Система внутреннего контроля в общих центрах обслуживания

Введение

Одним из инструментов повышения эффективности управления организацией является построение качественной системы управления рисками и внутреннего контроля. Такие системы созданы во многих компаниях, но они не всегда отвечают современным требованиям и эффективно противодействуют существующим угрозам. На многих предприятиях, особенно малых и средних, зрелость систем внутреннего контроля находится на неприемлемо низком уровне.

Общие требования по наличию эффективной системы внутреннего контроля в организациях стали разрабатываться с 80-х гг. прошлого столетия с изданием международной концепции COSO. Позднее появились другие концепции для различных групп пользователей, а COSO претерпела изменения в соответствии с меняющейся бизнес-средой. В последнее время наблюдается повышение интереса к данной теме.

Ряд банкротств крупных корпораций в начале ХХI в. привел к повышению требований к внутреннему контролю на законодательном и нормативном уровне. Так, например, в США в 2002 г. был издан Закон Сарбейнса-Оксли, устанавливающий требования к наличию в корпорациях эффективного внутреннего контроля, а в требованиях регуляторов фондового рынка и фондовых бирж появилось условие необходимости наличия внутреннего контроля для допуска бумаг в котировальный лист биржи.

В России многие положения международных концепций и правил нашли отражение на законодательном и нормативно-методическом уровне. Например, в закон «Об акционерных обществах» внесены положения о системах управления рисками и внутреннего контроля публичных обществ, требования российских бирж по внутреннему контролю для эмитентов, ценные бумаги которых допущены к торгам, аналогичные требованиям мировых торговых площадок, а Банком России издан Кодекс корпоративного управления, устанавливающий рекомендации к системам управления рисками и внутреннего контроля для крупных компаний, введены в действие Международные стандарты аудита, устанавливающие в том числе и требования к организации внутреннего контроля аудируемых лиц.

Одной из главных целей внутреннего контроля является представление достоверной финансовой отчетности, что предполагает особые требования к его организации при ведении учета. Такие требования в общих чертах установлены законодательством, но полноценная методическая база осуществления внутреннего контроля, учитывающая особенности учетного процесса, отсутствует.

С конца прошлого века одним из способов повышения эффективности бизнеса в западных компаниях стал перевод обеспечивающих функций всех предприятий одной группы в отдельную организацию или филиал – общий центр обслуживания (далее – ОЦО). В первую очередь, это коснулось учетной функции. В нашей стране ОЦО стали открываться с начала 2000-х, и наиболее активно – с 2008 по 2014 г.

ОЦО отличаются спецификой технологических процессов, связанных с особенностями ведения бизнеса. Это обусловлено такими факторами, как территориальная обособленность ОЦО от своих клиентов, разделение процесса движения документов и информации между разными хозяйствующими субъектами, повышенные требования к квалификации персонала и ИТ-сопровождению учета и т.д. Специфика деятельности ОЦО порождает характерные риски, снижение которых должно обеспечиваться построением эффективной системы внутреннего контроля.

В связи с этим целью настоящего исследования стала разработка теоретических и практических аспектов внутреннего контроля в общих центрах обслуживания российских компаний.

Достижение поставленной цели потребовало постановки и решения следующих основных задач:

– развитие терминологии внутреннего контроля на основе анализа отечественных и зарубежных научных источников, международных концепций и регулирующих документов;

– уточнение определений контрольных процедур и разработка принципов их оптимального соотношения на основе анализа имеющихся подходов к терминам и классификации;

– развитие методологии внутреннего контроля, в том числе на уровне процессов и операций, направленной на развитие систем внутреннего контроля;

– разработка модели финансовой отчетности типичного ОЦО на основе анализа рынка аутсорсинга обеспечивающих функций на территории РФ;

– выявление основных рисков деятельности ОЦО с учетом степени их значимости, разработка мер по их снижению;

– определение методов оценки системы внутреннего контроля ОЦО с учетом специфики их деятельности.

Теоретическая значимость работы состоит в развитии методики организации систем внутреннего контроля в общих центрах обслуживания, способствующей повышению эффективности их деятельности.

Практическое значение исследования заключается в применении разработанных авторами предложений по совершенствованию процедур внутреннего контроля в общих центрах обслуживания российских компаний.

Настоящее исследование состоит из введения, трех глав, заключения, списка использованной литературы и приложений. В первой главе рассмотрены теоретические основы внутреннего контроля с учетом результатов анализа различных подходов и концепций, а также регулирующих норм в данной сфере, уточнены понятия «внутренний контроль» и «система внутреннего контроля», предложена авторская концепция системы внутреннего контроля организации. Во второй главе осуществлен анализ российского рынка ОЦО и определены отличительные особенности их финансового состояния; проведена классификация ключевых рисков ОЦО, предложен комплекс мер по их снижению. В третьей главе выполнен комплексный анализ и классификация контрольных процедур, определены их особенности и намечены направления развития систем внутреннего контроля на процессном уровне.

Теоретической и методологической основой исследования послужили труды ведущих отечественных и зарубежных ученых-экономистов в сфере риск-менеджмента, контроля и анализа хозяйственной деятельности, международные концепции внутреннего контроля, нормативно-правовые акты РФ, методические материалы профессиональных сообществ, нормативно-справочные материалы, специальная литература, внутренние нормативные документы предприятий, данные бухгалтерского, управленческого и статистического учета и отчетности, методические материалы по внутреннему контролю, аналитические и информационные материалы, опубликованные в российской и зарубежной периодической печати и представленные в компьютерной сети Internet, а также материалы, полученные авторами в результате непосредственного изучения состояния внутреннего контроля в организациях, осуществляющих ведение учета и составление отчетности предприятий.

Выводы и результаты данного исследования могут быть использованы консалтинговыми и аудиторскими организациями при консультировании и проведении работ по созданию и совершенствованию систем внутреннего контроля в российских организациях учетного сервиса.

Глава 1. Основы организации внутреннего контроля

Внутренний контроль: содержание понятия. Процессный и системный подход

Контроль (фр. contrôle от contrerôle – список, ведущийся в двух экземплярах, от лат. contra – против и rotulus – свиток) в традиционном понимании – это одна из основных функций системы управления.

Современная наука предлагает различные подходы к определению понятия «контроль». Так, Т.Ю. Серебрякова отмечает следующие концептуальные подходы к определению данной категории:

– риск-ориентированная деятельность (теория рисков): контроль рассматривается как способ минимизации рисков менеджмента;

– модель управления: контроль является функцией (этапом) управления;

– кибернетический (системный) подход: контроль – это способ обратной связи;

– правовой подход: контроль – проверка соответствия деятельности¹.

О.М. Серчугина провела обобщение научных исследований, в которых контроль рассматривается в следующих аспектах:

– функция, метод или форма исполнительно-распорядительной деятельности органов управления организации;

– совокупность применяемых органами управления приемов, способов, форм и методов;

– окончательная стадия управленческого процесса;

– форма обратной связи о состоянии управляемого объекта и исполнении управленческих решений, получаемая управляющей системой;

– система наблюдения и проверки работы управляемого объекта с целью выявления отклонений от заданных параметров².

Российские и зарубежные авторы предлагают определения контроля, которые так или иначе можно отнести к одному из вышеупомянутых направлений.

Классификация контроля

Исследователи по-разному подходят к классификации контроля. Так, по мнению Т.Ю. Серебряковой, экономический (хозяйственный) контроль является совокупностью финансового контроля, административного контроля и организационно-технического контроля³.

Т.В. Каковкина предлагает различать контроль по различным классификационным признакам: стадиям, времени, периодичности проведения, характеру мероприятий, источникам информации, специфике решаемых задач, применяемым методам, объектам и субъектам контроля, уровням управления и т.д.⁴.

Наиболее общим и в то же время практически значимым является разделение контроля на внешний и внутренний. Сами по себе эти категории относительны. Какой-либо отдельно взятый контроль по отношению к объекту контроля может быть одновременно как внешним, так и внутренним. Такое разделение является логичным и применимым в деятельности хозяйствующих субъектов как самостоятельных образований.

Р.В. Пашков и Ю.Н. Юденков предлагают рассматривать государственный контроль как совокупность государственного административного, финансового, судебного и – отдельно – внутреннего контроля⁵. При этом особенность внутреннего государственного контроля, по их мнению, состоит в том, что финансовое планирование в нем рассматривается как одно из направлений во взаимосвязи с другими направлениями деятельности государственной организации. В этом ключе основным риском, на который направлен государственный внутренний контроль, – это риск дисфункции в целом, т.е. прекращение оказания ею государственных услуг и прекращение взаимодействия с другими организациями⁶.

Аналогичную интерпретацию контроля Р.В. Пашков и Ю.Н. Юденков предлагают в банковском секторе⁷. С учетом того что банковская деятельность традиционно рассматривается как более рискованная, требования к внутреннему контролю в кредитных организациях, как правило, значительно выше. По мнению ученых, основой эффективной модели внутреннего контроля является «направленность на оптимизацию и повышение эффективности бизнес-процессов банка и снижение затрат, выделение центров затрат и прибыли банка, выстраивание финансовых потоков внутри банка для максимального достижения эффективности».

Система внутреннего контроля

Рассмотрим подходы к определению понятий «внутренний контроль» (далее – ВК) и «система внутреннего контроля» (далее – СВК). В табл. 1 приведены определения из научных источников и регулирующих документов с комментариями авторов.

Таблица 1

Определения понятий «внутренний контроль» и «система внутреннего контроля» в научной литературе и регулирующих документах

Многие исследователи сходятся во мнении, что внутренний контроль должен рассматриваться не только как функция управления, но и как отдельная отрасль научного знания. Об этом свидетельствует хотя бы то, что на уровне профессиональных сообществ и мегарегуляторов описываются требования к эффективному внутреннему контролю как отдельному процессу.

Как видно из табл. 1, в источниках часто кроме самого понятия «внутренний контроль» используется понятие «система внутреннего контроля». Термин «система» (от греч. σύστημα —«целое, составленное из частей; соединение») означает множество элементов, находящихся в отношениях и связях друг с другом, которое образует определённую целостность, единство⁸.

Потребность в использовании термина «система» возникает в тех случаях, когда нужно подчеркнуть, что что-то является большим, сложным, сразу не полностью понятным, но при этом единым и целым. В отличие от понятий «множество» и «совокупность» понятие «система» подчёркивает упорядоченность, целостность, наличие закономерностей построения, функционирования и развития.

Д.Х. Медоуз видит в качестве системы такой набор элементов, взаимосвязь между которыми полностью определяет поведение системы. Система не рассматривается как набор отдельных частей. Элементы взаимодействуют друг с другом для достижения цели системы. Обязательными атрибутами системы являются элементы, взаимосвязи между ними и назначение (или цель) системы⁹.

Выделяют следующие свойства систем:

– эмерджентность, целостность: система – нечто большее, чем просто сумма составляющих ее частей. При взаимодействии элементов у системы возникают новые свойства, не присущие просто совокупности элементов;

– иерархия, многомерность: системы, как правило, являются подсистемами других систем, а те, в свою очередь, – подсистемами третьих. Иерархия систем порождает иерархию целей этих систем;

– эластичность, адаптивность: системы устойчивы к внешним воздействиям;

– активность, самоорганизация: системы самоорганизуются и стремятся к устойчивому равновесию;

– контринтуитивность: поведение систем не всегда очевидно;

– временная задержка в обратной связи: отклик систем на воздействие может иметь определенную временную задержку.

По итогам проведенного анализа определений, представленных в табл. 1, можно сделать следующие выводы:

1. Внутренний контроль трактуется исследователями как функция, система элементов, подсистема управления и постоянного наблюдения, процесс, этап процесса управления и т.д.

2. Выделяется группа определений внутреннего контроля с фокусированием на его цели, основными из которых являются цели достижения эффективности и результативности деятельности, цели подготовки качественной отчетности и цели соблюдения регулирующих норм (комплайенс).

3. Отдельными исследователями и регулирующими документами дается определение «системы внутреннего контроля» как совокупности мер, методик и процедур, направлений или процессов, органов и направлений внутреннего контроля.

Как видно из табл. 1, во многих источниках не различаются понятия «внутренний контроль» (как деятельность, процесс) и «внутренний контроль» (как система), т.е. «система внутреннего контроля» как совокупность взаимодействующих между собой элементов, имеющих общую цель.

Отсюда и нечеткость в использовании терминов, определяющих эти понятия. Это значит, что не следует называть внутренний контроль «системой» или «подсистемой», а систему внутреннего контроля «процессами», «совокупностью мер, методик и процедур». Полагаем, что терминологическая неразборчивость мешает выявлению особенностей этих разных, но имеющих общие точки соприкосновения понятий.

По мнению авторов, использование терминов «внутренний контроль» и «система внутреннего контроля», называющих соответствующие понятия, должно четко различаться. Так, под «внутренним контролем» следует понимать деятельность, процесс, функцию, этап управления, а под «системой внутреннего контроля» – взаимосвязанную совокупность элементов, обладающую системными свойствами. Вместе с тем цели «внутреннего контроля» и «системы внутреннего контроля» одинаковы и сводятся к трем базовым группам целей: операционные цели, информационные цели и цели соблюдения регулирующих норм (комлайенс-цели).

Разница между этими понятиями заключается также в том, что система внутреннего контроля является способом организации внутреннего контроля в конкретной организации. Например, в концепции COSO определено, что внутренний контроль организации могут реализовывать по-разному. В небольшой организации система внутреннего контроля может быть менее формализованной и структурированной, но при этом обеспечивать эффективный внутренний контроль. Определение внутреннего контроля, согласно COSO, намеренно является более широким: так оно позволяет создать основу для применения в организациях, имеющих различную организационно-правовую форму и осуществляющих деятельность в различных отраслях и географических регионах. Используя определения и предлагаемые подходы из концепции COSO, каждая организация создает свою систему внутреннего контроля с учетом специфики деятельности, особенностей организационной структуры, наличия определенных органов управления и подразделений и т.д. Причем под элементами этой системы можно понимать направления деятельности, подразделения, методы и технологии работы, персонал и т.д.

Таким образом, оба эти понятия могут употребляться в отношении организации контроля внутри организации. С учетом вышеизложенного авторами предложены следующие определения внутреннего контроля и системы внутреннего контроля.

Внутренний контроль – деятельность органов управления и персонала организации, направленная на фиксирование негативных отклонений от намеченных результатов и снижение рисков, а также на обеспечение разумной уверенности в достижении целей организации по обеспечению эффективности и результативности деятельности, подготовке достоверной внутренней и внешней отчетности и соблюдению требований регулирующих норм.

В данном определении учтены особенности внутреннего контроля как деятельности / процесса, направленного на достижение определенных целей, а также тот факт, что традиционно контроль рассматривается как функция управления, направленная на выявление имеющихся негативных отклонений от запланированного результата.

Система внутреннего контроля – взаимосвязанная совокупность направлений и компонентов внутреннего контроля, органов управления, подразделений и персонала организации, обладающая свойствами эмерджентности, многомерности, адаптивности и самоорганизации систем, целью которой является эффективность и результативность деятельности организации, подготовка достоверной, полезной и своевременной информации о ее деятельности и соблюдение ею как внешних, так и внутренних регулирующих норм.

В данном определении учтены основные свойства систем, что является принципиально важным для описания системных объектов исследования.

Концепции внутреннего контроля в мировой и отечественной практике

В регулирующих документах по вопросам корпоративного управления различных стран присутствуют требования по оценке СВК и поддержанию ее в эффективном состоянии. Краткий обзор приведен в табл. 2.

Таблица 2

Требования к внутреннему контролю публичных компаний в мировой практике

Содержание требований по внутреннему контролю можно привести к общему знаменателю. Все они, как правило, указывают на необходимость создания, поддержки и периодической оценки системы внутреннего контроля. При этом внимание к данным вопросам должно быть на уровне высшего руководства компаний – Совета директоров (и в их составе Комитетов по аудиту) и исполнительного руководства.

Отдельного внимания заслуживает закон Сарбейнса-Оксли (Sarbanes-Oxley Act, SOX)¹⁰, который был принят в США в 2002 г. в ответ на ряд корпоративных скандалов, связанных с недобросовестными действиями со стороны внешних аудиторов и менеджмента организаций.

Закон действует для любой компании, ценные бумаги которой зарегистрированы в Комиссии по биржам и ценным бумагам США. В законе устанавливается ответственность руководства за эффективность СВК по подготовке финансовой отчетности компании, проведение оценки ее эффективности, документирование проведения оценки и представление в конце отчетного периода письменного подтверждения эффективности действующей СВК. Он также устанавливает необходимость контроля деятельности аудиторов, обеспечения независимости аудиторов и аудиторских комитетов¹¹.

Следует отметить, что в большинстве стран применяется подход «твердого» регулирования, когда устанавливаются четкие требования, обязательные для исполнения (подход «соблюдай»). В то же время в некоторых странах применяется подход «мягкого» регулирования в формате «соблюдай или объясняй» («comply or explain»), который впервые стал использоваться в Великобритании. Суть данного подхода заключается в том, что нельзя все компании привести под общий знаменатель и что им нужна определенная гибкость, чтобы следовать духу Кодекса корпоративного управления или другого регулирующего документа, а не его конкретным положениям, но при этом необходимо обоснованно объяснять отклонения¹².

Данный подход имеет определенные преимущества. Практика показала, что «мягкое» регулирование приводит к постепенному росту соответствия требованиям регулирующих документов благодаря тому, что отдает вопросы администрирования в ведение акционеров, которые делают это с помощью рыночных механизмов, таких как ценообразование и голосование на общих собраниях. В то же время у него имеются и недостатки: не всегда достоверная информация о соответствии требованиям («объяснения»), типовые и несодержательные формулировки, используемые компаниями, и несовершенство рыночных механизмов, вследствие которого происходит регулирование несоответствий.

В России в основном применяется «твердое» регулирование, когда нормы о необходимости осуществления внутреннего контроля установлены в нормативных документах как обязательные к исполнению. К таким документам можно отнести, например, закон «О бухгалтерском учете», в котором установлена обязанность по организации и осуществлению внутреннего контроля¹³. Во исполнение этой нормы Минфином РФ изданы Методические рекомендации № ПЗ-11/2013¹⁴.

В то же время некоторые документы не имеют статуса нормативно-правовых актов, обязательных к исполнению. Один из таких документов – Кодекс корпоративного управления¹⁵. В преамбуле данного документа указано, что Кодекс носит рекомендательный характер. Банк России в своих письмах сообщает о неверном применении российскими организациями подхода «соблюдай или объясняй», которые не представляют объяснения отклонений и их причин, а также информации о мероприятиях по их корректировке и дальнейшим действиям¹⁶. Банк России дает конкретные рекомендации по составу и характеру представляемых обществами объяснений по фактам несоответствия положениям Кодекса. Так, кроме подробного описания сути несоответствий предлагается направлять также информацию о ключевых причинах и факторах, вызвавших данные несоответствия, описание механизмов и инструментов, используемых взамен рекомендованных, и о планируемых действиях по совершенствованию модели управления.

Концепции внутреннего контроля

Наряду с нормативно-правовым регулированием в мировой практике применяются общие подходы, методики, концепции внутреннего контроля. Наиболее распространенной является концепция внутреннего контроля COSO, в которой внутренний контроль является неотъемлемой частью всех процессов организации¹⁷. В ней четко прослеживается мысль, что внутренний контроль – это не план мероприятий (даже успешно выполненный), не рубеж обороны от бесконтрольных и опасных действий и не охрана от рисков (даже хорошо оснащенная), а процесс, интегрированный в обычную деятельность.

Комитет спонсорских организаций Комиссии Тредуея (The Committee of Sponsoring Organizations of the Treadway Commission) разработал в 1985 г. Концепцию COSO.

Суть модели COSO обычно представляют в виде куба COSO (рис. 1).

Рис. 1. Концепция внутреннего контроля COSO

Модель COSO представляет собой совокупность элементов, структурированных следующим образом:

1. Категории целей:

– операционные – эффективность и экономичность операций, включая сохранность активов;

– подготовка отчетности – качество внутренней и внешней финансовой и нефинансовой отчетности;

– оценка соответствия действующему законодательству и нормам.

2. По взаимосвязанным компонентам:

– контрольная среда;

– оценка рисков;

– контрольные процедуры;

– информация и коммуникация;

– мониторинг.

3. По уровням организационной структуры:

– уровень компании (организации в целом);

– подразделение;

– бизнес-процесс;

– функция.

При этом существует еще 17 фундаментальных принципов, соответствующих каждому компоненту.

Исследование отечественной нормативной базы в области внутреннего контроля позволяет сделать вывод о том, что основой для большинства подходов являются принципы, заложенные в модели COSO.

Другой международный стандарт COBIT¹⁸ направлен на снижение рисков информационных технологий. Он не является стандартом по построению только системы внутреннего контроля. Данный документ регулирует область управления и руководства ИТ на предприятии, помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов; в качестве одной из целей руководства ИТ, наряду с оптимизацией ресурсов и получением выгод, рассматривается оптимизация рисков.

Кроме модели COSO существуют альтернативные концепции внутреннего контроля:

– модель внутреннего контроля Cadbury (Институт Профессиональных бухгалтеров Англии и Уэльса), 1992 г.;

– модель COCO, разработанная Советом по критериям контроля Канадского Института дипломированных бухгалтеров в 1995 г. Является адаптированной моделью COSO для целей аудита.

Кроме того, есть другие концепции и стандарты (COBIT, SAC, COSO, SAS 55/78), которые незначительно отличаются друг от друга основными целевыми группами пользователей, компонентами, зонами внутреннего контроля, фокусом, подходами к оценке эффективности внутреннего контроля, но все они направлены на обеспечение эффективного внутреннего контроля¹⁹.