9.2. Финансовый контроль

Финансовое планирование и прогнозирование жизненно важны для успешной деятельности организации. Однако ре­зультаты финансового планирования сводятся на нет при от­сутствии надлежащей системы финансового контроля.

Для системы финансового контроля ключевым является не вопрос типа “Как идут дела у организации в 2Х11 г. по сравне­нию с 2Х10 г.?”, а вопрос “Как идут дела у организации в 2Х11 г. по сравнению с нашими планами и прогнозами?”. Если реаль­ные результаты деятельности отличаются от предусмотренных финансовым планом (бюджетом), то что мы можем сделать для того, чтобы вернуться на заданную траекторию?

Наличие вышеперечисленных проблем требует применения системы внутреннего финансового контроля в процессе управ­ления организацией.

Внутренний финансовый контроль — это одна из наиваж­нейших функций управления и процесс, который осуществля­ется по инициативе собственников компании. Он проводится си­

лами внутреннего персонала организации для того, чтобы обе­спечить достаточную уверенность в достижении целей с точки зрения надежности информационного обеспечения управления финансами, эффективности и результативности финансово­хозяйственных операций. Это контроль, осуществляемый ком­панией в целях соблюдения финансового законодательства и подзаконных нормативно-правовых актов; стандартов саморе- гулируемых организаций (для профессиональных участников рынка ценных бумаг); учредительных и внутренних докумен­тов компании.

Цель внутреннего финансового контроля — информацион­ное обеспечение менеджмента компании для получения возмож­ности принятия эффективных финансовых решений с учетом факторов неопределенности и рисков.

В настоящее время в российском деловом сообществе наблю­дается постепенное принятие концепции риск-ориентированного контроля и адаптирование ее к имеющимся бизнес-реалиям. Так, постановлением Правительства РФ от 19 ноября 2008 г. № 863 в действующий федеральный стандарт аудиторской деятель­ности ПСАД № 8 “Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков суще­ственного искажения аудируемой финансовой (бухгалтерской) отчетности” введены элементы риск-ориентированного подхо­да к аудиту, реализованного в действующих международных стандартах аудита.

Однако создание системы эффективно функционирующего внутреннего контроля в компании является пока еще недостаточно осмысленной как в научном отношении, так и в плане практической реализации. Поскольку организация си­стемы внутреннего контроля законодательно регламентирова­на в РФ только для финансово-кредитных учреждений (поло­жения “О службе главного аудитора Банка России”, утверж­

денное приказом ЦБ РФ от 31 марта 1997 г. № 02-140, и “Об ор­ганизации внутреннего контроля в кредитных организациях и банковских группах”, утвержденное приказом ЦБ РФ от 16 де­кабря 2003 г. № 242-П), вопросы внутрифирменного управле­ния являются прерогативой самой организации и каждая ком­пания вправе самостоятельно определять состав и цели субъ­ектов системы внутреннего финансового контроля. Построе­ние и поддержание системы внутреннего финансового контро­ля требуют определенных усилий, а, следовательно, и привле­чения дополнительных ресурсов, то контроль ради контроля не эффективен. Внутренний финансовый контроль должен эко­номически оправдывать свое существование в рамках органи­зации, и выгоды от его функционирования должны превышать затраты на его построение и поддержание.

Представляет интерес международный опыт и разработки в области внутреннего риск-ориентированного контроля, кото­рый постоянно совершенствуется.

Современный этап истории единых требований к системе внутреннего контроля компаний, основанный на концепции ри­ска, начался в 1985 г. в США. Пять профессиональных саморе- гулируемых организаций — Американский институт по серти­

фикации бухгалтеров (AICPA, American Institute of Certified Public Accountants), Американская ассоциация по учету и от­четности (American Accounting Association), Институт финан­совых директоров (FEI, Financial Executives Institute), Инсти­тут внутренних аудиторов (Institute of Internal Auditors, IIA) и Институт специалистов управленческого учета (Institute of Management Accountants) — создали национальную комиссию по борьбе с недостоверной финансовой отчетностью. Первым председателем этой организации стал Джеймс С. Тредуэй (James C. Treadway). Поэтому в литературных источниках она значит­ся как Комиссия Тредуэя.

Результатом работы данной комиссии стал документ 1992 г. под названием “Интегрированная концепция внутреннего кон­троля” (Internal Control — Integrated Framework). Кратко его принято называть по наименованию комитета-организатора концепцией COSO, моделью COSO, или просто COSO.

Первое — сформулировано классическое определение вну­треннего контроля как процесса, который:

• осуществляется всеми руководителями и сотрудниками организации;

• развернут в целях достижения разумной или достаточной (но не абсолютной!) уверенности в том, что обеспечивается реше­ние задач: по проведению операций согласно принципам эффек­тивности и результативности; созданию достоверной финансовой отчетности; соблюдению требований нормативно-правовых актов;

• закреплен в специальном внутреннем документе орга­низации, утвержденном ее высшим коллегиальным руководя­щим органом.

Второе — подробно описаны пять взаимосвязанных ком­понентов внутреннего контроля (контрольная среда, оценка ри­сков, контрольные действия, обмен информацией, мониторинг).

Третье — в документе отмечается, что внутренний контроль является наиболее действенным, когда средства контроля встро­ены в инфраструктуру организации и являются частью самой организации. Это позволяет избежать неоправданных затрат и быстро реагировать на изменение условий и среды деятельности.

В начале нового столетия в законодательстве США прои­зошли существенные, поистине революционные изменения, се­рьезно затронувшие ситуацию в сфере внутреннего контроля. В результате громких скандалов, начало которым положи­ла крупная компания по торговле электроэнергией Епгоп, ког­да обнаружились многочисленные случаи фальсификаций фи­нансовой отчетности, а фирмы — внешние аудиторы оказались неспособными вовремя их выявить, в 2002 г. был принят Закон Сарбейнса-Оксли (англ. БагЬапеБ-ОхІеу Act). Ключевую роль в обеспечении выполнения компаниями нормативов требований За­кона Сарбэйнс-Оксли играет американская Комиссия по ценным бумагам и биржам (англ. БесигШеБ and ЕхсЬа^е СотшівБІоп — SEC).

• определяется ответственность руководства за создание и поддержание адекватной системы внутреннего контроля и вы­полнение определенных процедур для составления финансо­вой отчетности;

• содержится оценка эффективности системы внутреннего контроля и процедур финансовой отчетности по состоянию на конец последнего финансового года.

SEC включила требования разд. 404 в собственное правило 33—8238 “Оценка руководством компании системы внутреннего контроля и процедур финансовой отчетности должна быть осно­вана на соответствующих общепризнанных критериях”. В ка­честве одной из основ оценки указаны Единые принципы COSO.

Эти нововведения привели к резкому усилению роли вну­треннего контроля в корпоративном секторе и оказали значи­

тельное влияние на всю мировую практику. Сходные требова­ния были установлены практически во всех развитых странах.

В сентябре 2004 г. руководство COSO по внутреннему кон­тролю получило дальнейшее развитие: был опубликован но­вый документ — “Концепция управления рисками предприя­тия” (ЕпІегргІБе Risk Management Framework), в научных из­даниях часто применяется сокращенное название — модель COSO-ERM.

Суть концепции COSO-ERM — это риск-ориентированный контроль по бизнес-процессам. В новом документе внутренний контроль рассматривается как неотъемлемая составная часть процесса управления рисками, осуществляемого в любой ком­пании. Такой подход к сфере внутреннего контроля в настоящее время является общепризнанным для обоих секторов (и частного, и государственного) и активно разрабатывается регулирующи­ми органами. Компании, зарегистрированные на фондовых бир­жах США (NYSE, NASDAQ) обязаны применять единые прин­ципы COSO-ERM к оценке эффективности внутреннего контро­ля своих компаний, определяющие соотношение между целями и элементами управления рисками, которое проиллюстрирова­но трехмерной матрицей в форме куба (рисунок 9.2).

Четыре категории целей — стратегические, операционные, в области подготовки отчетности и соблюдения установленных требований законодательства — представлены вертикальными колонками, восемь элементов управления рисками — горизон­тальными рядами, а организационные единицы — третьим из­мерением. Такое представление описывает общее управление рисками компании или управление по категориям целей, от­дельным организационным единицам или подгруппам единиц.

С учетом задач или планов компании ее правление опре­деляет стратегические цели, выбирает стратегию и определя­ет скоординированные цели для всех уровней организационной структуры компании:

• стратегические цели — цели высокого уровня, скоорди­нированные и обеспечивающие решение задач, стоящих перед компанией;

Рисунок 9.2 — Единые принципы внутреннего контроля COSO-ERM

• операционные цели — эффективное и экономичное ис­пользование ресурсов;

• цели подготовки отчетности — надежностью и достовер­ность системы отчетности;

• цели соблюдения требований законодательства — соблю­дение действующих законодательных и нормативных актов.

Единые принципы определяют восемь взаимосвязанных элементов управления рисками:

1. Внутренняя среда представляет собой атмосферу в ор­ганизации и определяет, каким образом риск воспринимается сотрудниками организации, и как они на него реагируют. Вну­тренняя среда включает философию управления рисками и “риск-аппетит” (ориентированность на риски), честность и при­верженность этическим принципам, а также условия работы.

2. Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциаль­но могут оказать влияние на их достижение. Процесс управле­

ния рисками предоставляет “разумную” гарантию того, что ру­ководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют мис­сии организации и ее толерантности к риску.

3 Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, долж­ны определяться с учетом их разделения на риски или возмож­ности. Возможности должны учитываться руководством в про­цессе формирования стратегии и постановки целей.

1. Оценка рисков. Выявленным рискам должны присваи­ваться приоритеты в порядке уменьшения их значения с целью сосредоточить время и ресурсы на рисках, которые считаются существенными, т. е. имеющими наибольшее значение для дея­тельности организации. Должна производиться как качествен­ная, так и количественная оценка выявленных рисков и их вли­яния на эффективность деятельности организации.

2. Реагирование на риск. Руководство выбирает метод реа­гирования на риск — уклонение от риска, принятие, сокраще­ние или перераспределение риска — разрабатывая ряд меро­приятий, которые позволяют привести выявленный риск в со­ответствие с допустимым уровнем риска (толерантность к ри­ску) и риск-аппетитом организации.

3. Средства контроля. Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать “разумную” гарантию того, что реагирование на возникающий риск проис­ходит эффективно и своевременно.

4. Информация и коммуникации. Необходимая информа­ция определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффек­тивный обмен информацией в рамках организации как по вер­тикали сверху вниз и снизу вверх, так и по горизонтали.

5. Мониторинг. Весь процесс управления рисками органи­зации отслеживается и по необходимости корректируется. Мо­ниторинг осуществляется в рамках текущей деятельности ру­ководства или путем проведения периодических оценок.

Гибкость и быстрота реакции на изменения среды и большая эффективность являются основными преимуществами риск- ориентированного контроля по сравнению с идеей тотального кон­троля. Следовательно, при определении эффективности и адек­ватности системы внутреннего финансового контроля должны в первую очередь учитываться не конкретные формы, методы и технологии контроля, не количество людей, занятых контролем, количество проведенных ими проверок или выявленных ошибок, а действия (или бездействие) менеджмента и собственников ком­пании, направленные на встраивание внутреннего контроля во все бизнес-процессы, своевременную оценку рисков и эффективно­сти мер контроля, применяемых для смягчения их воздействия. В этом смысле выявление недостатков или нарушений может яв­ляться сигналом о возможной проблеме, связанной с отсутствием или неправильной работой контроля, и этот сигнал требует глу­бокого анализа причин и понимания бизнес-процесса.

Для собственников и менеджмента важно установить та­кие правила разработки процедур, которые не позволят выпу­стить на рынок новые услуги без учета всех неотъемлемых ри­сков и встраивания в процессы адекватных рискам мер контроля. Нужно определить такую линию подчинения службы внутренне­го контроля, порядок и периодичность проведения им проверок и информирования о полученных результатах, чтобы обеспечить в рамках конкретной организации приемлемый уровень ее неза­висимости и при необходимости поддержать ее действия своим авторитетом. Только при таком подходе к внутреннему контролю можно добиться эффективного функционирования всей компании.

Таким образом, инновационный ориентир в системе вну­треннего финансового контроля — риск-ориентированный под­ход. После начала мирового финансового кризиса в 2008 г. зна­чимость риск-ориентированного подхода только возросла.