Панова Юлия Игоревна

Советник Председателя правления КБ ЗАО «Русский международный банк»

О концепциях понимания категории «система внутреннего контроля»

Аннотация: статья посвящена всестороннему рассмотрению понятия «внутренний контроль» и категории «система внутреннего контроля» как части управленческого цикла, как функции и механизму управления. В статье рассматриваются и анализируются подходы к определению названных понятий, а также всесторонне рассматриваются концепции (модели) внутреннего контроля - риск-ориентированные подходы к организации внутреннего контроля и документы, их регламентирующие. Значительное внимание в статье уделяется рассмотрению взаимосвязи целей и компонентов системы внутреннего контроля.

В настоящее время ученые пришли к выводу, что математика неэффективна при исследовании широких проблем с множеством неопределенностей, которые характерны для исследования и разработки техники как единого целого. Вырабатывается концепция такого исследования, в котором упор делается преимущественно на разработку новых диалектических принципов научного мышления, логического анализа систем с учетом их взаимосвязей и противоречивых тенденций. При таком подходе на первый план выдвигаются не математические методы, а сама логика системного подхода, упорядочение процедуры принятия решений. Под таким системным подходом принимается некоторая совокупность системных принципов[1][1].

В любых системах, механизмы обратной связи осуществляются через механизмы контроля. Это могут быть механизмы искусственного происхождения, целенаправленно создаваемые человеком, или стихийного, например, механизм рынка [2][2]. Объяснимо, что к исследованию действия обратных связей в экономических системах в последние годы приковано много внимания, но в силу их неоднозначности и многообразия на этом пути встречается много сложностей.

Приведем наиболее подходящие понимание и описание обратной связи в системе, которые выражаются через контроль.

В своей книге «Кибернетика, или контроль и коммуникации у животных и машин» Н. Винер [3][3], описывающий основы кибернетики, для изучения механизма управления и передачи информации в комплексных и стохастических системах разработал совместно со своим коллективом понятия обратной связи в контроле. Каждый контур обратной связи подразумевает использование входящей информации и выхода. Информация на входе испытывает на себе воздействие выхода, то есть посредством обратной связи изучаемая подсистема получает необходимую информацию о действительном состоянии управляемого процесса (объекта) и степени исполнения управленческих решений. Наличие обратной связи делает систему гомеостазисной  - устойчивой и адаптированной к происходящим изменениям.

Рис. 1.1 Схема обратной связи (простая замкнутая система) [4][4]

Процесс обратной связи - процесс информационный. Воздействие входного сигнала на объект, переработка его в выходной сигнал и обратное действие выхода через канал обратной связи на входную величину - все это процессы передачи и переработки информации.

Важная роль обратной связи заключается в восстановлении нормальной работы, нарушенной внешними и внутренними факторами, т. е. способность систем к саморегулированию и самоорганизации (адаптации).

Социально-экономические системы постоянно находятся под воздействием природных и общественных факторов, то есть внешних, которые, как правило, носят случайный характер.  При этом сложность и изменчивость системы во временном промежутке приводят к тому, что поведение самой системы является в какой-то степени неопределенным, вероятностным. Влияние таких многочисленных неопределенностей приводит к тому, что эти системы всегда являются системами с неполной информацией и управление ими всегда осуществляется в условиях неопределенности. Поэтому надо учитывать, что в социально-экономических системах обратная связь состоит в том, что анализ информации о действительном состоянии объекта проводится в условиях неполной информации о возникающих воздействиях.

Таким образом, закон обратной связи подчеркивает, что управление немыслимо без наличия как прямой, так и обратной связи между объектом и субъектом управления, образующими замкнутый контур. Применительно к планированию этот закон утверждает единство плана и отчета. Кто порождает план, тот организует учет, анализ и контроль его исполнения объектом управления.

Различают два вида обратной связи:

- отрицательную, которая уменьшает влияние входной величины на выходную величину, т.е. стремится установить и поддержать некоторое устойчивое динамическое равновесие[5][5], когда управляющий механизм действует в направлении сокращения этого расхождения;

Симметричный вывод можно сделать относительно аналогичных регулирующих процессов происходят в социально-экономических системах.

При анализе места и роли обратных связей в кибернетических системах, рассматривая последние как основы контроля, позволительно осуществить ряд выводов.

Во-первых, управление экономическими процессами, как в жизни общества, так и производстве организации - экономическо-социальной системе, осуществляется с помощью механизмов обратной связи, то есть механизмов контроля.

Во-вторых, в социально-экономической системе необходимо целенаправленно создавать механизмы обратных связей и, как следствие, создавать системы контроля различных видов.

В-третьих, нельзя представлять в однозначном виде реакции, возникающие в социально-экономических системах на одинаковые внешние и внутренние воздействия, из-за огромного разнообразия этих состояний, свойств и действий, при которых требуется создание сложных систем обратной связи и систем контроля, которые способны точно отображать и измерять эти состояния.

В-четвертых, для создания соответствующих систем контроля необходимо знать соответствующие закономерности процесса контроля состояния и поведения экономических систем.

В целях развития и совершенствования системного подхода при разработке систем внутреннего контроля в конце прошлого столетия начали рассматривать концепцию контроля, основанного на риске. Различными международными организациями было разработано несколько риск-ориентированных подходов к организации внутреннего контроля.

Рассмотрим основные документы, послужившие основой концепции системы внутреннего контроля:

• стандарт “Цели контроля при использовании информационных технологий” (COBIT),разработанный Ассоциацией аудита и контроля информационных систем ISACA (the Information Systems Audit and Control Foundation’s Control Objectives for Information and related Technology);
• доклад “Контроль и аудит систем” (SAC), подготовленный Исследовательским фондом Института внутренних аудиторов (the Institute of  Internal Auditors Research Foundation’s Systems Auditability and Control);
• доклады “Внутренний контроль: интегрированный подход” (COSO), “Управление рисками организации. Интегрированный подход” (COSO ERM), подготовленные Комитетом спонсорских организаций Комиссии Тридуэя (the Committee of Sponsoring Organizations of the Treadway Commission’s Internal Control-Integrated Framework);
• указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55), утвержденное Американским Институтом дипломированных бухгалтеров (the American Institute of Certified Public Accountants’ Consideration of the Internal Control Structure in a Financial Statement Audit), с внесенными позднее изменениями (SAS 78);
• международный стандарт аудита (МСА) 315 (пересмотренный) “Выявление и оценивание риска существенного искажения финансовой отчетности в ходе получения понимания деятельности и среды, в которой действует организация” (ISA 315.Identifying and Assessing the Risks of Material Misstatement Through Understanding the Entity and Its Environment (Redrafted); MCA330 (пересмотренный) “Аудиторские действия в ответ на оцененные риски” (ISA 330. The Auditor’s Responses to Assessed Risks (Redrafted).

В стандартах COBIT (1996) используется системный подход, при котором в бизнес-процессах используется механизм для выполнения полного и эффективного контроля за безопасностью информационных систем.

Доклад  SAC (1991, с изменениями от 1994 г.) разработан  с целью оказания поддержки внутренним аудиторам в вопросах контроля и аудитаинформационных систем и технологий.

Доклады COSO (1992, 2004), который занимается формулированием сущности внутреннего контроля и методов достижения его эффективности в процессе управления, представляют своего рода рекомендации менеджменту по вопросам оценки, описания и совершенствования систем контроля, работы с рисками.

Документы SAS 55 (1988) и SAS 78 (1995),ISA 315, 330 (2006) представляют собой рекомендации внешним, в том числе международным аудиторам относительно влияния внутреннего контроля на планирование и проведение аудита финансовой отчетности организации.

Концепции SAC и SAS, IAS предназначены для внутреннего контроля в целом (не только экономического контроля в рамках функционирования соответствующих отделов, занимающихся сбором и интерпретацией экономической информации, причем интересы SAS, IAS в целом подчинены задачам внешнего аудита, т.е. подтверждения финансовой отчетности, а SAC  - сосредоточены на функционировании внутреннего аудита как экономической контрольной системы). Однако все эти концепции рассматривают внутренний контроль как управленческую функцию, которая сопровождает каждое действие любого работника организации в связи с исполнением функциональных обязанностей. Только некоторые, например SAC, COBIT, сконцентрированы на подразделениях, занимающихся информационным обеспечением, а COSO, IAS, SAS  - на внутреннем контроле всей деятельности.

Модели COSO и COBIT разработаны для целей менеджмента и поэтому концептуально привязаны ко всем этапам управления. Модель COBIT концентрирована на контроле за информационными системами в управлении (информационными подсистемами), а COSO - на всем управлении в целом. То есть указанные концепции внутреннего контроля рассматривают его в более широком и всеобъемлющем аспекте и являются основополагающими в разработке концепции внутреннего контроля. С точки зрения систем это означает идентификацию контроля в каждой подсистеме системы управления. Причем контроль не всегда будет экономическим, финансовым, поскольку на каждом этапе функционирования управления связан в большей степени с процедурами неэкономического характера: проверкой исполнения решений, анализом протекания определенных действий, контролем за функционированием механизмов, делопроизводства, хозяйственных и управленческих процессов. При этом контролируется в большей степени количественный аспект, но не качественная составляющая, поскольку информация для такого контроля чаще всего не требует особой систематизации и обобщений. Здесь не формируются собственные информационные системы, нуждающиеся в проверке качества информации, сформированной ими [6][6].

Известно большое количество определений внутреннего контроля, производимого органами управления и служащими организаций. Существующие трактовки во многом зависят от аспектов деятельности организации. Чаще используются такие синонимы - внутрисистемный, внутрихозяйственный, внутрифирменный и прочие.

Внутренний контроль  в современном понимании основывается на принципах выше рассмотренных концепций. Значимость концепции COSO заключается в том, что в ней даны основные понятия и характеристика ключевых элементов (компонентов), а также выделена роль ответственности руководящего состава организации за состояние внутреннего контроля.

Внутренний контроль по системе COSO рассматривается со следующих позиций:

• это средство достижения цели - инструмент, а не самоцель,
• это не разовое событие, а непрерывный процесс всей деятельности организации,
• осуществление внутреннего контроля проводится персоналом на всех уровнях деятельности организации без ограничения рамками установленных правил и процедур,
• внутренний контроль обеспечивает руководству организации  разумную уверенность в достижении поставленных целей.

Внутренний контроль  - «это процесс, встроенный в текущую деятельность любой организации, осуществляемый ее руководителями и всеми сотрудниками для достижения трех целей: производственная  и финансовая эффективность (операционные цели), достоверность финансовой и управленческой информации (информационные цели), соблюдение установленных требований (комплаенс-цели)» [7][7] (рис. 1.2).

Рис. 1.2. Взаимосвязь целей и компонентов системы внутреннего контроля

Моделью COSO предложено пять взаимосвязанных элементов - компонентов внутреннего контроля:

• контрольная среда,
• выявление и оценка рисков,
• контрольные процедуры с учетом разделения полномочий (средства контроля),
• информационная среда и система коммуникации,
• мониторинг.

Контрольная среда является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру [8][8], а также общее отношение к вопросу организации системы. Факторы контрольной среды представлены на рисунке 1.3.

0

Рис. 1.3. Факторы контрольной среды

Оценка рисков подразумевает выявление и анализ соответствующих рисков, способных оказать негативное воздействие на деятельность организации при  достижении установленных в организации целей.

Средства контроля включают мероприятия по осуществлению контроля, распределению полномочий и ответственности и способствуют обеспечению необходимых действий для устранения рисков, которые могут помешать организации достижению её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях.

Информационная среда и система коммуникации играют ключевую роль в системах внутреннего контроля, поскольку они создают информационную среду организации (например, «отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности и соблюдению процедур и законодательства, которая позволяет развивать и управлять бизнесом»[9][9]). В более широком смысле - обеспечение информационных потоков во всей организации.

Мониторинг  - процесс оценки качества работы системы внутреннего контроля в течение промежутка времени путем наблюдения и отдельных оценок организации системы.

В дополнение к вопросам организации внутреннего контроля COSO в 2004 году разработана концепция управления рисками организации (модель ERM), в которой даны определения и характеристика термину «управление рисками». Управление рисками - процесс, осуществляемый советом директоров, руководителями и служащими в рамках определенной стратегии и, который  направлен на выявление, идентификацию и оценку потенциальных угроз для обеспечения уверенности в достижении организацией поставленных целей.

В модели предложено измерять уровень контроля через уровень риска. Формула выглядит следующим образом:

Где уровень остаточного риска сравнивается с оптимальным уровнем. При этом уровень остаточного риска выше оптимального является неприемлемым, а уровень остаточного риска ниже оптимального соответствуют избыточному контролю.

Суждения об оптимальности уровня остаточного риска достаточно субъективны. На основании результатов оценки уровня остаточного риска руководство организации может решить либо скорректировать цели, либо изменить (усилить или ослабить) систему [10][10] внутреннего контроля, либо может не реагировать.

Согласно модели ERM управление рисками охватывает разные направления деятельности организации и ставит перед собой цели разного уровня, учитывая стратегические цели. В 2004 году к указанным выше пяти компонентам (рис. 1.2) были добавлены три новых, которые отражают суть управления рисками (рис. 1.4.).

Рис 1.4. Взаимосвязь целей и компонентов системы управления рисками

1.Постановка целей. Цели должны быть определены до того, как руководство начнет выявлять события, которые потенциально могут оказать влияние на их достижение. Процесс управления рисками предоставляет «разумную» гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей, и эти цели соответствуют стратегии организации уровню принятых ею рисков[11][11].

2. Определение событий. Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей.

3. Реагирование на риск. Выбор руководством методов реагирования и воздействия на риск (событие), в том числе предотвращение, снижение, перенос или принятие риска, также разработка контрольных процедур, позволяющих привести остаточные риски в соответствии с приемлемым уровнем.

Согласно модели COSO, управление рисками обеспечивает «разумную» гарантию в достижении организацией поставленных целей. Процесс внутреннего контроля является составной частью процесса управления рисками (таб. 1.2).

Таб. 1.2. Сравнение моделей COSO

Говоря  о внутреннем контроле, следует понимать направленность информационных потоков, поскольку внутренний контроль появляется на базе определенным образом сформированной и обобщенной информации. Такой базой служат системы финансового, бухгалтерского, управленческого, налогового, статистического учета. Таким образом, можно говорить, что ««кибернетическая» и процессные модели системы внутреннего контроля позволяют рассматривать контроль и как встроенную в менеджмент систему контроля и как надстроечную систему, поскольку обе концепции построены параллельно технологическим этапам управления»[12][12]. Риск-ориентированная модель изначально ориентирована на поиск опасных ситуаций, нуждающихся в контроле, поэтому данную модель необходимо привязывать к конкретному технологическому этапу управления.

По нашему мнению начинать практическое построение системы риск-менеджмента для выполнения его текущих задач по предотвращению и минимизации убытков можно с построения системы внутреннего контроля. Эта система должна не надстраиваться, а встраиваться в действующую структуру организации и вовлекать в процесс всех сотрудников.

По мере становления рыночных отношений развитию внутреннего контроля в России на основе общепризнанных принципов уделяется большее внимание. Отметим, что зарубежные методологии, содержащие общие подходы и принципы, не учитывают национальные особенности экономики, менталитет общества и деловой оборот. В связи с этим актуальным остается вопрос формирования системы внутреннего контроля и управления рисками, адаптированных к условиям функционирования российских организаций с использованием соответствующих контрольных методов и процедур.

Список литературы:

1.  Спицнадель В. Н. Основы системного анализа: Учеб. пособие. — СПб.: «Изд. дом «Бизнесс-пресса», 2000 г. — 326 с.

2.  Серебрякова Т.Ю. Концептуальные модели сквозного внутреннего контроля. Автореф. дис. на соиск. уч. степ. д.э.н., Йошкар-Ола, 2010

3. Винер Норберт. Кибернетика, или управление и связь в животном и машине - М.:Наука, 1983. 344 с.

4. Законы и принципы кибернетики, применяемые в управлении организациямиhttp://de.ifmo.ru/bk_netra/page.php?dir=1&index=19&layer=1&tutindex=3

5. http://coolreferat.com/%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE%D0%BD%D1%8F%D1%82%D0%B8%D0%B5_%D0%B8_%D1%81%D1%83%D1%89%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B0%D1%81%D1%82%D1%8C=4

6. Серебрякова Т.Ю. Концептуальные модели сквозного внутреннего контроля. Дис. на соиск. уч. степ. д.э.н., Йошкар-Ола, 2010

7. Рудько-Силиванов В.В., Лапина К.В., Крючкова Е.А. Концептуальные основы и практика организации системы внутреннего контроля// Деньги и кредит. -  № 2. 2011. С 36-41

8. Рудько-Силиванов В.В., Лапина К.В., Крючкова Е.А. Указ.соч.

9. https://ru.wikipedia.org/wiki/Комитет_организаций_спонсоров_Комиссии_Тредвея

10. Подробнее см. Шаповаленко Г.Н. Комплекное обоснование системы оперативного контроля рабочих процессов на угольных разрезах. Автореф. дис. на соиск. уч. степ. к.тех.н. М., 2012

11. https://ru.wikipedia.org/wiki/Комитет_организаций_спонсоров_Комиссии_Тредвея

12. Серебрякова Т.Ю. Указ. соч.

[1] Подробнее см. Спицнадель В. Н. Основы системного анализа: Учеб. пособие. — СПб.: «Изд. дом «Бизнесс-пресса», 2000 г. — 326 с.

[2] Подробнее см. Серебрякова Т.Ю. Концептуальные модели сквозного внутреннего контроля. Автореф. дис. на соиск. уч. степ. д.э.н., Йошкар-Ола, 2010

[3] Винер Норберт. Кибернетика, или управление и связь в животном и машине - М.:Наука, 1983. 344 с.

[4]Законы и принципы кибернетики, применяемые в управлении организациямиhttp://de.ifmo.ru/bk_netra/page.php?dir=1&index=19&layer=1&tutindex=3

[5]http://coolreferat.com/%D0%A3%D0%BF%D1%80%D0%B0%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BF%D0%BE%D0%BD%D1%8F%D1%82%D0%B8%D0%B5_%D0%B8_%D1%81%D1%83%D1%89%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D1%87%D0%B0%D1%81%D1%82%D1%8C=4

[6] Подробнее см. Серебрякова Т.Ю. Концептуальные модели сквозного внутреннего контроля. Дис. на соиск. уч. степ. д.э.н., Йошкар-Ола, 2010

[7]Рудько-Силиванов В.В., Лапина К.В., Крючкова Е.А. Концептуальные основы и практика организации системы внутреннего контроля// Деньги и кредит. -  № 2. 2011. С 36-41

[8] Рудько-Силиванов В.В., Лапина К.В., Крючкова Е.А. Указ.соч.

[9]https://ru.wikipedia.org/wiki/Комитет_организаций_спонсоров_Комиссии_Тредвея

[10] Подробнее см. Шаповаленко Г.Н. Комплекное обоснование системы оперативного контроля рабочих процессов на угольных разрезах. Автореф. дис. на соиск. уч. степ. к.тех.н. М., 2012

[11] https://ru.wikipedia.org/wiki/Комитет_организаций_спонсоров_Комиссии_Тредвея

[12] Серебрякова Т.Ю. Указ. соч.