В лабіринтах внутрішнього контролю
Якщо ваша система обслуговування клієнтів не ідеальна, в цьому винні саме ви!
Ден Кеннеді
Вже багато років професійні стандарти вимагають від аудитора у випадку проведення аудиторської перевірки отримати розуміння внутрішнього контролю такого суб’єкта господарювання. Отримання розуміння внутрішнього контролю необхідно аудитору щоб визначитися із типами потенційних викривлень, із характером, часом і обсягом подальших аудиторських процедур тощо. І ось халепа, стаття 23 Закону України «Про аудит фінансової звітності та аудиторську діяльність» від 21 грудня 2017 № 2258-VIII зобов’язує суб’єктів аудиторської діяльності для надання послуг з обов’язкового аудиту фінансової звітності забезпечити серед іншого: запровадження системи внутрішнього контролю, механізмів внутрішнього контролю, застосування методики оцінки ризиків, постійний моніторинг, оцінювання відповідності та ефективності системи внутрішнього контролю. Отже, те, що раніше аудитори вивчали у своїх клієнтів з аудиту, вони мають впровадити і в своїх фірмах.
Внутрішнім контролем вважається система контролю діяльності підприємства. Спочатку ця система представляла сукупність трьох елементів: розподіл повноважень, ротація персоналу та використання і аналіз облікових записів. Пізніше функції внутрішнього контролю були розширені і перетворені в організацію і координування дій, які спрямовані на забезпечення схоронності активів, перевірку надійності облікової інформації, підвищення ефективності операцій, дотримання запропонованої політики процедурам компанії. Таким чином, з появою нових функцій внутрішнього контролю, він був виведений за рамки кола питань, що відносяться виключно до бухгалтерського обліку. На сьогоднішній день внутрішній контроль є процесом, який спрямований на досягнення цілей підприємства і який є результатом дій керівництва щодо планування, організації та моніторингу діяльності підприємства.
Внутрішній контроль - це контроль зсередини підприємства (рис. 1.). Міжнародний стандарт аудиту 315 «Ідентифікація та оцінювання ризиків суттєвого викривлення через розуміння суб’єкта господарювання і його середовища» наводить наступне визначення терміну «внутрішній контроль» - це процес, розроблений, запроваджений і підтримуваний тими, кого наділено найвищими повноваженнями, управлінським персоналом, а також іншими працівниками, для забезпечення достатньої впевненості щодо досягнення цілей суб’єкта господарювання стосовно достовірності фінансового звітування, ефективності та результативності діяльності, а також дотримання застосовних законів і нормативних актів.
На рівні держави ми не маємо регламентованого нормативного документу, що прописував би механізм функціонування внутрішнього контролю, тому аудиторським фірмам, як і іншим суб’єктам господарювання, потрібно самостійно розробляти внутрішні регламенти та положення, які визначають шляхи здійснення внутрішнього контролю.
До компонентів внутрішнього контролю відносяться:
Середовище контролю.
Цей компонент включає:
Питання, що стосуються процесу повідомлення інформації та забезпечення дотримання професійної чесності й етичних цінностей.
Питання, які стосуються рівня компетентності для певних посад та необхідних навичок і знань.
Питання, які стосуються тих, кого наділено найвищими повноваженнями, а саме їх:
- незалежності від управлінського персоналу;
- досвіду і статусу;
- ступені участі та отримуваної інформації, а також ретельного розгляду діяльності;
- прийнятності дій, включаючи рівень, до якого піднімаються та відпрацьовуються з управлінським персоналом складні питання.
Питання, які стосуються філософії та стилю роботи управлінського персоналу (у тому числі підхід до прийняття бізнес-ризиків та управління ними; ставлення та дії стосовно фінансового звітування; ставлення до обробки інформації, облікової діяльності та персоналу бухгалтерії).
Питання, які стосуються організаційної структури, що є основою, в рамках якої плануються, виконуються, контролюються та перевіряються дії, направлені на досягнення поставлених цілей підприємства.
Питання, які стосуються повноважень і відповідальності, а саме, у який спосіб надаються повноваження та відповідальність за операційну діяльність і як встановлюються ієрархічні відносини щодо звітування та надання дозволів.
Питання, які стосуються кадрової політики (найм, профорієнтація, професійна підготовка, оцінка, консультування, просування по службі, компенсації та винагороди і виправлення проблем, що виникають на робочих місцях).
Процес оцінки ризиків підприємства
Оцінка ризиків включає в себе динамічний і ітеративний процес ідентифікації та оцінки ризиків, з якими стикається підприємство через вплив зовнішніх і внутрішніх факторів, і які в підсумку перешкоджають підприємству у досягненні поставлених цілей. Такі ризики розглядаються у відношенні з встановленим рівнем толерантності до ризику. Отже, оцінка ризиків створює основу для визначення підходів управління ними.
Процес управління ризиками підприємства складається також з низки компонентів:
Внутрішнє середовище. Це та атмосфера на підприємстві, яка визначає, яким чином ризик сприймається співробітниками підприємства, і як вони на нього реагують.
Постановка цілей підприємства. Цілі визначаються до того, як керівництво почне виявляти події, які потенційно можуть вплинути на їх досягнення.
Визначення подій. Події (внутрішні та зовнішні), що впливають на досягнення цілей підприємства.
Оцінка ризиків. Ризики аналізуються з урахуванням ймовірності їх виникнення та впливу (наслідків) з метою визначення того, які дії щодо них необхідно зробити. Для оцінки ризиків одні підприємства використовують градацію «високий-низький», інші підприємства застосовують систему «світлофора» - червоний, жовтий, зелений, третті віддають перевагу кількісним показникам, приміром, відсоткам.
Реагування на ризик. Підприємство вибирає метод реагування на ризик (приміром, ухилення від ризику, прийняття, скорочення або перерозподіл ризику) та розробляє ряд заходів, які дозволять привести виявлений ризик у відповідність з допустимим рівнем ризику.
Засоби контролю. Розроблені політики і процедури з метою забезпечення «розумної» гарантії того, що реагування на ризик відбувається ефективно і своєчасно.
Інформація і комунікації. Встановлюється процес фіксації і передачі необхідної інформації в такій формі і в такі терміни, які дозволяють співробітникам виконувати їх функціональні обов'язки належним чином. Також повинен бути забезпечений ефективний обмін інформацією в рамках підприємства як по вертикалі зверху вниз і знизу вгору, так і по горизонталі.
Моніторинг. Весь процес управління ризиками підприємства відстежується і в разі потреби коригується.
Всі ці компоненти є взаємозалежні. Тому, якщо в рамках корпоративної культури підприємства існує тенденція страчувати гінця, який приніс погані вісті, то співробітники такого підприємства навряд чи матимуть внутрішню мотивацію інформувати керівництво про виникаючі проблеми, в зв'язку з чим виникне небезпека несвоєчасного виявлення ризиків.
Інформаційна система та повідомлення інформації
Інформаційна система складається з інфраструктури (фізичні та апаратні компоненти), програмного забезпечення, персоналу, процедур і баз даних.
Якість інформації, яка генерується інформаційною системою, чине вплив на здатність управлінського персоналу приймати відповідні рішення при управлінні та контролі та складати достовірну фінансову звітність.
Повідомлення інформації має на увазі надання персоналу розуміння індивідуальних ролей та відповідальності, що пов’язані із внутрішнім контролем.
Заходи контролю
Це розроблені політики та процедури, що забезпечують реалізацію директив управлінського персоналу. Прикладами заходів контролю є заходи, які стосуються: надання дозволів; перегляду показників діяльності; обробки інформації; фізичних заходів контролю; розподілу обов’язків.
Моніторинг заходів контролю
Це процес оцінки ефективності функціонування внутрішнього контролю у часі. Моніторинг включає своєчасну оцінку ефективності заходів контролю та виконання необхідних виправних дій. Зазвичай управлінським персоналом моніторинг заходів контролю здійснюється через
- постійні дії (як правило, вони є частиною поточної діяльності підприємства і включають регулярні дії з управління та нагляду);
- окремі оцінки; або
- поєднання одного та іншого.
Способи розроблення та впровадження внутрішнього контролю на кожному підприємстві можуть бути різні в залежності від розміру і складності такого підприємства, але в будь-якому випадку наявність системи внутрішнього контролю має бути підтверджена внутрішніми документами підприємства.
Як казав Ден Кеннеді у книзі «Безжальний менеджмент та ефективність людських ресурсів»: - Все просто. Ви створюєте систему, коли документуєте - тобто викладаєте в письмовому вигляді - те, що треба зробити вашому підприємству.
Отже, система внутрішнього контролю повинна бути формалізована. Тобто, описані ризики і контролі по усім суттєвим бізнес процесам, які чинять вплив на досягнення цілей підприємства, та задокументовані і збережені результати виконання контрольних процедур.