Написать письмоНа главную
 
Статьи
01.03.2007 к.э.н., доцент Филипьев Д.Ю., ст. преподаватель ВЗФЭИ Левичева С.В. Оценка эффективности системы внутреннего контроля.

Степень сложности СВК (далее по тексту СВК), как известно должна соответствовать организационной структуре организации, численности персонала, разветвленности сети филиалов и подразделений, степени централизации бухгалтерского учета и другим характеристикам хозяйствующего субъекта в целом. Как же оценить насколько эффективна СВК, принятая организацией?

 В данной ситуации следует отметить, что:

 - во-первых, в действующем законодательстве, современной отечественной и зарубежной литературе вопросам оценки эффективности производственной деятельности организации уделяется много внимания, а вот методике оценки эффективности СВК, результатами которой и должна быть объективная оценка и предложения по оптимизации действующей системы организации, не определена;

 - во-вторых, различие моделей организации СВК в зависимости от характера и масштабов организации требует наличия различных подходов к их описанию, а соответственно и к оценке.

 Прежде чем разбираться с методикой оценки, а также инструментами ее проведения определим понятие «эффективности» применительно к СВК. Содержание понятия «эффективность» для каждой системы разное и зависит от экономических условий и механизма хозяйствования. Согласно словарю экономических терминов под «эффективностью» понимается – относительный эффект, результативность процесса, операции, проекта, определяемые как отношение эффекта, результата к затратам, расходам, обусловившим, обеспечившим ее получение. Однако в части оценки эффективности СВК следует говорить не только о результативности (количестве выявленных отклонений), но и о действенности (активности всех субъектов, вовлеченных в систему внутреннего контроля, достаточности мероприятий контроля, постоянства и систематичности осуществляемого контроля). Следовательно, СВК будет считаться эффективной в случае, когда она с одной стороны позволит выявить существенные отклонения от принятых норм, а с другой в результате анализа причин появления отклонений и корректировки существующей системы предупредить их возникновение в будущем. В настоящее время только в двух отраслях, в силу прямого указания на то норм закона, осуществляется оценка эффективности СВК – в аудите и банковской деятельности. И, несмотря на достаточную развитость этих видов деятельности унифицированных подходов к оценке эффективности СВК до сих пор не выработано.

 В сложившейся практике при оценке используется и предлагается к применению несколько подходов, принципиально отличающихся друг от друга своей методической направленностью.

 Согласно первому из них применяются тестовые процедуры, при которых показатели рассчитываются на основании бальных и весовых оценок, выставляемых по ответам на вопросы, относящимся к этим показателям. Подход, основанный на степени формализации отдельных аспектов организации СВК широкое применение получил в аудиторской деятельности, но он не лишен недостатков. Во-первых, осуществляемые оценки в большей степени основаны на качественных суждениях и при этом отсутствуют четкие и объективные критерии, позволяющие с достаточной степенью точности классифицировать состояние внутреннего контроля. Во-вторых, получаемые оценки основаны на экспертном суждении, степень обоснованности которого в свою очередь зависит от значительного количества факторов и как следствие достоверность получаемых оценок очень низка. В-третьих, данный подход означает приоритет формального наличия тех или иных процедур над их результативностью. Нельзя не согласиться с мнением, что применение данного подхода позволяет получить всего лишь уверенность в том, что СВК сформирована, а внутренний контроль в определенной степени осуществляется, то есть в том, что нормы законодательства в части формирования СВК организацией соблюдены. В тоже время вопросы экономической эффективности СВК, включая соотношение «затраты/результат» в отношении методов и процедур внутреннего контроля и степень зрелости процесса внутреннего контроля остаются не раскрытыми, а это достаточно существенный аспект.

 Второй подход основывается на использовании простейших математических моделей позволяющих определить эффективность проведенных контрольных процедур, соответствия затрат на их проведение их результатам. В качестве подобного рода математической модели рассматривается модель временного процесса появления (из-за некоторого систематического источника) и исправления (в результате осуществления контроля) ошибок какой-либо осуществляемой организацией операции. По мнению авторов, данная модель должна позволить определять эффективность различных контрольных мероприятий составляющих систему внутреннего контроля, помочь не только в оценке эффективности отдельных контрольных процедур, но и дать материалы для оценки различных видов рисков в целом по организации. Однако следует отметить, что реализация указанной модели на практике вызовет определенные трудности, хотя бы в силу неучета человеческого фактора, отсутствия регламентированного понятия «ошибки», отсутствия категорирования ошибок и оценки существенности категорий ошибки. В тоже время использование математических моделей для оценки эффективности СВК является наиболее перспективным направлением, так как они будут стимулировать формирование автоматизированных средств контроля, а следовательно и снижать затраты на его проведение.

 Третий подход представляет собой определенного рода модификацию используемых методов оценки эффективности управленческих систем, и эффективность внутреннего контроля оценивается конечными количественными и качественными результатами хозяйственной деятельности организации. Даже в рамках данного подхода выделяют несколько направлений оценки эффективности СВК. Согласно первому предлагается оценивать эффективность внутреннего контроля по общему критерию, объединяющему показатели экономичности системы управления и эффективности производства. Согласно второму направлению в качестве показателя эффективности используется дифференцированная оценка эффективности деятельности отделов и служб либо по конкретным результатам, либо по ориентировочным критериям. Сущность третьего направления заключается в применении двух групп критериев: количественных (характеризующих степень соответствия достигаемых результатов установленным целям) и качественных (например, производительность в сфере управления и т.п.). С нашей точки зрения данный подход независимо от его модификаций ограничен в использовании по ряду причин. Во-первых, условность подхода заключается в том, что на конечные результаты деятельности организации оказывает влияние множество разнонаправлено действующих факторов и не всегда это связано с высокой эффективностью внутреннего контроля. Во-вторых, некорректно использовать критерии эффективности управляющей подсистемы для оценки состояния управляемой подсистемы.

 При множественности подходов к оценке эффективности систем внутреннего контроля, на которых мы остановимся в работе далее, следует отметить, что она может быть признана эффективной только тогда когда:

 1. Регламенты организации, определяющие стратегию и тактику поведения организации в области внутреннего контроля, утверждены и своевременно пересматриваются. А в данных регламентах определены: основные виды деятельности организации; компетенции всех органов и подразделений организации; неотъемлемые риски, связанные с ними; приемлемые уровни риска, которые организация готова принять при достижении поставленных целей; основные методы и процедуры контроля.

 2. Стратегия и тактика поведения организации определяются по результатам оценки рисков. Организация регулярно проводит идентификацию рисков и факторов способных оказать неблагоприятное воздействие на деятельность организации; сформировала контрольную среду, подтверждая важность для организации внутреннего контроля и этических принципов.

 3. Создана инфраструктура, обеспечивающая реальность и эффективность контроля. То есть, определены и реализуются соответствующие процедуры контроля, позволяющие выявлять и отслеживать отклонения; систематически проводятся мероприятия контроля; реализован принцип разделения обязанностей; обеспечены адекватность, полнота и достоверность внешних рыночных данных о событиях, которые могут повлиять на принятие решений, финансовой и управленческой отчетности, а также соответствие осуществляемых операций действующему законодательству.

 4. Организованы эффективные информационные потоки и обеспечена надлежащая безопасность каналов их передачи. Информация доводится надлежащему адресату и своевременно; уровень используемых информационных систем соответствует предъявляемым требованиям; обеспечена безопасность информационных систем и осуществляется их проверка в определенные промежутки времени.

 5. СВК подвергается независимому мониторингу. То есть осуществляется на регулярной основе оценка операций в большей степени подверженных риску, проводится внутренний аудит эффективности СВК функционально независимыми и компетентными сотрудниками, информация о недостатках внутреннего контроля своевременно доводится до менеджмента соответствующего уровня и производится оценка ее эффективности.

 Таким образом, при определении эффективности СВК необходимо учитывать не количественные (методы и процедуры контроля, количество работников, осуществляющих контрольные функции, количество проведенных контрольных мероприятий и т.д.), а качественные характеристики (своевременность оценки рисков и мер контроля, применяемых для смягчения их воздействия, выявления и анализа причин возникновения отклонений и встраивания в бизнес-процессы тождественных рискам мер контроля).

 Оценка фактической эффективности действующей СВК может осуществляться по следующим направлениям:

 1.                анализ элементов управления внутренним контролем, то есть показателей количественного и качественного состава работников (укомплектованность, образование, наличие профессиональных навыков и умений и т.д.);

 2.                оценка результатов и эффективности внутреннего контроля, выражающаяся в показателях объема контрольных процедур и эффективности этих процедур;

 3.                изучение аналитических показателей внутреннего контроля, которые должны отражать выявленные резервы роста его эффективности (внедрение новых методов и технических приемов внутреннего контроля, информационно-правового обеспечения и т.д.).

 Отвечая на вопрос об оценке эффективности СВК мы невольно подходим к другому вопросу: кто должен производит данную оценку и определять достаточность развития системы? В международной практике данные функции выполняет внутренний аудитор, а в российской в силу неразвитости института внутренних аудиторов пока только внешние аудиторы. Внутренний аудит является неотъемлемой частью внутреннего контроля и помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов, в том числе и контроля.

 Проанализировав существующие в настоящее время подходы к оценке эффективности СВК, авторы предлагают методику организации проверок СВК, предполагающую осуществление сбалансированного анализа рисков и механизмов контроля и поиск возможностей повышения эффективности деятельности организации, позволяющую выявить области, требующие немедленных действий, а также те области, изменения в которых должны будут произойти позже.

 При построении методики использовался широко известный алгоритм, заключающийся в последовательном прохождении определенных этапов:

 a) провозглашение задач предметной области;

 b) определение комплекса задач и их детализация до уровня подзадач;

 c)  определение методики решения задач;

 d)  определение порядка оформления результатов аудиторской проверки.

 При этом структура методики должна быть единой и включать в себя:

 1) Цель аудита. Если для целей внутреннего аудита выбран системный подход  необходимо оценить системную эффективность, то цель аудиторов – сформировать мнение об адекватности конфигурации и правильности эксплуатации СВК. Если для целей аудита выбран операционный подход и необходимо оценить операционную эффективность, то цель аудиторов - сформировать мнение об эффективности различных контрольных мероприятий составляющих систему и отдельных контрольных процедур. В данном случае цели аудита детализируются и определяются границами объектов (бизнес-процессами, операциями), подлежащих проверке. В любом случае это будет общая цель, подлежащая уточнению (или очередной детализации) после проведения предварительного обследования аудируемого объекта.

 2) Источники информации. Описания работы СВК; блок-схемы; тесты; описания бизнес-процессов (как есть); конструкции контроля (как есть); состав внутренней нормативной документации, регламентирующей организацию аудируемого процесса (операции); материалы, подготовленные в ходе предыдущих проверок. Использование вышеуказанных форм на этапе проведения проверки позволит помочь установить наличие (отсутствие) систем внутреннего контроля, мероприятий и процедур контроля, их зрелости и эффективности.

 3) Описание возможных моделей и схем. Формирование на предварительной стадии описаний отражающего предполагаемую деятельность предприятия («как должно быть» (to be)) и идеальных схем последовательного выполнения контрольных процедур позволит внутреннему аудитору при необходимости сравнить их с вариантом, используемым организацией, выполнить необходимый анализ и сформировать рекомендации.

 4) Формирование перечня типовых несоответствий. Основываясь опытом предыдущих аудиторских проверок, внутренними аудиторами формируется перечень типовых замечаний, возникающих в ходе проверок, для оценки и определения недостающих контрольных мероприятий и процедур. Формирование перечня типовых несоответствий позволит определить состав контрольных процедур, надлежащее исполнение которых позволит повысить эффективность внутреннего контроля.

 5) Определение состава и последовательности выполнения внутренним аудитором работ. Как мы уже говорили ранее, состав работ будет зависеть от выбранной цели аудита и от применяемого метода управления деятельностью.

 5.1. Определение системной эффективности – оценка контура системы внутреннего контроля.

 На данном этапе, как правило, внутренним аудитором осуществляется оценка контура системы внутреннего контроля, то есть надежности контрольной среды. Для этих целей разрабатываются анкеты, содержащие типовые вопросы. Все вопросы каждой анкеты делятся на 6 разделов, позволяющие определить мнения менеджмента подразделения (организации) в отношении элементов контрольной среды (стиль и основные принципы управления подразделением (организацией); организационная структура; разделение полномочий и ответственности; кадровая политика и практика; порядок ведения бухгалтерского учета и подготовки бухгалтерской отчетности; порядок подготовки внутренней (управленческой) отчетности для целей управления).

 Присваиваемый каждому вопросу анкеты вес является результатом экспертной оценки важности этого вопроса и может быть различным для различных операций. В основном для оценки эффективности контрольной среды используется три градации: высокая, средняя, низкая. Оценка определяется процентным соотношением положительных ответов к общему количеству вопросов, участвующих в опросе. Если соотношение составляет выше 70% оценка определяется как "высокая", а менее 40 "низкая". На основании произведенной оценки производится оценка по каждому элементу контрольной среды, так и по ней в целом. В принципе подобный подход используется внешними аудиторами при оценке эффективности СВК.

 Если целью аудита является определение операционной эффективности, то работы, выполняемые внутренним аудитором, будут варьироваться в зависимости от выбранного метода управления деятельностью организации.

 5.2. Определение операционной эффективности – оценка эффективности различных контрольных мероприятий составляющих систему и отдельных контрольных процедур.

 5.2.1. В случае реализации организацией процессного риск - ориентированного метода управления действия аудитора будут направлены на сбор, оценку и анализ аудиторских доказательств, касающихся СВК аудируемого бизнес-процесса для выражения мнения надежности используемых контрольных процедур, с помощью которых владелец анализируемого риска способен эффективно управлять им.

 Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов организации включает в себя несколько этапов, а именно:

 предварительный анализ бизнес-процесса – на основе изучения внутренних нормативных документов по анализируемому бизнес-процессу и классификатора типовых несоответствий, ознакомления с базами данных и программным обеспечением, обслуживающими рассматриваемый бизнес-процесс выявляются потенциальные проблемы, и оптимизируется процесс проверки. Внутренний аудитор изучает фактические цели аудируемого бизнес-процесса, его структуру, произошедшие в нем изменения, оценивает его существенность.

 По результатам анализа устанавливается соответствие фактических целей процесса стратегии развития компании и принципам целеполагания, аудитором формируется фактическая схема организации рассматриваемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения), с указанием существующих контрольных процедур, дается объективная оценка уровня регламентации бизнес-процесса, определяется перечень рисков, присущих аудируемому бизнес-процессу (оценка рисков вероятности реализации и значимости последствий от реализации данных рисков). То есть, внутренний аудитор получает предварительную информацию о конструкции внутреннего контроля, наличии существенных недостатков в системе внутреннего контроля и ее достаточности, с точки зрения эффективного управления рисками, а также о степени исполнения контрольных процедур.

 По результатам предварительного анализа принимается решение о необходимости выполнения процедур (тестов) проверки по существу. Проверка в дальнейшем, как правило, не проводится в случаях, когда предварительный анализ указывает на достаточность и надежность СВК, риски присущие бизнес-процессу несущественны, либо если предполагается изменить структуру бизнес-процесса. 

описание бизнес-процесса (как должно быть) и оценка конструкции контроля. Подготовив формализованное описание идеального бизнес-процесса и сравнив его с реальной схемой бизнес-процесса, определив риски, присущие аудируемому бизнес-процессу, внутренний аудитор устанавливает наличие (отсутствие), фактическое содержание и место расположение контрольных процедур в структуре процесса и сравнивает их с требованиями внутренних нормативных документов по бизнес-процессу. Для выбора оптимального состава и месторасположения контрольных процедур может использоваться так называемая «лучшая практика».

 проведение аудиторских процедур по существу. Состав используемых процедур внутренним аудитором достаточно широк, но все они направлены на получение разумной уверенности в том, что используемые контрольные процедуры позволяют управлять всеми рисками, присущими аудируемому бизнес-процессу. Как правило, в данной ситуации осуществляется тестирование фактических процедур управления рисками посредством сравнения, анализа данных и т.д.

 Описание бизнес-процесса (как должно быть), оценка конструкции контроля и проведение аудиторских процедур по существу позволит внутреннему аудитору определить не только достаточность контрольных процедур в рамках аудируемого бизнес-процесса, но и выявить излишние (дублирующие) процедуры (направленные на управление одним риском или несколькими зависимыми рисками), влекущие к удорожанию контроля.

 оценка качества исполнения и эффективности контрольных процедур, фактически присущих бизнес-процессу. Для оценки эффективности процедур контроля могут использоваться простейшие математические модели, о которых мы писали ранее.

 5.2.2. В случае не применения процессного метода управления работы аудитора также будут направлены на сбор, оценку и анализ аудиторских доказательств, касающихся СВК аудируемого процесса (операции) для выражения мнения надежности используемых контрольных процедур.

 Однако процесс проведения внутренней аудиторской проверки СВК несколько видоизменяется и включает в себя несколько этапов, а именно:

 предварительный анализ аудируемого процесса (операции) – как и при процессном риск-ориентированном методе управления внутренний аудитор на основе изучения внутренних нормативных документов по анализируемому процессу (операции) и классификатора типовых несоответствий, формы передачи информации от одной системы к другой (вручную или автоматически), периодичности обработки процессов (операций), форм отчетности формируемой подразделением (организацией), форм осуществления контроля (вручную или автоматически), выявляет риски, характерные аудируемому процессу (операции), изучает фактические цели аудируемого процесса (операции), его структуру, произошедшие в нем изменения, оценивает его существенность.

  документирование систем внутреннего контроля процесса (операции). По результатам анализа внутренний аудитор формирует блок-схему (схему последовательного выполнения контрольных процедур) и краткое описание рассматриваемого процесса (операции). Блок-схемы – содержат описания потоков и направлений операций и описания процедур их осуществления. То есть определяет состав и последовательность выполнения работниками действий; состав лиц, вовлеченных в реализацию процесса (операции); определяет перечень рисков, присущих аудируемому процессу (операции); состав и последовательность выполнения контрольных процедур, а также лиц, ответственных за их исполнение. Блок-схемы помогают внутренним аудиторам представить систему в целом и сформировать вывод о том, какие средства контроля должны являться составной частью системы. А также позволяют внутреннему аудитору определить риски, которые угрожают организации из-за отсутствия или неадекватности систем внутреннего контроля, определить какие дополнительные средства контроля можно ввести для усиления слабых звеньев системы внутреннего контроля и определить имеющиеся недостатки и отсутствующие виды (звенья) контроля.

 Если проведенный анализ свидетельствует о достаточности и надежности СВК и несущественности рисков, присущих процессу (операции) дальнейшее тестирование не проводится.

 проведение аудиторских процедур по существу - для получения разумной уверенности в том, что используемые контрольные процедуры позволяют эффективно управлять всеми рисками, присущими аудируемому процессу (операции). В результате документирования систем внутреннего контроля процесса (операции) и проведения аудиторских процедур по существу внутренний аудитор сможет определить достаточность средств контроля, а также выявить отсутствующие (излишние) виды контроля.

 оценка качества исполнения и эффективности контрольных процедур, фактически присущих бизнес-процессу.

 6) Подтверждение оценок эффективности системы внутреннего контроля. Даже если системы внутреннего контроля подразделения (организации) были оценены как надежные, а проверка того, как соблюдаются требования внутренних процедур и систем контроля, позволила получить удовлетворительные результаты, осуществляется детальное тестирование существенных оборотов и операций в целях подтверждения достоверности полученных оценок эффективности СВК внутренним аудитором. Для проведения подобного рода детального тестирования может проводиться:

 - Проверка на соответствие.

 - Проверка и подтверждение работы ключевых видов контроля.

 - Проверка по существу.

 То есть осуществляется оценка действенности и зрелости системы. Так как одной из задач, стоящих перед СВК является обеспечение достоверности показателей финансовой отчетности, то и процедуры проверки будут выполняться внутренним аудитором в отношении финансовой (бухгалтерской) отчетности.

Опубликовано:

Вестник Алтайского территориального института профессиональных бухгалтеров. Барнаул. - 2007.-№1. – с.24-30.


Назад