Содержание к диссертации
Введение
Глава 1 Теоретико-методологические основы организации и функционирования системы внутреннего контроля
1.1 Исследование нормативно-законодательной базы организации и функционирования системы внутреннего контроля
1.2 Определение этапов создания, форм организации, целей и задач системы внутреннего контроля
1.3 Анализ источников информации для оценки системы внутреннего контроля
Глава 2 Методика оценки эффективности функционирования системы внутреннего контроля
2.1 Идентификация способов оценки системы внутреннего контроля во внешнем аудите
2.2 Исследование эффективности системы внутреннего контроля службой внутреннего аудита
2.3 Характеристика методов оценки системы внутреннего контроля 77
Глава 3 Повышение эффективности функционирования системы внутреннего контроля на основе регламентации бизнес-процессов
3.1 Применение процессного подхода для организации эффективной системы внутреннего контроля
3.2 Регламентация бизнес-процессов как способ обеспечения эффективного функционирования средств контроля
3.3 Разработка регламента бизнес-процесса «Организация, проведение и оценка результатов инвентаризации»
Заключение
Список литературы
- Определение этапов создания, форм организации, целей и задач системы внутреннего контроля
- Анализ источников информации для оценки системы внутреннего контроля
- Исследование эффективности системы внутреннего контроля службой внутреннего аудита
- Регламентация бизнес-процессов как способ обеспечения эффективного функционирования средств контроля
Определение этапов создания, форм организации, целей и задач системы внутреннего контроля
Аналогичные требованиям COSO определения внутреннего контроля были даны и в рекомендациях по разработке требований к Кодексу корпоративного управления, изданных в 1992 г. комитетом под председательством Эдриана Кэдбери (Adrian Cadbury), основанным Лондонской фондовой биржей.
Совет по критериям контроля Канадского института дипломированных бухгалтеров в 1995 г. издал руководство по контролю. В соответствии с принципами COSO в руководстве были детально разработаны 20 критериев эффективного внутреннего контроля, представленные по 4 категориям: «Назначение», «Обязательства», «Возможности», «Наблюдение и обучение».
Для целей усовершенствования систем внутреннего контроля помимо концепции COSO разработаны и другие документы. Стандарт «Цели контроля при использовании информационных технологий» (COBIT) был опубликован в
Тихомиров А. Ориентируясь на риски, или как оценивать внутренний контроль // Институт внутренних аудиторов. URL: http://www.iia-m.ru.html
Гиниятов Р. Риск и контроль (модель COSO) // Институт внутренних аудиторов. URL: http://www.iia-ru. ru.html
Юшкова С. Д. Система внутреннего контроля - механизм для снижения рисков // Аудиторские ведомости. 2011. № 2. С. 37. 1996 г. и являлся попыткой на международном уровне установить стандарты безопасности и контроля в сфере информационных технологий. Стандарт COBIT представлен системой процедур, обеспечивающих владельца бизнес-процесса методикой эффективного исполнения его обязанностей по контролю информационных систем. В стандарте COBIT определена методика генерации целей контроля, организованных в бизнес-процессы и связанных с требованиями к информации.
Доклад SAC опубликован в 1991 г. и был изменен в 1994 г. Доклад представил для внутренних аудиторов способы контроля и аудита информационных систем и технологии. В докладе SAC исследовано влияние различных данных информационной технологии на систему средств внутреннего контроля.
В документах SAS 55 (опубликован в 1986 г.) и SAS 78 (представлен в 1995 г.) даны указания внешним аудиторам по поводу влияния состояния системы внутреннего контроля аудируемого лица на планирование и проведение аудита финансовой отчетности организации. Документы SAS 55 и SAS 78 раскрывают сущность пяти элементов системы внутреннего контроля документа COSO. В документах исследуется влияние внутреннего контроля организации на планирование и проведение аудита финансовой отчетности, раскрывается взаимосвязь между средствами внутреннего контроля и риском контроля.
На основе данных доклада «Сравнение концепций внутреннего контроля»1 авторами2 приведены краткие характеристики четырех документов (документы SAS 55 и SAS 78 объединены в один) и сравниваются концепции внутреннего контроля, изложенные в каждом из этих документов. Результаты этого сравнения отражены в приложении 1.
По результатам сравнения можно сделать следующие выводы. В основе документов COBIT, SAC, COSO, SAS 55/78 лежит много общих концепций
Управление в кредитной организации. 2007. № 1. внутреннего контроля: поздние документы изложены на базе концепций, представленных в более ранних регламентах. Документы можно классифицировать по следующим категориям: адресность (целевая группа, которой они адресованы), цель создания - уровень детализации норматива. Регламент COBIT предназначен для трех целевых групп: руководство экономических субъектов, пользователи и аудиторы информационных систем. Документ SAC обращен к внутренним аудиторам. Документ COSO рассчитан на менеджеров и совет директоров, a SAS 55/78 предназначен для внешних аудиторов.
Регламент COBIT сконцентрирован в основном на средствах контроля информационной технологии для поддержания целей бизнеса. Документ SAC сфокусирован на информационной технологии. Документ COSO позволяет исследовать систему внутреннего контроля на уровне организации, a SAS 55/78 концентрируется на аудите финансовой отчетности. Документы SAC, COSO и SAS 55/78 необходимы для базовых целевых групп, к которым относятся юристы, акционеры и другие лица, заинтересованные в понимании и совершенствовании системы внутреннего контроля. Документы по совершенствованию системы внутреннего контроля разрабатывали различные организации, чтобы дать руководство для определенных целевых групп, поэтому в регламентах существуют некоторые разночтения. Вместе с тем каждый документ концентрируется на внутреннем контроле и конкретной целевой группе (например, документы предназначены для внутренних аудиторов, представителей менеджмента компании, внешних аудиторов), их возможностях по формированию и оценке средств внутреннего контроля. Таким образом, сравнение концепций внутреннего контроля, представленных в стандарте COBIT, докладе SAC и документах SAS 55/78, свидетельствует о том, что эти регламенты являются руководством для членов всех целевых групп.
Исследование документов по совершенствованию системы внутреннего контроля показывает, что каждый из них основан частично на предыдущих регламентах. Стандарт COBIT объединяет материалы документа COSO и доклада SAC. Определение внутреннего контроля изложено в соответствии с концепцией COSO. Цели контроля определены согласно докладу «Контроль и аудит систем» (SAC). Доклад SAC содержит концепции внутреннего контроля, разработанные в SAS 55. COSO применяет регламенты внутреннего контроля документа SAS 55 и доклада SAC. В документе SAS 78 вносятся поправки в SAS 55, которые представляют в обобщенной форме вклад COSO в концепцию внутреннего контроля.
Наиболее последовательно модель COSO применяет Базельский комитет по банковскому надзору. Данный институт по банковскому надзору был сформирован управляющими центральных банков стран в 1975 г. и является комитетом органов банковского надзора. Базельский комитет по банковскому надзору представлен высшими должностными лицами органов банковского надзора и центральных банков Бельгии, Великобритании, Германии, Италии, Канады, Люксембурга, Нидерландов, США, Франции, Швейцарии, Швеции и Японии.
Сравнение концепций контроля COBIT, SAC, COSO, SAS 55/78 представлено в Приложении А.
В 2001 г. Банк России издал письмо1 с рекомендациями использования в работе регламентов Базельского комитета по банковскому надзору «Система внутреннего контроля в банках: основы организации». В настоящее время банковские органы надзора все большее значение уделяют адекватности и надежности систем внутреннего контроля. Особое внимание к внутреннему контролю объясняется существенными убытками, понесенными банковскими учреждениями. Исследование ситуаций, вызвавших эти убытки, свидетельствует о том, что их можно было избежать, если бы банки имели действенные системы внутреннего контроля.
Анализ источников информации для оценки системы внутреннего контроля
Понимание системы внутреннего контроля имеет большое значение при проведении внешнего аудита. В частности, такое понимание дает основу для планирования аудита и выражения профессионального суждения аудитора об оценке рисков существенного искажения финансовой (бухгалтерской) отчетности и ответных действиях в связи с этими рисками в процессе аудита, таких как: установление уровня существенности и оценка того, остается ли суждение о существенности неизменным в процессе проведения аудита; рассмотрение уместности выбора и порядка применения учетной политики и адекватности раскрытия информации в финансовой (бухгалтерской) отчетности; выявление областей аудируемого лица, требующих особого внимания аудитора, в частности, операции со связанными сторонами, уместность допущений руководства о непрерывности деятельности организации или изучение целей хозяйственных операций; определение ожидаемых хозяйственных показателей аудируемого лица для использования их при выполнении аналитических процедур; планирование и выполнение дальнейших аудиторских процедур в целях сокращения аудиторского риска до приемлемо низкого уровня; оценка достаточности и надлежащего характера полученных аудиторских доказательств, таких как уместность допущений, а также устных и письменных заявлений и разъяснений руководства аудируемого лица1.
Е. Л. Сквирская провела сравнительную характеристику требований в отношении оценки средств контроля, установленных МСА 315 и ФПС АД № 8 (приложение Г). Автор рассматривает положения нормативных документов, в которых регламентируются процедуры: исследования аудитором системы
Федеральное правило (стандарт) аудиторской деятельности № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», утвержденное Постановлением Правительства РФ № 863 от 19.11.2008 г. // Собрание законодательства РФ. 2008. 8 декабря. № 49. № 49. Ст. 5830.
Сквирская Е. Л. Оценка средств контроля в ходе аудита: методические приемы и рекомендации. // Финансовые и бухгалтерские консультации. 2011. № 5. внутреннего контроля, оценки организации установленных и выполняемых в отношении значимых рисков средств контроля, документирования полученной информации. Обязанности внешнего аудитора по оценке эффективности средств контроля, установленные МСА 315 и ФПС АД № 8, представлены на рисунке 2.2. Обязанности внешнего аудитора по оценке эффективности средств контроля Обязанности внешнего аудитора по оценке эффективности средств контроля, установленные МСА 315 и ФПС АД № 81
Международная федерация бухгалтеров (International Federation of Accountants (далее - IF AC)) опубликовала на своем сайте Руководство по применению международных стандартов аудита при аудите малых и средних организаций (далее - Руководство по применению МСА).
Блок практических рекомендаций для аудиторов, содержащихся в главе 12 Руководства по применению МСА, связан с оценкой аудитором адекватности и применимости средств контроля. Оценка адекватности организации средства контроля включает рассмотрение способности средства контроля в отдельности или в сочетании с другими средствами контроля эффективно предотвращать или обнаруживать и исправлять существенные искажения. Аудитору необходимо оценить, сможет ли средство контроля сократить или предотвратить
Аудитор должен установить факт применения средств контроля в разрезе пяти составляющих системы внутреннего контроля: контрольная среда; процесс оценки рисков аудируемым лицом; информационная система, связанная с подготовкой финансовой (бухгалтерской) отчетности; контрольные действия; мониторинг средств контроля.
Элементы контрольной среды, которые должен оценить внешний аудитор, представлены на рисунке 2.3.
Элементы контрольной среды, которые должен оценить внешний аудитор Доведение ДО сведения сотрудников принципа честности, этических ценностей и их поддержание других Приверженность профессионализму Участие представителей собственника Философия и стиль работы руководства Организационная структура Распределение ответственности и полномочий Кадровая политика и практика Рисунок 2.3 - Элементы контрольной среды, которые должен оценить внешний аудитор1
Авторская модель оценки эффективности элементов контрольной среды внешним аудитором представлена в приложении Д. При сборе аудиторских доказательств, внешний аудитор применяет определенные методы (или аудиторские процедуры), сущность которых раскрыта в Федеральном правиле
Разработан автором. (стандарте) аудиторской деятельности «Аудиторские доказательства», утвержденном Приказом Министерства финансов РФ № 99Н1 от 16.08.2011г. (далее - ФСАД 7/2011). Аудитор может применить следующие аудиторские процедуры: запрос, инспектирование, наблюдение, подтверждение, пересчет, повторное проведение, аналитические процедуры, - либо сочетания их. В модели оценки элементов контрольной среды внешним аудитором представлено, что аудитор получает надлежащие аудиторские доказательства применения элементов контрольной среды путем сочетания запросов и прочих процедур оценки риска, подкрепляя запросы наблюдением или инспектированием документов.
МСА 315 предписывает аудитору получить понимание контрольной среды, уделяя особое внимание вопросам, связанным с угрозой мошенничества. В соответствии с Перечнем терминов и определений, используемых в правилах (стандартах) аудиторской деятельности, утвержденных Комиссией по аудиторской деятельности при Президенте РФ2, мошенничество - это действие, направленное против сохранности собственности, которое представляет собой хищение имущества или приобретение права на чужое имущество посредством обмана или злоупотребления доверием. В системе бухгалтерского учета мошенничество характеризуется умышленным действием или бездействием, связанным с искажением бухгалтерской отчетности. В Федеральном стандарте аудиторской деятельности «Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита», утвержденном приказом Министерства финансов РФ от № 90н3 от 17.08.2010г, (далее - ФСАД 5/2010), действия, совершенные обманным путем, лицами из числа представителей собственника, руководства, работников аудируемого лица или иными лицами для
Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности, утвержденных Комиссией по аудиторской деятельности при Президенте РФ // Аудиторские ведомости. 1997. № 6.
Федеральный стандарт аудиторской деятельности «Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита», утвержденный Приказом Министерства финансов РФ №90н от 17.08.2010 г. // Российская газета. 2010. 24 ноября. № 265. извлечения незаконных выгод, относятся к недобросовестным действиям. В ФСАД 5/2010 говорится о том, что в процессе понимания системы внутреннего контроля аудитор должен выполнить аудиторские процедуры с целью получения информации, необходимой для выявления рисков существенных искажений в результате недобросовестных действий.
Исследование эффективности системы внутреннего контроля службой внутреннего аудита
Определение терминов «процесс» и «процессный подход» определено в Государственных стандартах ИСО 9000-2008 и ИСО 9001-2008. Аббревиатура ИСО является русской транскрипцией международной неправительственной организации, образованной в 1947 г. с целью разработки международных стандартов - International Organization for Standardization (ISO).
Стандарт ГОСТ P ИСО 9000-2008 «Системы менеджмента качества. Основные положения и словарь» описывает ключевые положения и определяет терминологию менеджмента качества. Стандарт ГОСТ Р ИСО 9001-2008 «Системы менеджмента качества. Требования» содержит набор требований к системам менеджмента качества.
Национальный стандарт Российской Федерации «Системы менеджмента качества. Основные положения и словарь. ГОСТ Р ИСО 9000-2008» утвержден приказом Федерального агентства по техническому регулированию и метрологии № 470-ст от 18.12.2008 г. (далее - Стандарт ИСО 9000-2008). В Стандарте ИСО 9000-2008 указывается на то, что ожидаемый результат достигается эффективнее, если работой и ресурсами для осуществления работы управляют как процессом1.
По1 процессом может пониматься любая деятельность, в которой происходит преобразование сырья и других ресурсов в продукт. Эффективное функционирование организации строится на определении и осуществлении менеджмента различных бизнес-процессов. Согласно определению Стандарта ИСО 9000-2008 постоянную идентификацию и менеджмент процессов, осуществляемых организацией, следует определять как «процессный подход».
Национальный стандарт Российской Федерации «Системы менеджмента качества. Требования. ГОСТ Р ИСО 9001-2008» утвержден приказом Федерального агентства по техническому регулированию и метрологии № 471-ст от 18.12.2008 г. (далее - Стандарт ИСО 9001-2008). Стандарт ИСО 9001-2008 разработан для применения «процессного подхода» в системе менеджмента
Национальный стандарт Российской Федерации «Системы менеджмента качества. Основные положения и словарь. ГОСТ Р ИСО 9000-2008», утвержденный приказом Федерального агентства по техническому регулированию и метрологии №470-ст от 18.12.2008 г. // Ценообразование и сметное нормирование в строительстве. 2009. № 4с. качества для целей удовлетворения потребности клиентов1. Успешная деятельность организации возможна при идентификации и осуществлении руководства многочисленными взаимосвязанными областями деятельности. Процессный подход обеспечивает непрерывность руководства в ходе взаимодействия различных процессов в совокупности системы процессов, а также при комбинации процессов.
В Стандарте ИСО 9001-2008 указывается на то, что процессный подход обеспечивает: - понимание и осуществление регламентов; - фокусировку описания процессов с точки зрения создания добавленной стоимости; - получение результатов осуществления процессов и эффективность процессов; - постоянное совершенствование процессов, основанное на контроле показателей эффективности процессов. Согласно Стандарту ИСО 9001-2008 во всех бизнес-процессах может использоваться цикл «Plan - Do - Check - Act» (PDCA). Цикл PDCA описывается следующим образом: - планирование (plan) - выделение целей и процессов, которые способствуют достижению результатов для удовлетворения требований потребителей и решения задач организации; - осуществление (do) - внедрение бизнес-процессов; - проверка (check) - постоянные контроль и оценка эффективности процессов (а также продукции процессов) в балансировании с политикой организации, требованиями потребителей; - действие (act) - осуществление работы по непрерывному совершенствованию показателей бизнес-процессов. Национальный стандарт Российской Федерации «Системы менеджмента качества. Требования. ГОСТ Р ИСО 9001—2008» утвержденный приказом Федерального агентства по техническому регулированию и метрологии № 471-ст от 18.12.2008 г.// Ценообразование и сметное нормирование в строительстве. 2009. № 4с.
Таким образом, в Стандартах ГОСТ Р ИСО указывается, что цели компании достигаются эффективнее, если работой и ресурсами для выполнения этой работы управляют как процессом. В. А. Лопатин, исследуя проблему внедрения процессного подхода, приходит к выводу, что организации, внедрившие ту или иную форму процессного подхода, обычно приобретают на отраслевых рынках значительные конкурентные преимущества, так как способны непрерывно повышать качество своего продукта, снижать его цену и совершенствовать каналы его продвижения1.
В настоящее время существует два принципиальных подхода к процессному управлению. Первое понимание базируется на выделении «сквозных» (межфункциональных) процессов, их описании и последующей реорганизации, второе - на выделении процессов в рамках структурных подразделений2. Под «сквозным» процессом понимается целенаправленная последовательность работ (функций, операций), выполняемых различными подразделениями предприятия. Эта последовательность должна приводить к получению заданного конечного результата (выхода, продукта), представляющего ценность для клиента. При всех несомненных с теоретической точки зрения достоинствах данного подхода нельзя не учитывать тот факт, что разработка и внедрение модели управления на основе «сквозных» процессов является длительным и дорогостоящим действием. Кроме того, при выделении и регламентации «сквозных» процессов не полностью решаются такие вопросы, как распределение ресурсов, управление процессом и оценка его эффективности.
Регламентация бизнес-процессов как способ обеспечения эффективного функционирования средств контроля
Внутренний контроль играет важнейшую роль в функционировании каждой организации, поскольку от эффективности его осуществления зависит деятельность организации. Систему внутреннего контроля можно представить в виде процесса обеспечения достижения основных целей, поставленных перед руководством экономического субъекта.
В работе проведено исследование нормативной базы организации и функционирования системы внутреннего контроля. Проанализированы положения «Интегрированной концепции внутреннего контроля» - концепции COSO, а также стандартов «Цели контроля при использовании информационных технологий» (COBIT), «Контроль и аудит систем» (SAC), указаний о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55), рекомендаций Базельского комитета по банковскому надзору «Система внутреннего контроля в коммерческом банке: основа организации».
Исследование показало, что законодательной основой системы внутреннего контроля являются как международные, так и российские нормативные документы. Вместе с тем вопросы функционирования и построения системы внутреннего контроля на предприятиях, в организациях, учреждениях находятся сегодня вне сферы внешнего нормативного регулирования. Данный факт выводит на первый план проблемы внутренней стандартизации контроля на предприятии.
В работе проведено исследование взглядов экономистов на цели и задачи внутреннего контроля. Результаты изучения мнений экономистов свидетельствуют о том, что к целям внутреннего контроля, как правило, относятся: - помощь руководству хозяйствующего субъекта в эффективном ведении финансово-хозяйственной деятельности; - гарантирование сохранности всех приобретенных активов; - устранение жульничества и изобличение фактов оплошности.
В то время как к задачам внутреннего контроля относят: -достижение с минимальными затратами целей, поставленных собственниками; - осуществление обратной связи между объектом и системой управления, информирование о действительном состоянии управляемого объекта, фактическом выполнении управленческого решения; - формирование надлежащего контроля за происходящими в организации процессами, в том числе ведением бухгалтерского учета и подготовкой финансовой отчетности.
Существующее в работах ученых-экономистов единообразие в понимании целей и задач, стоящих перед системой внутреннего контроля, позволяет разработать унифицированный подход к стандартизации внутреннего контроля.
Разработанные авторские модели позволяют выявить риски существенного искажения финансовой (бухгалтерской) отчетности и планировать дальнейшие аудиторские процедуры.
В международных профессиональных стандартах внутреннего аудита не раскрыта методика определения эффективности системы внутреннего контроля. Исследование показало, что в рамках проведения внутреннего аудита предлагаются следующие методики оценки эффективности системы внутреннего контроля: на основе исследования двух показателей: признаков неэффективности подсистем управления и показателей типовых потерь от отсутствия системы внутреннего контроля; по результатам изучения трех компонентов: качества регламентирующей документации; правил и мотивации применения регламентирующей документации; профессиональных качеств людей, эти правила выполняющих; на базе оценки структурной и эксплуатационной эффективности системы внутреннего контроля; направленных на встраивание внутреннего контроля в действующие бизнес процессы. Для оценки эффективности службы внутреннего контроля в научной литературе выделяют две категории показателей: количественные показатели; качественные показатели.
При этом количественные показатели эффективности службы внутреннего контроля подразделяются на показатели продуктивности и показатели результативности. Показатели продуктивности характеризуют меру реализации способности службы внутрихозяйственного контроля выполнять поставленные цели и задачи. Показатели результативности характеризуют последствия функционирования службы внутрихозяйственного контроля. В работе предложена классификация показателей продуктивности в зависимости от функций службы внутрихозяйственного контроля. Качественные показатели оценки эффективности службы внутрихозяйственного контроля сгруппированы в соответствии с выделенными элементами системы внутреннего контроля. Для их оценки разработана методика балльной оценки качественных показателей элементов системы внутреннего контроля может послужить основой для разработки регламентов службы внутреннего контроля.
Дополненная и уточненная классификация количественных и качественных показателей оценки эффективности внутреннего контроля, содержащаяся в работе, позволяет определить направления развития деятельности службы внутреннего контроля.
В процессе исследования было доказано, что эффективная организация и функционирование системы внутреннего контроля могут быть достигнуты при использовании процессного подхода в управлении этой системой. Применение процессного подхода может оптимизировать и деятельность системы внутреннего контроля.
Процессный подход является эффективным инструментом управления только тогда, когда все процессы, осуществляемые организацией, четко регламентированы. Регламентирующая документация занимает ведущее место при разработке и функционировании бизнес-процессов организации. Регламенты обеспечивают единство методических и организационных подходов при реализации функций управления бизнес-процессами в целом, а также процессами в рамках системы внутреннего контроля.
Одной из важных процедур контроля является инвентаризация имущества и обязательств. Оценка качества проведения инвентаризации может осуществляться на базе стандартизации этого процесса. В работе представлен разработанный автором стандарт бизнес-процесса «Организация и проведение инвентаризации». Стандарт предназначен для определения порядка организации, проведения и оценки результатов инвентаризации имущества и финансовых обязательств. Стандарт состоит из следующих разделов: