию системы внутреннего контроля в разрезе всех существенных компонентов финансовой отчетности в каждом подразделении компании. Определение объема работ – один из ключевых этапов любого проекта. На этом этапе необходимо определить существенные элементы финансовой отчетности; бизнес-процессы, подпроцессы и бизнес-единицы, в которых будет проводиться аттестация. Следует использовать общепризнанные методологии при проведении оценки результативности контролей при подготовке финансовой отчетности. Методология, разработанная Комитетом спонсорских организаций (COSO), является одной из наиболее широко используемых в Соединенных Штатах и рекомендуется для оценки системы внутреннего контроля. В основе этого документа лежит допущение, что компании будут применять методологию COSO.
Организационная структура и система внутреннего контроля в каждой компании уникальна, в связи с этим и объем работ для каждой компании будет своим. И определить его сможет только руководство и контрольная служба. Каждое принимаемое решение необходимо документировать. Причем формат может быть любым в зависимости от целей, структуры компании. Примеры документирования можно найти в приложениях. Но не стоит забывать, что приведенные формы являются лишь шаблонами, и каждая компания может сама их разработать и утверждать.
Для определения объема работ возможно использование различных подходов. Руководство компании может выявить существенные компоненты финансовой отчетности, а затем связать их с определенными процессами, или же может начать с выделения процессов. Вне зависимости от того, как будет действовать компания, цель будет одинаковой. Этап 1. Выявление существенных элементов финансовой отчетности с помощью анализа. Этап 2. Выявление процессов и подпроцессов, проведение их взаимосвязи с выделенными существенными элементами отчетности. Этап 3. Определение требования для каждого существенного компонента отчетности. Этап 4. Выявление рисков и их оценка. Этап 5. Построение полного списка бизнес-единиц. Этап 6. Выделение бизнес-единиц, которые необходимо протестировать. Этап 7. Проведение взаимосвязи бизнес-единиц с процессами и подпроцессами. Основной задачей этапа 1 является идентификация контролей, удовлетворяющих требованиям к существенным элементам отчетности. Для этого компания должна пройти все этапы, описанные выше, начав с анализа финансовой отчетности и закончив определением необходимых контролей. На рис. 10 изображена схема, отражающая данный процесс. Ниже приводится пример для одного из подпроцессов процесса получения выручки (рис. 11).
Рассмотрим каждый этап по определению существенных элементов финансовой отчетности, а также процессов и подпроцессов более подробно.
Существенные элементы отчетности выделяют, как правило, как на уровне отчетности в целом, так и на уровне отдельных статей. Например, одним из таких существенных компонентов является выручка, она в свою очередь состоит из выручки от реализации продукции и от реализации услуг.
1 В аудиторском стандарте № 2 «Аудит системы внутреннего контроля финансовой отчетности» (далее - Стандарт) дается определение существенных компонентов отчетности: это такие элементы отчетности, при анализе которых существует более чем незначительная вероятность получения неверных данных, которые по отдельности (или в совокупности с другими неверными данными) могут повлиять на финансовую отчетность (в сторону завышения, либо занижения данных). Под понятием существенности подразумевается не только количественная, но и качественная оценка, кроме того, существенным может быть признан и тот элемент отчетности, на котором делают акцент учредители и инвесторы компании.
Компоненты системы внутреннего контроля и отчетности
Для того чтобы оценить качество работы системы внутреннего контроля за составлением финансовой отчетности, руководству компании следует определить результативность работы используемых при этом механизмов контроля. Для этого нужно провести их тестирование, охватив при этом все пять элементов системы внутреннего контроля (по методологии COSO). Необходимо определить, на сколько полно выполняются требования к финансовой отчетности, оценить работу контроля в отношении всех статей отчетности в разрезе каждой ключевой бизнес-единицы. Особое внимание при тестировании следует уделять специфическим рискам в компании, даже если они не значительны. Все документы, подтверждающие выводы и обосновывающие принятые решения, необходимо сохранять в качестве обоснований.
В итоге можно выделить следующие этапы проведения тестирования механизмов контроля: 1) выделение тестируемых контролей; 2) выделение сотрудников, ответственных за проведение тестирования; 3) написание плана проведения тестирования (сроки, направления, методы тестирования и т. д.); 4) анализ результатов проведенного тестирования, написание рекомендаций.
В некоторых случаях по результатам проверки может быть принято решение об изменении последовательности шагов тестирования или же может возникнуть необходимость в проведении повторного тестирования после внесения корректировочных данных.
Как правило, эти этапы выполняются последовательно, однако иногда порядок их выполнения нарушается, поскольку результаты тестирования могут заставлять вносить изменения в план или требовать повторного тестирования исправленных позиций.
Шаги по тестированию должны быть зафиксированы в общем стратегическом плане тестирования системы внутреннего контроля компании. На этапе подготовки комитет, ответственный за проект, утверждает план тестирования. Процесс тестирования довольно трудоемкий. Во время его проведения могут возникнуть сложности, руководству необходимо это учесть при планировании сроков. Рекомендуется провести обучение сотрудников компании, это будет способствовать успешной реализации намеченного плана во всех подразделениях компании.
После проведения оценки результативности функционирования системы внутреннего контроля руководство может говорить о достаточной уверенности в правильности подготовки финансовой отчетности. Достаточная уверенность является основным принципом как при работе внутреннего контроля, так и при аудите. Достаточная уверенность, это уверенность в том, что в финансовой отчетности отсутствуют существенные ошибки. Это не абсолютный показатель.
Для того чтобы достичь высокой степени уверенности, необходимо получить достаточное количество доказательств правильности работы системы внутренних контролей, а соответственно и правильности подготовки финансовой отчетности. При этом стоит заметить, что при проведении аудиторской проверки аудитор сильно ограничен в выборе метода получения доказательств, используется, как правило, классическое тестирование (проведение проверки узкого круга выбранных контролей и данных). В то же время руководство компании не имеет подобных ограничений. К примеру, могут использоваться текущий мониторинг, внутренний аудит, самостоятельная оценка и пр. Таким образом, руководство может не тестировать каждый контроль классическим способом, а получать доказательства из альтернативных методов, которые позволят повысить степень уверенности. При разработке плана тестирования руководству необходимо понять, какие методы получения доказательств оно может использовать, достаточно ли для этого данных. Если такие способы действительно существуют и их можно эффективно использовать, то размер выборки для проведения тестирования можно уменьшить. Но объем выборки в совокупности не должен измениться, он должен быть таким, чтобы обеспечить достоверную оценку результативности проверяемого контроля.
Если же руководство понимает, что наилучшим вариантом остается проведение традиционного тестирования, то размер выборки должен соответствовать (или превосходить) информации, приведенной в таблице. Объем выборки следует увеличить, если требуется более высокая степень уверенности, нужно тщательно проверить механизм контроля, когда с одним или несколькими требованиями к финансовой отчетности в отношении существенных компонентов связан лишь один контроль и т. д. Постоянное тестирование позволит снизить риск обнаружения существенных и значительных недостатков системы, а значит повысить уровень подготовки финансовой отчетности.
Определение контролей, подлежащих тестированию Руководству необходимо удостовериться, что все внутренние контроли работают эффективно в отношении всех элементов финансовой отчетности, финансовых процессов и бизнес-единиц. Тестирование контрольных процессов является более простым, чем тестирование других элементов внутреннего контроля. Как правило, при проверке функционирования контролей в отношении элементов системы COSO руководство и контролеры основывают свое решение на профессиональном суждении и качественном анализе данных. Исключение составляет оценка контрольных процедур.
После проведения этапов по определению объема работ и документирования можно приступить к выбору бизнес-единиц и выполнению тестирования (табл. 10).
Из таблицы видно, что первая категория бизнес-единиц является наиболее рисковой, проводимые контроли охватывают большой спектр процессов и элементов финансовой отчетности, тогда как третья категория не нуждается ни в каком особом тестировании, поскольку практически не имеет влияния на выходную информацию.