(1,4,5) Руководителю предприятия Михайленко Валерий – начальник экспертного отдела ООО «Технологии Безопасности Бизнеса» Внутренний контроль на предприятии и его место в обеспечение экономической безопасности. Тема: Внутренний контроль на предприятии Внутренний контроль, как система, во-первых, очень часто таковой не является и, во-вторых, практически не взаимодействует со службой безопасности, где она есть, в вопросах защиты экономических интересов собственников. Такой вывод сделан на основе опыта аудитов безопасности предприятий, проводимых экспертами ООО «ТББ». Естественно, что он не внушает оптимизма. Более того, очень часть потенциальные возможности внутреннего контроля на предприятиях остаются существенно недооцененными. Происходит последнее только вследствие формального проведения контрольных мероприятий, не принятия мер при выявлении случаев злоупотребления персонала предприятий и ограничения полномочий органов внутреннего контроля. Полагаем, что собственникам бизнеса, руководителям предприятий и служб безопасности будет интересен подход экспертов ТББ к организации внутреннего контроля на предприятиях и организации взаимодействия с СБ в рамках системы экономической безопасности предприятия. Внутренний контроль – цель, задача, функция или структура … ? Прежде, чем ответить на поставленный в названии вопрос, приведу несколько примеров из опыта аудитов системы безопасности предприятий различных форматов, работающих в разных отраслях. Поставлена задача: оценить систему безопасности группы предприятий, организация внутренних хозяйственных связей, которых продекларирована, как вертикально ориентированная система. Для управления бизнесом ряда предприятий, являющихся самостоятельными юридическими лицами, собственниками создано предприятие, призванное управлять активами этих ООО, ОАО, ЗАО. Фактически это предприятие выполняет функции управляющей компании по отношению к остальным предприятиям аудируемой группы. Одним из вопросов аудита был посвящен изучению организации внутреннего контроля. Не вдаваясь в подробности, приведу общие замечания по организации системы внутреннего контроля (СВК). По составу – это, безусловно, полномасштабная СВК. Присутствует в группе компаний внутренний аудит, контрольно-ревизионные органы, инвентаризационные комиссии и Совет директоров. Вопросы возникают сразу, как только пытаешься узнать, работают ли все эти структуры в единой системе контроля и, если да, то насколько тесно организовано взаимодействие? К сожалению, ответ отрицательный – каждое подразделение контроля работает обособлено, а взаимодействие имеет место только на уровне личных контактов. Это значит, что обмен информацией или консультации по вопросам контроля могут состояться, а могут и не получиться. Дальше, больше … Выявить хотя бы следы взаимодействие СБ и контрольно-ревизионных подразделений просто не удалось. Что в остатке? Пальцы присутствуют все, а сжать их в кулак никак не получается. Сотрудники СВК и СБ компании в качестве основной причины называют отсутствие документов, регламентирующих порядок взаимодействия. С таким выводом трудно не согласиться, но эксперты сделали еще один. Скорее всего, кому-то из представителей высшего звена управления не очень удобно иметь внутренний контроль, как систему. При такой СВК проще решать вопросы и управлять активами не без учета личных интересов. Следующий пример, мало, чем отличается от первого, но приведу его для полноты картины. Компания по объемам хозяйственной деятельности скромнее, но не маленькая. Бизнес разнопрофильный. Здесь и производство, и оптовая торговля, и сеть розничной торговли. Все хозяйственные объекты являются структурными подразделениями компании. Предприятие функционирует в формате ОАО. Имеется СБ, которая очень мало, а точнее практически не занимается обеспечением экономической безопасности бизнеса, за исключением физической охраны. Руководитель СБ в основном «решает вопросы», если они есть, по указанию Генерального директора и на другие задачи «не отвлекается». В этих условиях руководители структурных подразделений в части защиты от враждебных посягательств представлены сами себе. В СВК имеется штатная контрольно-ревизионная служба (КРС), о которой можно с уверенностью сказать, что она есть, но эффекта от ее деятельности нет!!!? Проводимые под ее управлением инвентаризации выявляют факты недостач, но, похоже, с единственной целью – «пустить шапку по кругу», чтобы частично возместить ущерб от хищений и мошенничества персонала, партнеров и покупателей. Нет анализа, нет взаимодействия, нет оценки эффективности проводимых контрольных мероприятий. И более того, КРС находится в непосредственном подчинении финансового директора. Как, вы, полагаете, читатель, может ли при таком подчинении КРС выявить хотя бы какие-нибудь недостатки в управлении финансами, учете и т.п.? Ответ очевиден! В представленных экспертам актах ревизий и инвентаризаций за последние два года никаких существенных (значительных, серьезных) недостатков не отмечено. И это при наличии серьезных проблем в организации системы безопасности. Где нет эффективного контроля, и отсутствует эффективная безопасность – всегда имеются и мошенничества, и хищения. Можно и дальше приводить примеры из практики работы экспертов, но все они однотипные. Предприятия разные, бизнес разный, а проблемы в организации СВК одинаковые. Подведем итог и ответим на поставленный в названии вопрос. Внутренний контроль на предприятии тогда становится эффективным инструментом обеспечения экономической безопасности бизнеса и повышения его конкурентоспособности и инвестиционной привлекательности, когда он представляет собой комплексную систему контроля. Таким образом, внутренний контроль, как система, - это и структура, и цели, и задачи, и функции. За систему внутреннего контроля замолвите слово … Предлагаю плясать от печки и начать с классического определения СВК. Система внутреннего контроля – это система мер, направленных на выявление и устранение финансовых, правовых, производственных и прочих рисков, а также на выявление фактов хозяйственной деятельности, связанных с преднамеренным или непреднамеренным нарушением сотрудниками своих обязательств, повлекшим за собой ухудшение финансового состояния предприятия или его деловой репутации. Основываясь на данном определении, мы предлагаем вести речь о системе внутреннего контроля, способной решить эту задачу комплексно. Такая СВК должна уметь выполнять: контроль соответствия деятельности предприятия российскому законодательству; контроль сохранности активов предприятия; контроль материально-технического снабжения; контроль процесса производства (продажи) продукции (услуг); контроль рационального расходования ресурсов; контроль исполнения приказов и распоряжений; контроль исполнения договоров; внутренний аудит; мониторинг внешней и внутренней среды предприятия с целью выявления угроз безопасности. ОРГАНИЗАЦИОННЫЕ СТРУКТУРЫ, ВКЛЮЧАЕМЫЕ В СОСТАВ СВК СВА Служба внутреннего аудита (Комитет внутреннего аудита. Аудитор) Наблюдательный Совет (Совет директоров) Ревизионная комиссия (Ревизор) Контрольно-ревизионное Подразделение (Ревизор) Служба безопасности Структуры Контроля качества (технического контроля) в структурных подразделениях Рис. 1. Состав СВК предприятия. Если мы ведем речь о крупном предприятии с многомиллионным оборотом, наличием филиалов, ведущим бизнес в разных регионах и т.п., то конечно здесь речь идет о полномасштабной системе внутреннего контроля, которая представлена всеми известными ее компонентами. Для наглядности такой состав показан на рис.1. Если речь идет о предприятиях, которые по объему активов и численности персонала относятся к средним или малым, то такая полная система внутреннего контроля в таких компаниях отсутствует, не может существовать бизнес ради контроля. Следовательно, в малых и средних предприятиях СВК будет иметь упрощенный вид по составу. Какой – это определит собственник или уполномоченный им генеральный директор. Существуют еще малые предприятия, которые фактически являются семейным бизнесом. В таких компаниях очень часто весь контроль представлен собственником, который одновременно является и директором. Так что варианты, как говорят, имеются. Вопрос за малым: «Из чего выбрать и чем при этом руководствоваться?». На рис. 2 представлена модель организации внутрихозяйственного контроля. Возможно, моделью и таблицей можно было бы ограничиться, в части, рекомендаций по созданию СВК на предприятии. Однако, этого далеко не достаточно. Почему? Спросит любознательный читатель. И будет прав. Существует такая уважаемая организация, как комитет СОSО (Committee of Sponsoring Organizations of the Treadway Commission - Комитет организаций-спонсоров комиссии Тредвея, созданный в 1985 г. в США для формулирования определения внутреннего контроля и обеспечения руководства для оценки его эффективности. Этот комитет разработал методологию организации СВК, где сформулировал три основных цели внутреннего контроля и пять ключевых компонентов. Основные цели внутреннего контроля: проверка эффективности хозяйственных операций; проверка соответствия операций и учета требованиям законов; проверка обеспечение достоверности финансовой отчетности. Соответственно, задача построения эффективной системы внутреннего контроля состоит в том, чтобы структурировать все контрольные процедуры для всех важных бизнес-процессов, дабы выполнить три этих "сверхзадачи". ВНУТРИХОЗЯЙСТВЕННЫЙ КОНТРОЛЬ НА ПРЕДПРИЯТИИ ФОРМЫ ОРГАНИЗАЦИИ КОНТРОЛЯ РЕВИЗИОННАЯ КОМИССИЯ ОТДЕЛ ВНУТРЕННЕГО АУДИТА НАБЛЮДАТЕЛЬНЫЙ СОВЕТ ИНВЕНТАРИЗАЦИОННЫЕ КОМИССИИ КОНТРОЛЬНОРЕВИЗИОННЫЙ ОТДЕЛ СЛУЖБА БЕЗОПАСНОСТИ СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ФОРМЫ РЕАЛИЗАЦИИ КОНТРОЛЯ РЕВИЗИЯ, ИНВЕТАРИЗАЦИЯ ВНУТРЕННИЙ АУДИТ УПРАВЛЕНЧЕСКИЙ КОНТРОЛЬ ПРОИЗВОДСТВЕННЫЙ КОНТРОЛЬ ВНУТРЕННИЙ КОНТРОЛЬ ПОДРАЗДЕЛЕНИЙ КОНТРОЛЬ СЛУЖБЫ БЕЗОПАСНОСТИ СЛУЖЕБНОЕ РАССЛЕДОВАНИЕ ВИДЫ КОНТРОЛЯ ПО ОТНОШЕНИЮ К ОБЪЕКТАМ КОНТРОЛЯ ПРОВЕРКА ДОКУМЕНТОВ, ТМЦ ТЕХНОЛОГИЧЕСКИЙ КОНТРОЛЬ ИНВЕНТАРИЗАЦИОННЫЕ МЕРОПРИЯТИЯ И РЕВИЗИИ: - ДОКУМЕНТАРНЫЕ ПРОВЕРКИ; - ПЕРЕСЧЕТ ТМЦ; - СВЕРКА КАССЫ И Т.П. КОНТРОЛЬ КАЧЕСТВА ОРГАНОЛЕПТИЧЕСКИЕ МЕТОДЫ: - КОНТРОЛЬНЫЕ ЗАМЕРЫ; - НАБЛЮДЕНИЯ; - ЭКСПЕРТИЗЫ; - ЭКСПЕРИМЕНТЫ И Т.П. СМЕТНЫЙ КОНТРОЛЬ РАСЧЕТНОАНАЛИТИЧЕСКИЕ МЕТОДЫ: - ЭКОНОМИЧЕСКИЙ АНАЛИЗ; - СТАТИСТИЧЕСКИЕ РАСЧЕТЫ; - МАТЕМАТИЧЕСКОЕ МОДЕЛИРОВАНИЕ КОНТРОЛЬ ЭФФЕКТИВНОСТИ КОНТРОЛЬНЫЕ МЕРОПРИЯТИЯ СБ ДОКУМЕНТАРНЫЙ КОНТРОЛЬ: - ИССЛЕДОВАНИЕ ДОКУМЕНТОВ - КАМЕРАЛЬНЫЕ ПРОВЕРКИ; - НОРМАТИВНО – ПРАВОВОЕ РЕГУЛИРОВАНИЕ И Т.П. ПРОЦЕДУРЫ РАССЛЕДОВАНИЯ АНАЛИЗ И ОБРАБОТКА РЕЗУЛЬТАТОВ ПОДГОТОВКА ЗАКЛЮЧЕНИЙ И РЕКОМЕНДАЦИЙ Рис. 2 Модель организации внутрихозяйственного контроля Пять ключевых компонентов системы внутреннего контроля: контрольная среда; оценка рисков; контролирующие мероприятия; внутренние коммуникации; мониторинг. 1. Эффективная внутренняя контрольная среда - это фундамент системы внутреннего контроля. Она включает: корпоративную культуру, управленческий стиль высшего менеджмента, кадровую политику, корпоративный кодекс, организационную форму и полномочия структур внутреннего контроля, содержание программ по противодействию внутреннему мошенничеству, хищениям, системы бюджетирования, политики в сфере ИТ, закупок, сбыта и т.п. Весь свод внутренних писаных и неписаных правил формирует контрольную среду и, в конечном счете, предопределяет качество отчетности и эффективность хозяйственных процессов. 2. Рациональный риск-менеджмент. Система контроля должна начинаться с зон повышенного риска, с тех участков деятельности компании, где существует наибольшая угроза финансовых потерь: хищения, порча сырья или готовой продукции, нерациональное расходование средств, значительные убытки из-за налоговых штрафов и так далее. Поэтому важной составляющей систем внутреннего контроля является рискменеджмент. Его задача - идентифицировать риски и составить "карту рисков", выделить наиболее критичные риски с точки зрения потенциального ущерба (при отсутствии должного контроля), разработать пути их минимизации, и, наконец, проводить ежегодную переоценку рисков. Процесс анализа должен быть осмысленным. Если затраты на устранение риска превышают размер потенциального ущерба, не имеет смысла им заниматься. 3. Разработка контрольных процедур "на все случаи жизни". Когда приоритеты системы внутреннего контроля благодаря риск-менеджменту расставлены и выявлены бреши в системе контроля, наступает черед конкретных мер по усилению контроля. Модель COSO предусматривает девять видов контролирующих воздействий, то есть способов реагирования на недостатки. Вот несколько примеров. Неясно, кто за что отвечает - нужно четко разграничить сферы ответственности; трудно определить виновников ущерба - нужно придумать способы авторизации операций, контрактов, изменений в документах. Если слишком много лиц имеют доступ к конфиденциальным данным или ценным активам - следует ограничить доступ; а когда намечаются расхождения между реальными и отчетными запасами на складах - провести инвентаризацию складских остатков. 4. Система внутренней коммуникации. Речь идет о том, чтобы в компании были созданы условия для получения полных и достоверных данных, их хранения и обработки, а главное - для полноценного информационного обмена между подразделениями и различными уровнями руководства. 5. Мониторинг. Сюда относятся способы контроля высших уровней управления за работой низших. Часто мониторинг проводится для того, чтобы найти какие-либо отклонения от стандартных показателей или правил. Поэтому основой мониторинга являются различные корпоративные нормативы, например, по складским остаткам или же срокам закрытия бухгалтерских книг. Взяв на вооружение модель COSO, вы уже с меньшими затратами и сомнениями начнете разрабатывать свою СВК. Наличие эффективно работающей СВК является важнейшим фактором роста конкурентоспособности предприятия. Как показывает практика, СВК создает реальные предпосылки успешного развития бизнеса, в связи с: появлением возможности на выгодных условиях привлекать инвестиции путем повышения качества финансовой (бухгалтерской) отчетности хозяйствующего субъекта; появлением возможности эффективно управлять использованием материальных и трудовых ресурсов хозяйствующего субъекта и проводить эффективную ценовую политику; появлением у собственников возможности контролировать деятельность топменеджмента на соответствие его действий целям бизнеса хозяйствующего субъекта, а у топ менеджмента – эффективности работы филиалов и структурных подразделений хозяйствующего субъекта. Конечная цель организации СВК - выполнение контрольных функций непосредственно на предприятии и обеспечение готовности к ревизиям и проверкам, проводимыми внешними контрольными органами. Для этого необходимо создать гибкую систему контрревизионных мероприятий, внутреннего финансового и хозяйственного контроля, которая предусматривает и регламентирует следующие стратегически важные функций контроля и контрревизионных мероприятий: Организация и осуществление постоянного контроля за производственнохозяйственной и финансово-экономической деятельностью предприятия на всех участках, а также за своевременностью и полнотой реализации продукции, выполненных работ и оказанных услуг. Своевременное предоставление руководству и другим должностным лицам предприятия всей необходимой информации для руководства, координации и осуществления производственно-хозяйственной и финансово-экономической деятельности предприятия. Организация и обеспечение сохранности материальных и денежных средств на всех этапах деятельности предприятия. Организация и проведение в полном объеме требований руководящих документов плановых и внеплановых инвентаризаций имущества и финансовых обязательств предприятия. Организация контроля за полным выполнением своих функций структурными подразделениями и службами предприятия. Разработка и оптимизация документооборота с учетом особенностей производственно-хозяйственной и финансово-экономической деятельности предприятия. Достижение взаимосвязанности на предприятии управленческого, бухгалтерского и налогового учета, а также адаптация форм управленческой, бухгалтерской и налоговой отчетности. Организация и своевременное проведение мониторинга всех сторон деятельности предприятия, а также результатов проведенных ревизий и проверок внешними контрольными органами и внутренними контрольными органами предприятия. Своевременное представление достоверной информации о состоянии производственно-хозяйственной и финансово-экономической деятельности предприятия внешним пользователям. Планомерная подготовка предприятия к проведению ревизий и проверок, эффективное взаимодействие с внешними аудиторами, предупреждение санкций со стороны налоговых и других внешних контрольных органов. Разработка предложений по улучшению производственной, финансовоэкономической и хозяйственной деятельности предприятия. Создание службы внутреннего аудита или других контрольных органов на предприятии. Из рис. 2 следует, что к внутрихозяйственным органам контроля относятся: 1. Ревизионная комиссия - контроль проводится в соответствии с учредительными документами в интересах собрания собственников (участников) или акционеров предприятия. 2. Наблюдательный совет (Совет директоров) контроль осуществляется в соответствии с учредительными документами в интересах собственников (участников) или акционеров предприятия. 3. Инвентаризационные комиссии. 4. Отдел внутреннего аудита - контроль осуществляется отдельной постоянно действующей службой в первую очередь в интересах высшего звена управления. 5. Контрольно-ревизионные подразделения. 6. Служба безопасности. 7. Структурные подразделения предприятия. Чтобы завершить тему создания СВК предлагаю рассмотреть рекомендуемую последовательность шагов по разработке концептуальной модели СВК. Без такой модели никак нельзя. Так как дешевле ошибаться на моделях, чем в реальной жизни. Для этого их и придумали. 1. Первый шаг – формулировка целей и задач, для которых создается СВК (фактически разработка политики предприятия в сфере внутреннего контроля). В качестве примера предположим, что СВК должна решать следующие основные задачи: защита активов и собственности; эффективное использование ресурсов предприятия; обеспечение соответствия выполняемых работ политикам, процедурам и регламентам компании; помощь менеджерам в достижении целей и задач компании; обеспечение надежности и достоверности информации. 2. Второй шаг – планирование и организация работы по внедрению СВК Условно процесс внедрения системы внутреннего контроля включает четыре основных этапа: определение направлений контроля; описание бизнес-процессов; анализ и контроль рисков; тестирование качества СВК. 3. Третий шаг - определение направлений контроля Система внутреннего контроля будет неполноценной, если не охватывает деятельность всех сотрудников компании независимо от выполняемых ими работ. Это позволяет управлять максимальным количеством рисков, которым подвержена деятельность компании. Смысл «всех сотрудников» и «максимальное количество рисков» не означает, что все абсолютно все сотрудники и все выявленные риски постоянно контролируются. Выше было сказано, что при организации контроля следует руководствоваться принципом экономической целесообразности. Т.е. допустимо какими то рисками пренебречь в силу их незначительности. После того как определены границы системы внутреннего контроля, составляется календарный план-график работ и формируется рабочая группа по разработке методов контроля. В ее состав можно порекомендовать включить внутреннего аудитора и специалиста по анализу и идентификации рисков, а также привлекать в качестве экспертов руководителей тех функциональных подразделений, для которых создаются процедуры контроля. 4. Четвертый шаг - описание бизнес-процессов Для того чтобы выстроить эффективную СВК, нет необходимости описывать все бизнес-процессы подразделений, которые были отобраны для внедрения процедур внутреннего контроля. В такой ситуации СВК будет неоправданно громоздкой и неуправляемой. Для ограничения состава бизнес-процессов следует определить существенные. Для определения существенности могут использоваться экспертные оценки. Следующим шагом в процессе построения системы внутреннего контроля должно стать описание бизнес-процессов, связанных с отражением информации о них. Следует отметить, что описание бизнес-процессов должно быть максимально детальным и учитывать движение отдельных документов внутри компании. Очевидно, первой задачей работников службы внутреннего контроля станет разработка системы внутрифирменных стандартов: положение о документообороте, положение о системе бюджетирования, учетная политика (отдельно для бухгалтерского и управленческого учета), регламент представления периодической финансовой отчетности совету директоров, положение о внутреннем аудите компании. Основная задача, которая должна быть решена в ходе описания бизнес-процессов, наглядное представление всех работ, выполняемых сотрудниками (структурными подразделениями), для того чтобы в дальнейшем на основании этих данных определить участки, связанные с риском возникновения недостоверной информации или существенных финансовых потерь. Последнее очень часто не выполняется. Многие предприятие не имеют описаний рабочих мест и инструкций персонала. 5. Пятый шаг - Анализ и контроль рисков Бизнес-процессы компании анализируются на предмет существования рисков, которые могут привести к значительным финансовым потерям для компании. Следует отметить, что внимание нужно уделять только тем рискам, которые действительно могут привести к существенным финансовым потерям, либо исказить финансовую или управленческую отчетность. Наиболее точно идентифицировать риски, связанные с теми или иными бизнеспроцессами, можно путем анализа накопленной компанией информации о негативных событиях (ошибки в отчетности, кражи, порча товароматериальных ценностей и т. д.), периодичности их возникновения и размере причиненного ущерба. Для наиболее существенных рисков, связанных с серьезными финансовыми потерями, разрабатываются контрольные процедуры. Как правило, внедрение контрольных процедур предполагает создание дополнительных уровней согласования. К примеру, для того чтобы бухгалтер осуществил платеж по заявке производственного подразделения, необходимо завизировать ее у финансового директора. Контрольные процедуры могут заключаться также в распределении ответственности. Для процесса закупок контроль будет сводиться к тому, что заказчиком выступает производственное подразделение компании, и оно же контролирует качество приобретенных материалов; поиск поставщика и работу по договорам поставки осуществляет отдел снабжения, а процесс оплаты контролируется финансовым директором. Эффективность создаваемых процедур контроля будет зависеть от выполнения следующих факторов: четко определена и понятна ответственность должностных лиц за выполнение контрольных процедур; разграничен доступ к информации или действию; все транзакции авторизуются в соответствии с принятыми регламентами; существует документально оформленное описание процедур контроля; задачи контроля, исполнения и принятия решений распределены между сотрудниками. Важно отметить, что для исполнения созданных процедур контроля необходимо их документальное оформление. Описание контрольной процедуры должно содержать следующие основные положения: цели контроля; последовательность действий; периодичность проведения контроля; ответственный за контроль сотрудник; документ, в котором отражен факт осуществления контроля (к примеру, лист согласований). 6. Шестой шаг - Тестирование качества внедренных контрольных процедур Эффективная система внутреннего контроля предполагает тестирование контрольных процедур и оценку их качества. Тестирование системы контроля проводится по двум направлениям: соблюдение разработанных регламентов контрольных процедур; появление ошибок в отчетности, которые не были предотвращены системой контроля. После того как проведен аудит существующих контрольных процедур, формируется аудиторский отчет. На выходе всех описанных ранее работ вы получите концептуальную модель СВК. Один из возможных вариантов ее показан на рис.3. Роль и место СВК в системе экономической безопасности предприятия рассмотрим в следующем номере. Субъекты внутреннего контроля Собственники (акционеры) Ревизионная комиссия Ген. директор Наблюдательный совет (Совет директоров) Топменеджеры, Руководители подразделений Служба внутреннего аудита Контрольноревизионная служба Объекты внутреннего контроля Активы предприятия Система управления предприятием Управление проектами Управление маркетингом Управление финансами Управление ресурсами Управление производством Управление персоналом Бизнес-процессы Производство Технологии Организационные, производственные и технологические процессы и проекты, действующие на предприятии Внешняя и внутренняя среда предприятия Регламенты обеспечения безопасности Мониторинг угроз безопасности внешней среды Мониторинг угроз безопасности внутренней среды Служебные расследования Инвентаризационная комиссия Служба безопасности Система контроля в подразделениях Материальные Нематериальные Финансовые Рис. 3. Концептуальная модель структуры СВК предприятия Михайленко Валерий – начальник экспертного отдела ООО «Технологии Безопасности Бизнеса»