Л. В. Донцова, М. М. Шарамко, И. Р. Гарипов, Э. Р. Мубаракшина

Бенчмаркинг как инструмент оценки эффективности системы внутреннего контроля

Монография

Под общей редакцией
доктора экономических наук, профессора
Л. В. Донцовой

---

ebooks@prospekt.org

Информация о книге

УДК 338.24

ББК 74.04

Б46

Авторы: 

Донцова Л. В., д-р экон. наук, проф., РЭУ им. Г. В. Плеханова — введение, п. 1.4 (совм. с Гариповым И. Р.), заключение;

Шарамко М. М., канд. экон. наук, доцент, Набережночелнинский институт КФУ — п. 1.1—1.3, гл. 2, п. 3.1, 3.2 (совм. с Гариповым И. Р.), 3.3, гл. 4, 5 (совм. с Мубаракшиной Э. Р.), 6 (совм. с Мубаракшиной Э. Р.);

Гарипов И. Р., ведущий юрисконсульт ООО «НКЦ «Аудитор-Ч» — п. 1.4 (совм. с Донцовой Л. В.), 3.2 (совм. с Шарамко М. М.);

Мубаракшина Э. Р., ст. препод., Набережночелнинский институт КФУ — гл. 5 (совм. с Шарамко М. М.), гл. 6 (совм. с Шарамко М. М.).

Рецензенты: 

Демина И. Д., д-р экон. наук, проф. (кафедра «Бухгалтерский учет» ФГОБУ ВО «Финансовый университет при Правительстве РФ»); 

Овсийчук В. Я. — д-р экон. наук, проф., заместитель заведующей кафедрой финансов и бухгалтерского учета ГБОУ ВО Московской области «Технологический университет».

Монография посвящена исследованию основных методологических проблем внутреннего контроля. Одним из инструментов решения этих проблем, которые обусловлены трудностями применения международных стандартов внутреннего контроля в организациях, предлагается использование методов бенчмаркинга.

В работе обобщены основные принципы внутреннего контроля и признаки эффективного внутреннего контроля. Рассматриваются особенности имплементации международных стандартов внутреннего контроля в российскую правовую среду, а также проблемы формулирования в российских нормативных документах такого понятия, как «субъект внутреннего контроля».

Исследованы аспекты одного из компонентов системы внутреннего контроля — человеческого капитала, а именно стандарты и требования к компетенции, этические требования, права и обязанности специалистов внутреннего контроля, организационная структура подразделений внутреннего контроля и т.д.

Законодательство приводится по состоянию на февраль 2016 г.

Монография может быть полезна научным работникам, специалистам, занятым в сфере внутреннего контроля и аудита, организаций всех форм собственности, а также преподавателям и аспирантам вузов экономического профиля.

УДК 3338.24

ББК 74.04

© Коллектив авторов, 2016

© ООО "Проспект", 2016

Введение

Согласно Лимской декларации руководящих принципов контроля, контроль — это неотъемлемая часть системы регулирования, целью которой является вскрытие отклонений от принятых стандартов и нарушений принципов, законности, эффективности и экономии расходования материальных ресурсов на возможно более ранней стадии с тем, чтобы иметь возможность принять корректирующие меры, в отдельных случаях, привлечь виновных к ответственности, получить компенсацию за причиненный ущерб или осуществить мероприятия по предотвращению или сокращению таких нарушений в будущем.

Согласно определению Комитета организаций-спонсоров Комиссии Тредвея (COSO), внутренний контроль — это процесс, осуществляемый советом директоров компании, менеджментом и прочим персоналом, предназначенный для обеспечения разумной уверенности относительно достижения поставленных целей в операционной деятельности, финансовой отчетности и комплаенса. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе.

Исторически внутренний контроль не развивался как целостное явление. В разных исследованиях в разное время актуальность приобретали те или иные аспекты внутреннего контроля. Сегодня наибольшее внимание уделяется таким направлениям внутреннего контроля, как аудит, управление рисками, комплаенс и пр. В результате существует большое количество стандартов, законодательных и нормативных документов, посвященных тому или иному аспекту внутреннего контроля, но в таких документах зачастую отсутствует взаимосвязь между компонентами внутреннего контроля. Ситуацию усугубляет наличие специфических различий в компонентах внутреннего контроля в зависимости от страны, региона, отрасли, организационной структуры, вида деятельности и пр.

Например, в Рекомендациях Базельского комитета по банковскому надзору «Принципы совершенствования корпоративного управления» справедливо указывается, что обычно управление рисками и внутренний контроль рассматриваются отдельно друг от друга, но некоторыми организациями и надзорными органами ряда стран термин «внутренний контроль» употребляется как обобщающий для обозначения совокупности процессов управления рисками, внутреннего аудита, комплаенс-контроля и т. д. В то же время представляется недостаточно корректным подход Базельского комитета по банковскому надзору, согласно которому разграничение между этими понятиями полагается не столь важным до тех пор, пока обеспечивается достижение поставленных целей.

В стандартах COSO утверждается, что внутренний контроль является частью системы управления рисками, но внутренний контроль в свою очередь включает в себя компонент «оценка рисков».

Представляется, что путаница в соотношении понятий внутреннего контроля и управления рисками определена тем, что внутренний контроль связан только с одной функцией менеджмента (непосредственно функцией контроля), а управление рисками присутствует во всех функциях менеджмента. Таким образом, важной проблемой стандартов внутреннего контроля, аудита и управления рисками является то, что во многих аспектах они выходят за рамки функции контроля как одной из функций менеджмента и очень часто пересекаются с такими функциями менеджмента, как планирование и организация.

В российской практике нередко с понятием внутреннего контроля отождествляется понятие внутреннего аудита, что приводит к пониманию этих явлений как тождественных. В то же время необходимо признать, что внутренний аудит является пусть и важнейшим, но все-таки компонентом системы внутреннего контроля.

Несмотря на большое количество разнообразных международных стандартов внутреннего контроля и управления рисками, ситуация в сфере регламентации и стандартизации внутреннего контроля далека от совершенства. Основные методологические проблемы внутреннего контроля на сегодня включают:

1. Неясность в разграничении в рамках внутреннего контроля непосредственно контроля и других функций менеджмента (т.е. планирования, организации и т.д.);
2. Неясность в разграничении таких основных пересекающихся сфер внутреннего контроля, как управление рисками, аудит, комплаенс и внутренний контроль;
3. Неясность в разграничении внешнего и внутреннего контроля и отсутствие ясного понимания взаимосвязи между системами контроля на макро-, мезо- и микроэкономическом уровнях;
4. Путаницу в разграничении таких «компонентов» внутреннего контроля, как субъект и предмет контроля, контрольная среда, средства контроля, информация и коммуникация, мониторинг и оценка рисков;
5. Проблемы в области столкновения «континентальной» и «англосаксонской» концепций нормативно-правового регулирования и, соответственно, внутреннего контроля;
6. Наличие противоречий, конфликтов и несоответствий в стандартах внутреннего контроля, аудита, комплаенса и управления рисками, издаваемых различными организациями, в силу несовпадения субъективных позиций, обусловленных региональной, отраслевой и ведомственной принадлежностью;
7. Низкая интенсивность обновления и совершенствования стандартов внутреннего контроля в условиях значительного усложнения нормативно-регулятивной среды.

Сравнение международных стандартов методами бенчмаркинга дает возможность эффективно выявлять те области, в которых стандарты противоречат друг другу или же, наоборот, взаимно дополняют друг друга. Тем не менее остается острой потребность в дальнейшей унификации стандартов в сфере внутреннего контроля, аудита и управления рисками.

1. Сущность, определение и цели внутреннего контроля

1.1. Определение утреннего контроля системы утреннего контроля

Согласно Лимской декларации руководящих принципов контроля (принята IX Конгрессом Международной организации высших органов финансового контроля — ИНТОСАИ), контроль не самоцель, а неотъемлемая часть системы регулирования, целью которой является вскрытие отклонений от принятых стандартов и нарушений принципов, законности, эффективности и экономии расходования материальных ресурсов на возможно более ранней стадии с тем, чтобы иметь возможность принять корректирующие меры, в отдельных случаях привлечь виновных к ответственности, получить компенсацию за причиненный ущерб или осуществить мероприятия по предотвращению или сокращению таких нарушений в будущем.

В июне 1999 г. совет директоров Института внутренних аудиторов одобрил следующее определение внутреннего аудита: «Внутренний аудит является независимой службой, занимающейся объективной оценкой и консультационной деятельностью, предназначенной для создания добавленной стоимости и улучшения операций организации. Он помогает организации достичь своих целей путем привнесения системного, дисциплинирующего подхода к оценке и улучшению эффективности процессов управления рисками, контроля и управления».

Внутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени, сколько процесс, который постоянно идет на всех уровнях. Совет директоров и менеджмент несут ответственность за создание соответствующей культуры, облегчающей эффективное осуществление внутреннего контроля, и за мониторинг его эффективности на постоянной основе; однако каждый сотрудник организации также должен принимать участие в этом процессе¹.

Согласно определению COSO, внутренний контроль — это процесс, осуществляемый советом директоров компании, менеджментом и прочим персоналом, предназначенный для обеспечения разумной уверенности относительно достижения поставленных целей в операционной деятельности, финансовой отчетности и комплаенса.

В последнее время все большую популярность в России и мире приобретает еще один необычный элемент системы контроля под названием «комплаенс», который еще больше усложняет целостное восприятие внутреннего контроля.

По определению Международной ассоциации комплаенса (International Compliance Association) комплаенс — это обеспечение соответствия деятельности установленным требованиям и стандартам.

Базельский комитет по банковскому надзору определяет комплаенс-риск как «риск применения юридических и нормативных санкций регулирующих органов, материальных и финансовых убытков или ущерба для репутации в результате несоблюдения законов, инструкций, правил, стандартов или кодексов поведения».

Комплаенс формирует фундамент контроля любой организации, всегда функционирующей по тем или иным правилам. В этом смысле он рассматривается как обязательная составляющая системы управления, одной из важнейших частей которой является система внутреннего контроля².

Комплаенс является одним из методов минимизации рисков неэтичного поведения, ущерба репутации компании и проявлений коррупции, которая с каждым годом наносит все больший урон деловому сообществу.

Комплаенс — это состояние или поведение, соответствующее установленному руководству, порядку, набору правил, требованию, спецификациям или законодательству. Комплаенс является важным аспектом деятельности современных компаний вследствие постоянно ужесточающегося регулирования и распространенного дефицита знаний о том, что необходимо для компании, чтобы соответствовать изменениям в законодательстве.

В мире сегодня существует достаточно стандартов, касающихся внутреннего контроля, внутреннего аудита и управления рисками, но в отношении комплаенса наиболее серьезную работу ведет, пожалуй, только Международная организация высших органов финансового контроля (ИНТОСАИ).

Если проанализировать систему международных стандартов внутреннего контроля, существующих в настоящее время, то можно увидеть, что наиболее активно разработку стандартов ведут следующие три организации:

• Международная организация высших органов финансового контроля (ИНТОСАИ);
• Комитет организаций — спонсоров Комиссии Тредвея (COSO);
• Базельский комитет по банковскому надзору.

Международная организация высших органов финансового контроля (ИНТОСАИ) разработала огромное количество стандартов (главным образом, аудита), которые в отличие от других организаций образуют достаточно целостную всеохватывающую систему. В то же время в отношении внутреннего контроля в ИНТОСАИ практически полностью скопировали положения стандарта Комитета организаций — спонсоров Комиссии Тредвея (COSO).

В то же время в стандартах Комитета организаций — спонсоров Комиссии Тредвея (COSO) по внутреннему контролю прямо признается, что многие из перечисленных категорий используют общие элементы, оперируют в одних и тех же областях и включают пересекающиеся понятия. В этих стандартах, которые являются основой современного понимания концепции внутреннего контроля, таким образом, нарушаются фундаментальные принципы научной классификации, т.е. полноты и чистоты деления понятий.

Например, вполне очевидно, что вместо трех основных целей внутреннего контроля (операционная эффективность, достоверность финансовой отчетности и соответствие нормативным требованиям) можно оставить одну, т.е. соответствие нормативным требованиям в области операционной эффективности, финансовой отчетности и всего остального. На практике критерии эффективности и достоверности задаются как раз в форме внешних или внутренних нормативных требований.

Особое место в стандартах занимает взгляд на процесс внутреннего контроля как на феномен, включающий в себя контрольную среду, процесс управления рисками, средства контроля, информацию и мониторинг. Неискушенному специалисту может показаться, что, как любая система состоит из подсистем, так же и любой процесс может состоять только из подпроцессов и не из чего иного. Среда, информация, ресурсы могут лишь быть условиями, необходимыми для осуществления процесса, но никак не его составными компонентами. Дихотомия понятий процесс и система является настоящей головной болью стандартов COSO, которую не силах разрешить никакие ухищрения.

В сущности, стандарт COSO в области внутреннего контроля не носит научного характера и в силу этого имеет достаточно сомнительную ценность. Ценность представляют отдельные небольшие разделы стандарта, но попытка применить его подходы на практике может привести к фрагментарному, бессистемному и ошибочному восприятию внутреннего контроля. То, что стандарт COSO нередко воспринимается как незыблемый авторитет в области внутреннего контроля, само по себе является тревожным доказательством крайне низкого уровня критического мышления в среде специалистов по внутреннему контролю.

В целом для стандарта COSO при интерпретации структуры внутреннего контроля характерно использование процессного подхода и идеологии «точек фокуса», т.е. концентрации на каких-то отдельных важных моментах внутреннего контроля за счет потери из поля зрения общей картины. То, что в стандарте называется принципами внутреннего контроля, по сути, является его этапами, а отдельные процессы, их составляющие, называются «точками фокуса».

Также одним из важнейших центров разработки стандартов в области внутреннего контроля является Базельский комитет по банковскому надзору, эффективность работы которого, к сожалению, серьезно ограничивается отраслевой спецификой. В то же время нельзя не признать, что отдельные положения стандартов применимы не только в банковской деятельности.

Среди основных разработчиков стандартов внутреннего контроля в России можно выделить прежде всего Минфин России и Федеральное агентство по управлению государственным имуществом. В то же время большинство документов в области внутреннего контроля, которые разрабатываются в России, либо полностью, либо частично копируют соответствующие международные стандарты. Идеологией разработки стандартов внутреннего контроля в России является скорее приведение российской практики в соответствие международной, чем попытка выработки самостоятельного подхода к стандартизации внутреннего контроля.

Таблица с перечислением основных международных и российских стандартов в области внутреннего контроля приводится ниже.

Таблица 1

Международные стандарты в области внутреннего контроля, управления рисками, аудита и комплаенса

Организация	Внутренний контроль	Управление рисками	Внутренний аудит	Комплаенс
Международная организация высших органов финансового контроля (ИНТОСАИ)	Стандарты внутреннего контроля (INTOSAI GOV 9100-9199 — Internal Control)	Управление рисками предприятия (INTOSAI GOV 9130)	Международные стандарты высших органов аудита в области финансового аудита, аудита эффективности, а также ряда специфических видов аудита (ISSAI 1000-2999, ISSAI 3000-3999, ISSAI 5000-5099 и т.д.)	Международные стандарты высших органов аудита в области комплаенс-аудита (ISSAI 4000-4999 General Auditing Guidelines on Compliance Audit)
Комитет организаций-спонсоров Комиссии Тредвея (COSO), организованный и финансируемый совместно: – Американским институтом дипломированных общественных бухгалтеров (AICPA), – Американской ассоциацией бухгалтеров (AAA), – Международной ассоциацией финансовых руководителей (FEI), – Институтом внутренних аудиторов (IIA), – Институтом бухгалтеров по управленческому учету (IMA)	Концептуальные основы внутреннего контроля (Internal Control — Integrated Framework- 2013)	Концептуальные основы управления рисками (Enterprise Risk Management — Integrated Framework-2004)		Концепция соответствия закону Сарбейнза — Оксли (The 2013 COSO Framework & SOX Compliance: One Approach to an Effective Transition)
Базельский комитет по банковскому надзору	Система внутреннего контроля в банках: основы организации		Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов	Комплаенс и комплаенс-функция в банках
Институт внутренних аудиторов	Международные профессиональные стандарты внутреннего аудита
Международная организация по стандартизации (ИСО)		Международный стандарт ИСО 31000:2009 «Менеджмент риска. Принципы и руководство» (ISO 31000:2009 «Risk management - Principles and guidelines»)
Международная ассоциация профессионалов в области управления информационными технологиями (ISACA)		Концепция рисков информационных технологий (The Risk IT Framework)	Задачи управления для информационных и смежных технологий (Control Objectives for Information and Related Technologies — CobiT)
Федерация европейских ассоциаций риск-менеджеров (FERMA)		Стандарты управления рисками (IRM, AIRMIC, ALARM — FERMA RMS)
Европейское агентство по страхованию и профессиональным пенсиям (EIOPA)		Требование (директива) о платежеспособности страховых компаний Европы (ЕС и Великобритания) (Solvency II)
Окончание табл. 1
Организация	Внутренний контроль	Управление рисками	Внутренний аудит	Комплаенс
Правительство РФ	Правила осуществления внутреннего финансового контроля и внутреннего финансового аудита (утверждены постановлением Правительства РФ от 17 марта 2014 г. № 193 (в ред. от 14.04.2015))		Федеральные правила (стандарты) аудиторской деятельности (постановление Правительства РФ о

...