Abstract: This scientific work reveals the role of the internal control system within the framework of the functioning of modern organizations. The meaning of the term "control" is given in various sources – the works of the classics (F. Taylor, A. Fayol, M.H. Mescon, etc.) and modern scientists. The key functions of control, the factors influencing it are reflected, its evolution into independent complex management systems is shown. The normative and methodological foundations for the creation and implementation of internal control systems in domestic practice are considered in detail. The application of international auditing standards and federal rules (standards) of auditing activities in this area is justified by comparing them. The international experience of the organization of the internal control system is analyzed on the example of the COSO model, the standard "Control objects for information and related Technologies" (CobiT), etc.
Keywords: internal control system, external and internal environment, business activities, accounting, financial reporting, Deming cycle, COSO model, international standard CobiT, risks.
Система внутреннего контроля в организации в настоящее время играет важную роль в рамках управления всеми протекающими в ней процессами. Она является одним из основных инструментов эффективного менеджмента на предприятии. Успешная работа службы внутреннего контроля и аудита позволяет руководству принимать обоснованные решения, что, в свою очередь, способствует соблюдению законодательства, выполнению внутренних регламентов, а также сохранности активов компании. Кроме того, подобный контроль обеспечивает эффективность финансово-хозяйственной деятельности и достоверность всех отчетов. Важно также отметить, что система внутреннего контроля позволяет своевременно выявлять, предотвращать и минимизировать как внутренние, так и внешние риски.
Описанные факты обуславливают актуальность рассматриваемой тематики. Однако ввиду глубокой теоретической проработанности и различного опыта практической реализации особый интерес представляет эволюционное развитие контрольной функции в рамках организации и её роль в современных условиях, а также отечественный и международный опыт организации системы внутреннего контроля.
Термин «контроль» в своем современном виде и понимании вошел в обиход в XIX веке. С точки зрения функционирования организаций на его основе принимаются управленческие решения, обеспечивающие наиболее эффективное использование имеющихся ресурсов для обеспечения роста производства и минимизирующие риски потерь, укрепляя конкурентные преимущества [2].
Представленная в трудах таких классиков как Ф. Тейлор, А. Файоль, Ф. Хедоури, М.Х. Мескон, М. Альберт и других теория управления организацией понимает контроль как одну из отдельных и необходимых функций менеджмента наряду с актуализацией, планированием, мотивацией. Профессор А.Н. Цветков в своих теоретических исследованиях в области менеджмента подчеркивал необходимость более глубокого изучения качества функций управления, в том числе и контроля [10].
Немецкие ученые Б. Фолкер и Б. Вишерман под контролем понимали проведение сравнения между запланированными и фактическими показателями и устранение выявленных отклонений. Исходя из этого, он представляет собой одну из форм надзора, осуществляемого прямо или косвенно участвующими в процессе деятельности лицами или организационными единицами. В данном определении основное внимание уделяется плановым показателям, которые служат ориентиром для последующих действий [10]. Важно отметить, что их в соответствии с планом необходимо достичь в установленные сроки. Как полагают немецкие ученые Г. Мюллер-Стивенс и Ю. Вебер, это подчеркивает единство целеполагания, планирования и контроля, происходящих одновременно.
Отечественный ученый Е.А. Кочерин подчеркивал, что широко распространенной позицией в научных кругах является традиционное восприятие контроля как финального этапа управленческой деятельности, дающего возможность оценить достигнутые результаты в сравнении с запланированными. В то же время С.О. Шохин указывал, что такой подход лишь частично отражает суть рассматриваемого явления и не может претендовать на полноту. В связи с этим можно утверждать, что контроль следует рассматривать как важный элемент в процессе принятия и реализации управленческих решений.
В соответствии с определением, сформулированным В.В. Пугачевым, контроль представляет собой самостоятельную функцию управления, включающую в себя систему наблюдения и проверки функционирования объекта в соответствии с принятыми управленческими решениями. Он также способствует выявлению отклонений от запланированных целей и, при необходимости, позволяет принимать корректирующие меры [2]. Это определение наиболее полно отражает важность контроля как ключевого компонента управления на любой стадии управленческого цикла организации.
Контроль в системе управления выполняет ряд ключевых функций. Прежде всего, он обеспечивает раннее выявление факторов, как внутренних, так и внешних, которые могут оказать влияние на деятельность организации. Это дает возможность своевременно подготовиться и адекватно отреагировать на возникшие изменения. Кроме того, контроль способствует более точному определению направлений развития и разработке обоснованных стратегий. Эта функция также позволяет выявлять нарушения, что помогает предотвращать их и устранять последствия. При помощи контроля возможно выявить потенциальные резервы, которые могут быть использованы для улучшения работы. Не менее важным является обеспечение обратной связи в рамках управления, что способствует его поддержанию и улучшению. Наконец, контроль предоставляет возможность оценить эффективность работы сотрудников за определенный период времени, что поддерживает надежность и эффективность всей системы управления.
Лежащая в основе управления качеством концепция «PDCA» (Plan, Do, Check, Act), называемая также «Циклом Деминга», служит теоретической базой для более четкого понимания роли контроля в данной сфере. Согласно данной концепции, контроль является не только важным, но и обязательным элементом управления качеством, значение которого можно соотнести со всеми другими функциями. Отличие от них состоит в обеспечении обратной связи, которая необходима для того, чтобы идентифицировать ошибки, исправлять и предотвращать их до того, как они помешают достижению целей организации.
С развитием производственных отношений произошла эволюция контроля в самостоятельные сложные управленческие системы. В научной литературе выделяются следующие основные этапы развития контроля, показывающие закономерности его развития:
– индивидуальный контроль;
– цеховой контроль;
– приемочный контроль;
– статистический контроль;
– системы контроля (системы внутреннего и внешнего контроля) [9].
Таким образом, эволюция контроля фиксирует такие переходы, как:
– к более сложным системам;
– от сплошного к выборочному статистическому контролю;
– от операций к процессам;
– от операционного к стратегическому контролю.
Исходя из вышесказанного, становится понятно, что система внутреннего контроля организации должна сочетаться со всеми факторами, прямо или косвенно влияющими на ее экономическое положение. Они делятся по своей структуре на внешние и внутренние.
К внешним относятся факторы, которые возникают в политической сфере, в области законодательства, природные явления, региональная специфика, исходя из структуры бизнес-процессов (отраслевые) [11]. В общем смысле они не поддаются изменениям, стабильны и могут быть прямого воздействия (конкуренты, потребители, государственные органы, акционеры, поставщики) или косвенного (экономика, политика, социально-культурные факторы, право). На финансовом подуровне можно выделить макроэкономические риски, риски, связанные с инфляцией, со скачками валюты, процентной ставки на рынке, и реорганизацией структуры. Организации необходимо выстраивать принципы ведения экономической деятельности, учитывая и принимая их во внимание.
При рассмотрении внутренних факторов, которые возникают в ходе производственного процесса, следует учитывать ряд рисков. К таким рискам можно отнести те, что связаны с инвестициями и бизнес-переговорами, нехваткой времени, а также с процессами селекции. Важно также упомянуть снижение прибыли, коммерческие и торговые аспекты, потерю конкурентоспособности на рынке, а также потенциальные ошибки в расчетах и ценовую дискриминацию. Все эти элементы могут негативно сказаться на успешности бизнеса. Целью внутреннего контроля в данном случае является создание максимально комфортных условий для обеспечения эффективных операций внутри организации.
Для более четкого представления о том, эффективно ли работает система внутреннего контроля, нужно проводить оценку всех факторов. Так, полный анализ внутренних факторов имеет большое значение для принятия управленческих решений. Он дает возможность руководству организации увидеть пределы своих сбытовых и производственных возможностей, а также выявить наиболее уязвимые места и проблемы, имеющиеся в системы внутреннего контроля.
Как российским, так и зарубежным законодательством установлено, что организации самостоятельно разрабатывают системы внутреннего контроля с учетом существующих особенностей экономической деятельности. Однако можно наблюдать, что в нормативных и методических материалах, как правило, определяются только общие принципы и положения формирования данной системы. В отличие от международной практики, где крупные компании являются лидером мнений и прогрессивными монолитами в сфере формирования систем управления рисками и внутреннего контроля, отечественные компании избирают разные пути реализации данной деятельности. Достаточно небольшая часть компаний уделяет внимание специфике организации системы внутреннего контроля в экономических субъектах, в основном следуя общим принципам построения модели. На данный факт указывают в своих работах многие специалисты и исследователи.
В связи с разнящимися стратегиями и целями организаций становится возможно обозначить только некоторые общие пожелания к формированию системы контроля. Важно также отметить, что нормативная база является не в полной мере проработанной в части определения границ и принципов структуризации систем контроля.
Отделение немецкой Pricewaterhouse Coopers полагает, что ключевым является следующее утверждение: система внутреннего контроля обязана соответствовать критериям действенности, эффективности и прослеживаемости, что заключается в формировании культуры предприятия, четком распределении ответственности, ориентации на риски, внедрении контроля в бизнес-процессы, всецело тестировании контрольных процедур, а также повышении профессиональной квалификации сотрудников [2].
Швейцарские авторы Б. Хирши, Э. Хурлиман, А. Тома и др. в своем исследовании излагают следующее: «Система внутреннего контроля представляет собой процесс, посредством которого обеспечивается целенаправленное движение целей, и включает в себя следующие категории: эффективность и результативность деятельности; достоверность финансовой отчетности и соответствие стандартам и законодательству» [12].
Д. Пфафф и Ф. Рууд в своей работе «Руководство по швейцарской системе внутреннего контроля» делают выводы о том, что подобная система должна быть направлена на достижение бизнес-целей посредством результативного и действенного управления, защиту бизнес-активов, соблюдение законов и правил, а также своевременное обнаружение, предотвращение ошибок и нарушений и обеспечение достоверности и полноты ведения бухгалтерского учета и финансовой отчетности [9].
Ф. Фругир в одной из своих основных работ «Учреждение современных внутренних контрольных систем на предприятии» говорит о том, что система внутреннего контроля базируется на четырех принципах действия. К ним относятся превентивность (например, предотвращение ошибок при помощи тщательной работы сотрудников организации), дисфункциональность (контроль может оказаться негативным, при чрезмерном его употреблении в системе управления), коррективность (исправление неточностей благодаря контролю) и надежность (к которой при планомерном выполнении процессов приводит контроль) [12].
В России функционирование и создание систем внутреннего контроля регулируется множеством нормативных документов и методических рекомендаций. Прежде всего, стоит обратить внимание на разъяснения Министерства финансов Российской Федерации, изложенные в документе № ПЗ-11/2013, который касается организации внутреннего контроля экономическими субъектами. В соответствии с этим документом, внутренний контроль представляет собой процесс, целью которого является обеспечение достаточной уверенности в том, что организация обеспечивает:
– эффективность и результативность своей деятельности, включая достижение запланированных операционных и финансовых показателей, а также сохранение активов;
– своевременность и достоверность бухгалтерского (финансового) учета и отчетности;
– выполнение требований действующего законодательства при совершении хозяйственных операций и ведении бухгалтерского учета [4].
В соответствии со статьей 19 Федерального закона № 402 «О бухгалтерском учете», принятого 6 декабря 2011 года, внутренний контроль является неотъемлемой частью хозяйственной деятельности любой организации в России. Каждое предприятие обязано проводить аудит своей отчетности, что непосредственно связано с реализацией рассматриваемого механизма внутреннего контроля бухгалтерского учета и подготовки отчетов [6]. Согласно Федеральному закону от 30 декабря 2008 года № 307 «Об аудиторской деятельности», обязательному аудиту и внутреннему контролю подлежат большинство промышленных компаний в стране.
Процесс оценки системы внутреннего контроля осуществляется во время внешнего аудита на стадии его планирования. Он регулируется как международными стандартами аудита (МСА), так и адаптированными российскими, которые отличаются по структуре и подходам к изложению информации. В процессе аудита оценка системы внутреннего контроля основывается прежде всего на таких документах, как МСА 315, который посвящен пониманию деятельности аудируемого лица и анализу рисков существенного искажения информации, а также Федеральному правилу (стандарту) аудиторской деятельности (ФПСАД) 8. Этот стандарт охватывает вопросы, касающиеся понимания деятельности аудируемой организации, условий её функционирования и оценки рисков, связанных с существенными искажениями в аудируемой финансовой и бухгалтерской отчетности.
Стоит отметить, что разработка систем внутреннего контроля является прерогативой самих организаций. Однако для эффективного функционирования этих систем необходимо наличие внутренних аудиторов, чья деятельность регулируется МСА 610, посвященным использованию работы службы внутреннего аудита, и ФПСАД 29, который разъясняет порядок рассмотрения их работы.
В целях борьбы с мошенничеством и коррупцией работа внутренних аудиторов должна учитывать требования следующих нормативных актов: ФЗ № 115 от 07.08.2001 «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также ФЗ № 273 от 25.12.2008 «О противодействии коррупции».
Согласно упомянутой ранее Информации Минфина России от 26.12.2013 г. № ПЗ-11/2013 для определения результативности и анализа эффективности внутреннего контроля необходимо проводить оценку его элементов (контрольной среды, рисков, процедур, информации и коммуникации) не реже одного раза в год [4]. Объем такой оценки определяется руководителем или внутренним аудитором.
Документы Международного института внутренних аудиторов определяют целью внутреннего аудита оказание услуг организации в целом, а не отдельному руководителю или некоторым лицам. ФПСАД 29 в качестве субъекта контрольной деятельности выступает служба внутреннего аудита.
Ключевые аспекты внутреннего контроля российских предприятий отражены в российском законодательстве на отраслевом уровне. Примером может служить оценка в отношении документов, регулирующих банковскую деятельность. Требование о наличии внутреннего контроля в кредитной организации зафиксировано в ст. 57.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банк России)» и в ст. 11.1-2 Федерального закона от 02.12.199 № 395-1 «О банках и банковской деятельности». С точки зрения законодательства — это наиболее развитая система внутреннего контроля, которая успешно реализуется в кредитных учреждениях. Эти документы своевременно обновляются и соответствуют требованиям, предъявляемым к системе внутреннего контроля Базельскими соглашениями.
Необходимо отметить, что некоторые отечественные организации берут в основу опыт функционирования контрольно-ревизионных структур, другие при создании системы внутреннего контроля концентрируются только на постановке, ведении учета и составлении отчетности. Лишь малая часть компаний определяет систему внутреннего контроля как часть системы управления и внедряет ее во все производственные бизнес-процессы. Такой подход обеспечивает полное прохождение контроля качества первичных учетных данных и на основе этого дает целостное и точное формирование финансовой отчетности системы ее обобщения (бухгалтерские регистры и управленческая отчетность), а также контроль за реакцией менеджеров и высшего руководства на результаты контрольных проверок [3].
Рассмотрение международного опыта организации системы внутреннего контроля следует начать с упоминания того факта, что в 2002 году в США были ужесточены требования к процессу подготовки финансовой отчетности. Это было связано с чередой корпоративных скандалов, которые повлекли недобросовестные действия со стороны аудиторов и менеджмента аудируемых организаций. В этой связи был разработан закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX), основной целью которого являлось обеспечение достоверности финансовой отчетности [7]. В нем была определена ответственность руководства компании за подготовку финансовой отчетности, а также обязательство предоставлять письменное подтверждение эффективности системы внутреннего контроля в конце отчетного периода.
Строгие требования к системе внутреннего контроля устанавливает законодательство в Германии. В 1998 году был принят нормативный акт, известный как «Закон о контроле и прозрачности бизнеса» (KonTraG), который был нацелен на улучшение управления в компаниях, позволяя руководству оперативно реагировать на потенциальные риски и угрозы за счет оповещения на ранних стадиях. Основной задачей данного закона является эффективное управление этими рисками, чтобы минимизировать их негативное воздействие на результаты деятельности организаций [5]. Вследствие высоких стандартов, установленных KonTraG, была основана немецко-швейцарская школа внутреннего контроля, нацеленная на интеграцию контрольных процедур во все аспекты бизнес-процессов. Особое внимание в рамках реализации обозначенной системы уделяется также проверке правильности налоговых расчетов.
Система внутреннего контроля основывается на популярной международной модели COSO (Committee of Sponsoring Organizations of the Treadway Commission – Комитет организаций-спонсоров Комиссии Тредвея), разработанной при участии нескольких организаций, включая Американский институт дипломированных общественных бухгалтеров, Институт внутренних аудиторов, Международную ассоциацию финансовых руководителей и Институт бухгалтеров по управленческому учету [5]. Уникальной чертой модели COSO является акцент на управление рисками в экономических субъектах. Основная ее идея заключается в достижении равновесия между прибыльностью и рисками компании, а также в эффективном использовании ресурсов для реализации ключевых бизнес-целей.
Важно отметить, что структура модели COSO отличается от российских подходов, предусмотренных рекомендациями Министерства финансов РФ по организации внутреннего контроля и приложениями к ФПСАД 8. Согласно российским нормативным документам, предусмотрено пять элементов: контрольная среда, оценка рисков, процедуры внутреннего контроля, информация и коммуникация, оценка внутреннего контроля. В свою очередь модель COSO рассматривает управление рисками как многонаправленный цикличный процесс, в котором компоненты взаимодействуют и воздействуют друг на друга, и содержит восемь основных элементов:
1) Внутренняя среда (Internal environment);
2) Постановка целей (Objective setting);
3) Определение событий (Event identification);
4) Оценка рисков (Risk assessment);
5) Реагирование на риск (Risk response);
6) Средства контроля (Control activities);
7) Информация и коммуникации (Information and communication);
8) Мониторинг (Monitoring) [5].
Наряду с этим на международном уровне существуют стандарты проверки информационных систем, т.к. в настоящее время информационные технологии становятся одним из основных средств обеспечения адаптивности и конкурентоспособности экономических субъектов. Вместе с совершенствованием бизнес-среды меняются требования и к аппаратным средствам, программному обеспечению и IT в целом. Данный факт определяет важную роль аудита информационных систем, описание которого приведено в Международном стандарте «Контрольные объекты для информационных и смежных технологий» (Control Objectives for Information and Related Technology – CobiT). Он направлен на снижение рисков информационных технологий.
К ним относятся риски предоставления несанкционированного доступа к внутренним данным. Это может стать большой угрозой для дальнейшей деятельности организации и привести к потере важных данных. При вводе информации в компьютерные системы всегда остается риск обработки неточных данных, так называемый человеческий фактор. К машинному фактору можно отнести риск неточной обработки данных, например, при систематических сбоях или хакерских взломах. Конечно, не стоит исключать и риск превышения полномочий сотрудниками информационных служб. Благодаря наличию у них более широкого доступа к данным, сохранению всех паролей и архива. Также можно выделить риски несанкционированного изменения данных в основных файлах, либо в системах/программах, в том числе путем внедрения вирусов [8]. Поэтому благонадежнее всего для компаний внедрять антивирусные системы, либо полностью исключить доступ сотрудников к свободному использования Интернета и периферийной техники, что вызывает риск несанкционированного ручного вмешательства в работу систем. Наконец, к заключительному риску относится отсутствие доступа к данным при необходимости. Компьютерные системы как могут облегчить, так и усложнить жизнь сотрудникам компании. Нередки случаи, например, утери паролей и, как следствие, невозможности получить данные тогда, когда это срочно необходимо.
В международной практике к данным рискам применяются особые стандарты и положения. Так, применение положений стандарта CobiT при формировании системы внутреннего контроля помогает организациям повысить эффективность применения информационных технологий, являющихся безусловным атрибутом деятельности современных компаний [1]. Посредством взятия за основу данного стандарта как базы для разработки политики контроля можно внедрить использование информационных технологий при осуществлении основной экономической деятельности. Кроме того, данный стандарт, часто обновляясь, способствует постоянной разработке новых поправок в локальные нормативные документы, а также улучшает процессы управления информационными технологиями и связанными с ними рисками.
В рекомендациях «Ternbull Review Group» описывается принципо-ориентированный подход, при котором внутренний контроль ассимилируется с бизнес-процессами организации и воспринимается как часть повседневных задач и процедур управления, а не как отдельно проводимое мероприятие по достижению выполнения нормативных требований [7]. Совет директоров должен принимать ответственные и взвешенные решения, что касается политики управления рисками организации. При этом отмечается важная роль руководства в реализации политики в отношении внутреннего контроля, а также уточняется, что сотрудники также ответственны за него в рамках своего функционала.
Изучив зарубежный опыт создания систем внутреннего контроля и управления рисками, становится понятно, что данная деятельность объединяет все бизнес-процессы, позволяя провести глубокий анализ работы всей системы в целом. На ее основе появляется возможность сформулировать выводы о достигнутых результатах и представить их всем заинтересованным сторонам, участвующим в формировании данной системы. В следствие чего должны быть принимать управленческие решения, направленные на снижение рисков и наилучшее использование возможностей для роста и повышения эффективности деятельности организации. Существенное влияние на системы внутреннего контроля имеет взаимодействие с внутренним аудитом.
Подводя итог, следует отметить тот факт, что несмотря на наличие множества подходов к определению системы внутреннего контроля и значительных различий в интерпретациях отечественных и зарубежных исследователей и практиков, в общем смысле она воспринимается как важнейшая часть общей системы управления. Без этой системы невозможно корректное функционирование фактически всех подразделений организации, затруднен выход компании на рынок и формирование конкурентных преимуществ. Будучи связанной напрямую с деятельностью субъекта экономики, система внутреннего контроля формируется с учетом особенностей производственных бизнес-процессов. Особенно необходима она в крупных коммерческих компаниях и организациях, деятельность которых носит публичный характер, так как наличие эффективной системы внутреннего контроля продиктовано потребностями современного рынка.
Библиографический список
1. Анисимова, С. В. Развитие системы внутреннего аудита компании в условиях цифровой экономики / С. В. Анисимова // Управленческий учет. – 2023. – № 8. – С. 368–373.2. Внутренний аудит и контроль бизнес-процессов / С. Ю. Ракутько, Е. Ю. Селезнева, О. Г. Житлухина, Е. В. Белик, Е. И. Бережнова, Е. В. Ломоносова, Н. В. Белик. – Владивосток: Изд-во Дальневосточного федерального университета, 2021. – 157 с.
3. Гасанова, П. М., Лифановская, О. В. Специфика функционирования системы внутреннего контроля и внутреннего аудита в российских организациях сферы торговли / П. М. Гасанова, О. В. Лифановская // Вестник евразийской науки. – 2023. – Т. 15. – № 3. – С. 95-102.
4. Информация Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» // Налоги. – N 21. – 26.12.2013.
5. Кизилов, А. Н., Иванеско, К. А. Система внутреннего контроля в зарубежной практике / А. Н. Кизилов, К. А. Иванеско // Проблемы экономики и юридической практики. – 2022. – № 7. – С. 62-69.
6. О бухгалтерском учете [Электронный ресурс]: от 06 декабря 2011 года № 402-ФЗ: принят Государственной Думой 22 ноября 2011 года. – Электрон. дан. – Режим доступа: http://www.consultant.ru/document/cons_doc_LAW_122855/
7. Организация внутреннего контроля на российских и зарубежных предприятиях: подходы и модели / С. В. Головин, М. С. Луценко, О. О. Шендрикова // Вестник Воронежского государственного университета. Серия: Экономика и управление. – 2020. – № 3. – С. 34-47.
8. Растегаева, Ф. С., Пережогин, И. С. Трансформация системы внутреннего контроля коммерческой организации в условиях цифровизации экономики / Ф. С. Растегаева, И. С. Пережогин // Креативная экономика. – 2020. – Т. 14. – № 6. – С. 1091–1104.
9. Современные системы внутреннего контроля / С. М. Резниченко, М. Ф. Сафонова, О. И. Швырева. – Ростов-на-Дону: Феникс, 2016. – 510 с.
10. Сотникова, Л. В. Внутренний контроль и аудит / Л.В. Сотникова. – М.: Финстатинформ, 2020. – 239 с.
11. Циценко, М. А. Внутренний контроль как важнейшая функция процесса управления учреждениями / М. А. Циценко // Экономика и социум. – 2023. – №10 (113). – С. 223-228.
12. Ширяева Г. Ф., Макарова В. И. Совершенствование внутреннего контроля на предприятии / Г. Ф. Ширяева, В. И. Макарова // Вестник Евразийской науки. – 2019. – № 2. – С. 117-124.