Определение внутреннего контроля.

Определение внутреннего контроля дано в COSO IC IF. Безусловно, есть определения в разных нормативных документах, в т.ч. в российских. Но они потихоньку стремятся к определению, придуманному буржуями, что, безусловно, свидетельствует о его удачности.

Внутренний контроль – процесс, осуществляемый советом директоров, руководством и другим персоналом организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации в части:

  • эффективности и экономичности операций;

  • достоверности финансовой отчетности;

  • соответствия деятельности действующему законодательству.

Обратите внимание, что в COSO IC IF, в том числе в новой версии (2013), нет стратегических целей. Возможно, это «просос». О какой эффективности может идти речь, если стратегия не достигается? Однако, может быть, это и не является ошибочным. Мое объяснение (если кто подскажет идеологию более конкретно – готов разместить здесь это мнение): система внутреннего контроля может быть признана разумной даже при недостижении стратегических целей, если решения принимались при наличии полной информации (в т.ч. о рисках) и исполнялись под должным контролем. А обеспечение достоверности информации для совета директоров и контроль исполнения принятых решений является скорее операционной задачей, а не стратегической. Кстати, практическое указание МПСВА 2010-2 «Планирование внутреннего аудита с использованием процесса управления рисками» и говорит о том, что «Система внутреннего контроля может быть наиболее легко представлена как процессы в организации, которые существуют для воздействия на риски».

Также стоит отметить, что процесс внутреннего контроля описать в какой-нибудь нотации затруднительно. Да, безусловно, есть простенькие контрольные процедуры. Но описывать в виде процесса компонент «контрольная среда» из COSO-куба в нотации IDEF0 я бы не стал, потому что не смог бы. Как мне кажется, что слово «процесс» здесь используется как что-то непрерывное (условно говоря, антоним к слову проект).

Взаимосвязь COSO IC IF и COSO ERM.

Внутренний контроль и управление рисками – понятия смежные. На мой взгляд, внутренний контроль – это часть управления рисками. Стандарт COSO IC IF я, если честно, не очень понимаю. Как мне казалось, этот стандарт – один из шагов к COSO ERM. Поэтому для меня стало новостью, что он поддерживается, актуальная версия датирована 2013 годом.

На самом деле все компоненты внутреннего контроля по стандарту IC IF практически совпадают с компонентами управления рисками ERM. Согласитесь, что разница между «внутренней средой» и «контрольной средой», а также между «средствами контроля» и «контрольными процедурами» минимальна. Поэтому мое мнение – есть COSO ERM, практически бесплатно и на русском, COSO IC IF после COSO ERM нужен, как скрипач из «Кин-Дза-Дза».

Интерпретации определения внутреннего контроля.

У меня есть материалы 2000-х годов (отчеты, презентации, подходы и пр.) ото всех представителей уважаемых консультантов из на тот момент уже big4. Выкладывать по понятным соображениям не буду, но выводы сделаю. Ключевой момент – экономичность и эффективность бизнес-процессов, хотя и прописана в компонентах COSO IC IF, рассматривалась исключительно с точки зрения влияния на финансовую отчетность.

То есть что-то, безусловно, цеплялось. Условно говоря, могли заметить отсутствие регламента по закупкам, отсутствие тендерных комитетов и (даже!) отсутствие контроля дебиторской задолженности (компании-клиенты, кстати, немаленькие. Туда первым толковым внутренним аудитором, наверное, немного опасно идти было – подстрелят). Но это происходило совершенно случайно. При этом, с высокой вероятностью, при наличии «хоть какого» регламента по закупкам (см. пример 23 из книги на стр. 186) скорее всего, система внутреннего контроля была бы признана вполне эффективной.

В книжке на стр. 17 приведена картинка именно с этой точки зрения. С формальной точки зрения обязательной является именно система внутреннего контроля для отчетности. Во всяком случае, так есть и так будет с точки зрения аудиторов отчетности. Почему будет? А откуда можно взять опыт, если даже склад наблюдаешь в процессе инвентаризации (то есть всё находится в «замершем» состоянии)? Экономичность и эффективность – это уже в бизнес-консалтинг, там с помощью бенчмаркинга определят стратегический фокус преобразований и модели развития компетенций.

Я же, будучи служащим ООО «Бейкер Тилли Русаудит», пошел от определения внутреннего контроля. Так как к тому моменту бизнес в России я уже понимал, то обратил внимание не на достоверность отчетности, а на компоненту внутреннего контроля по COSO IC IF под названием «Экономичность и эффективность».

Сводная таблица по совпадению целей менеджмента и акционеров, отсутствующая в книге (но с наличием мыслей из неё):

Компонента

COSO IC IF

Публичная компания в западном мире

Непубличная компания в России

Топ-менеджмент

Владельцы (миноритарии)

Топ-менеджмент

Владелец (основной бенефициар)

Эффективность и экономичность

Совпадает, в т.ч. потому, что не очень интересно

Совпадает не всегда

Заинтересован опосредованно: главное, чтобы было не хуже, чем у других.

В принципе, всё равно: решения принимаются на основании отчетности и текущей стоимости акций.

Менеджмент, случается, ворует. Воровство вряд ли совместимо с эффективностью и экономичностью

Максимально заинтересован.

Достоверность отчетности

Не совпадает

В целом совпадает

Больше всего заинтересован в искажениях, так как есть опционы, а при хорошей отчетности стоимость акций растет.

Вообще говоря, тоже заинтересованы в улучшении показателей. Но скандалы с резкой потерей инвестиций привели к тому, что внутреннем контроле ключевым аспектом стал контроль над подготовкой отчетности.

Как правило, либо вместе бегаем от налогов, либо же рисуем EBITDA для привлечения финансирования.

Есть отдельный вариант, когда менеджмент пытается обмануть акционера. Но я видел только попытки некорректной интерпретации данных (см. про методы искажения действительности), искажение отчетности, подготовленной по МСФО – редкость.

Compliance

Могут не совпадать

В целом совпадает

Если для соблюдения законодательства требуется дополнительное финансирование, менеджмент становится не заинтересован в compliance, так как это приводит к снижению финансовых показателей бизнеса.

Заинтересован, так как потенциальный скандал может обрушить котировки.

Могут быть различия в поведении (условно говоря, менеджмент может побаиваться нарушения какого-нибудь законодательства, владелец говорит, чтобы чихали). Но, как показывает практика, за нарушение даже противопожарного законодательства (вспомните «Хромую Лошадь»), не говоря о всяких налоговых претензиях, могут расплачиваться и владельцы. То есть можно присвоить значение «в целом совпадает».

Для владельцев бизнеса в России важнее именно первая из перечисленных компонент. Если бы этого мнения придерживались бы все консультанты, профессия была бы значительно популярнее и денег на нее не жалели бы.

Кстати, в книге на стр. 19 указано, что топ-менеджмент заинтересован в «неформальной» части. Связано с тем, что почему-то на тот момент заказчиками работ от менеджмента были хорошие люди, которые не сомневались в полезности внутреннего контроля. На самом деле так случается, сами понимаете, далеко не всегда, особенно во всяких государевых компаниях.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.