Автор: М.А. Городилов, д-р экон. наук, ГОУ ВПО «Пермский государственный университет», e-mail: gorodilov59@yandex.ru
Источник: Журнал “Аудитор” №10-2011
Дата публикации: 3 Ноября 2011
Продолжение. Начало
Настоящая статья комментирует положения международных стандартов аудита № 315 «Понимание организации и ее окружающей среды в целях идентификации и оценки рисков существенного искажения» (Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment) и № 330 «Действия аудиторов после оценки рисков» (The Auditor’s Responses to Assessed Risks).
Изучение и оценка внутреннего контроля клиента
Понятие внутреннего контроля[1] является одним из важнейших понятий в современном международном аудите. Определение внутреннего контроля дается в МСА № 315 (п. 4).
Внутренний контроль (Internal control) – процесс, осуществляемый лицами, допущенными к управлению компанией (those charged with governance), менеджментом и др., призванный обеспечить разумную уверенность в том, что решены следующие задачи: по достижению надежности финансовой отчетности, эффективности операций и их соответствию применимому законодательству и иным нормативным актам. При этом термин «контрольные действия» (controls) имеет отношение к самым различным аспектам и компонентам внутреннего контроля[2].
Внутренний контроль включает в себя:
Существуют и другие определения внутреннего контроля организации. Например, В.В. Бурцев дает следующее обобщающее определение:
«Внутренний контроль организации – это осуществление субъектами организации, наделенными соответствующими полномочиями (субъекты внутреннего контроля), либо в автоматическом режиме, заданном указанными субъектами и под их управлением, следующих действий:
а) определение фактического состояния или действия управляемого звена системы управления организацией (объекта контроля);
б) сравнение фактических данных с требуемыми, т.е. с базой для сравнения, принятой в организации, заданной извне либо основанной на рациональности;
в) оценка отклонений, превышающих предельно допустимый уровень, и степени их влияния на аспекты функционирования организации;
г) выявление причин данных отклонений» [3, с. 15].
Важно отметить, что определению внутреннего контроля В.В. Бурцева свойственен кибернетический подход, общий для любого процесса управления.Данная точка зрения отчасти подтверждается тем, что целью внутреннего контроля, согласно В.В. Бурцеву, является «информационная прозрачность объекта управления для возможности принятия эффективных решений»[3, с. 16]. При этом В.В. Бурцев выделяет две формы внутреннего контроля:
Содержание отдельных элементов внутреннего контроля представлено в таблице.
В случае, если в структуре аудируемого лица есть служба внутреннего аудита, аудитор должен достичь понимания следующих аспектов:
Важно отметить, что процесс, связанный с оценкой внутреннего контроля клиента, осуществляется на перманентной основе на протяжении всей аудиторской проверки. В результате получения отдельных аудиторских доказательств ранее принятые оценки внутреннего контроля могут быть скорректированы. Это, в свою очередь, может стать причиной изменения ранее запланированных аудиторских процедур. Как первоначальные, так и последующие оценки внутреннего контроля клиента, включая выявленные риски, источники информации и др., подлежат отражению в рабочей документации аудитора.
Как было отмечено выше, составной частью внутреннего контроля в соответствии с определением, изложенным в МСА, является контрольная среда. Контрольная среда оказывает прямое воздействие на степень эффективности остальных элементов внутреннего контроля. Например, сильная (организованная, устойчивая) контрольная среда, рассматриваемая в совокупности с системой бюджетирования и эффективно функционирующим внутренним аудитом, может существенно усилить определенные контрольные процедуры. Тем не менее, в стандарте акцентируется внимание на том, что сильная контрольная среда сама по себе не является гарантом эффективности системы внутреннего контроля.
Важнейшими элементами контрольной среды являются:
В.В. Бурцев к элементам контрольной среды относит также:
Важно отметить, что степень эффективности функционирования хозяйственной системы заключается в отношении администрации организации к контролю[4, с. 265]. Действительно, если высшее руководство компании полагает, что контроль необходим, то и остальной ее персонал будет стремиться к выполнению установленных нормативных требований. Саму администрацию можно охарактеризовать или как «бюрократическую», или как «энергичную», т.е. медленно или быстро реагирующую на любые изменения рыночной конъюнктуры. Аудитор должен установить отношение руководства организации к коммерческим, финансовым и внутрифирменным рискам, убедиться в правильном понимании ими роли внутреннего контроля в управлении организацией и проанализировать конкретные действия управляющих в плане организации внутреннего контроля. Именно в этом и заключается один из важнейших элементов, составляющих среду контроля, – философия менеджмента и стиль операционной деятельности организации.
Следующий элемент внутреннего контроля – организационная структура – определяет формы власти и подчинения, а также каналы информационной связи внутри организации. В ходе изучения организационной структуры проверяемой организации аудитору необходимо проанализировать управленческие и функциональные связи в ней, установить степень соответствия организационной структуры размерам и степени сложности организации, а также механизм реализации внутреннего контроля.
При этом организационная структура организации, обеспечивающая эффективно работающий внутренний контроль, основана на принципе разграничения функций и наделения разных работников следующими компетенциями:
Рассмотрим названный принцип на примере кассовых операций. Все первичные документы по движению денежных средств (приходные и расходные кассовые ордера) должны подписываться лицами, ответственными за принятие управленческих решений (приходные документы – главным бухгалтером; расходные – кроме него, также и руководителем организации), т.е. каждая хозяйственная операция внутри организации должна санкционироваться уполномоченными на то должностными лицами.
Непосредственно операции с денежными средствами (физические действия) совершает лицо, ответственное за обеспечение их сохранности, – кассир.
Оформление приходных и расходных кассовых ордеров, своевременную их регистрацию, отражение хозяйственных операций по движению денежных средств на счетах бухгалтерского учета, а также текущий контроль соответствия совершенных хозяйственных операций установленным требованиям нормативных актов в организации обеспечивает бухгалтер по учету кассовых операций.
Такая «тройственная» система, закрепленная в организационной структуре предприятия для всех видов активов, будет свидетельствовать о сильнойконтрольной среде. И, наоборот, в случае, когда определенные обязанности из перечня, отмеченного выше, выполняются (по совместительству) одним должностным лицом (очень часто такие ситуации встречаются на предприятиях малого бизнеса), это может служить основанием для повышенного внимания аудитора к соответствующим классам хозяйственных операций.
Среди остальных элементов внутреннего контроля важно отметить политику и процедуры в отношении персонала компании. Персонал предприятия, как уже отмечалось выше, – важнейший аспект любой системы контроля [4, с. 267]. Если работники обладают такими качествами, как высокая компетентность, честность, заслуживают доверия, при этом они удовлетворены существующими системами оплаты труда, стимулов и поощрений за результаты их деятельности, то даже при наличии других недостатков внутреннего контроля (например, в случае отсутствия подразделения внутреннего аудита в организации) в любом случае существует относительно низкая вероятность наличия искажений в финансовой отчетности. Очевидно, что в противоположной ситуации некомпетентные, нечестные, а также морально «не удовлетворенные жизнью» работники могут свести на нет эффективность внутреннего контроля.
Контрольные действия, имеющие отношение к аудиту
Как было отмечено в предыдущем разделе, контрольные действия (процедуры, средства) – это политики и процедуры, которые позволяют достичь уверенности в том, что решения менеджмента выполняются. Примерами контрольных действий являются:
Так, действенный контроль составления первичных документов характеризуется следующими признаками:
Такому средству контроля, как ограничение прямого физического доступа к имуществу и информации организации, свойственно наличие оборудованных кассовых помещений, складов для хранения товарно-материальных ценностей, охранной и пожарной сигнализации, сейфов для хранения документов на бумажных носителях, паролей доступа к компьютерным базам данных и т.д.
Одной из важнейших процедур контроля, рассмотренных выше, является инвентаризация имущества и обязательств организации. В ходе ее проведения устанавливаются и устраняются расхождения между фактическим наличием имущества (или обязательств) и данными бухгалтерского учета. Посредством проведения инвентаризаций производится оценка степени реальности аудируемой финансовой отчетности (чаще говорят, что те или иные статьи бухгалтерской отчетности подтверждены или не подтверждены проверкой наличия их в натуре – инвентаризацией). При этом аудитор обращает внимание на то, как в аудируемой организации за проверяемый период проводились инвентаризации, или может сам организовать ее проведение (в ходе аудиторской проверки).
Оценка надёжности внутреннего контроля клиента
Оценка внутреннего контроля служит аудитору основой для планирования проверки. Каждый из элементов системы внутреннего контроля необходимо изучить и понять.
Изучение и оценку среды контроля и отдельных средств контроля рекомендуется проводить последовательно в три этапа:
Для оценки степени надежности внутреннего контроля обычно используется следующая градация:
Оценка надежности внутреннего контроля является одним из важнейших факторов, который следует учитывать при определении величины аудиторского риска. Она может оказывать воздействие на внутрихозяйственный риск и риск системы контроля, а также на выбор тех или иных процедур, применяемых аудитором в ходе проверки.
В случае, если аудитор оценивает надежность внутреннего контроля клиента как «низкую», то это означает невозможность для него опереться на отдельные средства контроля аудируемой организации и, соответственно, требует увеличения объема аудиторских процедур, что закономерно приводит к росту издержек аудиторской организации на осуществление всей проверки в целом.
И наоборот, если надежность внутреннего контроля оценивается аудитором как «высокая», то представляется возможным уменьшить объем применяемых аудиторских процедур, а значит, сократить расходы на проведение аудиторской проверки.
Как было отмечено выше, по результатам изучения внутреннего контроля определяется риск средств контроля клиента, т.е. вероятность того, что разработанные и применяемые в организации средства внутреннего контроля не будут своевременно обнаруживать и исправлять существенные нарушения и (или) препятствовать возникновению таких нарушений.
Между степенью риска средств контроля клиента и степенью надежности внутреннего контроля имеется обратная зависимость: высокой степени надежности соответствует низкий уровень риска и наоборот.
Следует заметить, что оценка надежности внутреннего контроля субъектов малого бизнеса несколько отличается от общих правил, изложенных выше. Общим допущением является то, что доверие аудитора к системе внутреннего контроля субъектов малого бизнеса обычно должно быть ниже, чем для средних и крупных организаций.
Важнейшей характеристикой внутреннего контроля организации является ее результативность ®, рассчитываемая как разница между возможными убытками (ущербом) до и после прогнозируемого воздействия системы внутреннего контроля[3, с. 45–46]:
R = U1 × P1 – U2 × P2, (5)
где U1, U2 – размер прогнозируемых убытков (ущерба) соответственно до и после прогнозируемого воздействия внутреннего контроля;
P1, P2 – вероятность возникновения неблагоприятного события в виде U1 и U2.
Добавив в выражение (5) коэффициент изменения риска (γ), равный отношению U1 × P1 / U2 × P2, получим новую формулу:
R = U1 × P1 – U1 × P1 / γ = U1 × P1 × (1 – 1 / γ). (6)
Выражения (5) и (6) определяют абсолютную результативность внутреннего контроля. Для получения относительного показателя результативности внутреннего контроля (Rотн) необходимо соотнести полученный результат (R) с затратами (Z) на создание (внедрение) данной системы:
Rотн = R / Z. (7)
Пример (числа условные). Организацией предполагается заключение договоров поставки с контрагентами на условиях частичной предоплаты (аванса) в размере 40% стоимости отгруженной продукции. Предполагаемый годовой объем отгруженной и реализованной готовой продукции составляет 20 млн руб., ее полная себестоимость – 16 млн руб.
В этой же организации также рассматривается вопрос о необходимости создания специального отдела по контролю за организациями-дебиторами, функциями которого могут быть следующие:
В случае, если в организации такое подразделение не будет создано, то вероятность того, что оставшаяся часть денежных средств за реализованную продукцию не будет получена с организаций-дебиторов, оценивается экспертами в размере 50 %.
Если такой отдел будет создан, то вероятность убытков, по мнению специалистов, можно уменьшить до 10 %. Затраты на содержание отдела составляют 0,6 млн руб. в год.
С помощью экономических расчетов необходимо определить целесообразность создания специального отдела по контролю за организациями-дебиторами.
Решение. Потенциальный ущерб, который может быть нанесен организации, равен себестоимости отгруженной, но неоплаченной продукции:
U1 = U2 = 16 млн руб. × 60% / 100% = 9,6 млн руб.
Согласно условию задачи, P1 = 0,5, а P2 = 0,1, т.е. абсолютный результат от предлагаемых процедур контроля составит:
R = 9,6 × 0,5 – 9,6 × 0,1 = 3,84 млн руб.
Если соотнести полученный результат с суммой затрат на содержание службы контроля, то получим:
Rотн = 3,84 / 0,5 ≈ 7,7.
Таким образом, предполагаемая экономическая выгода (в виде уменьшения суммы убытков от списания безнадежной дебиторской задолженности) от деятельности службы внутреннего контроля в 7,7 раза превысит сумму затрат на ее содержание, т.е. создание такой службы целесообразно.
При этом коэффициент уменьшения риска (γ) составит значение, равное:
(9,6 × 0,5) / (9,6 × 0,1) = 5.
Предлагаемый метод имеет существенный недостаток, а именно – субъективность оценок, полученных экспертным путем. Так, если суммы предполагаемых убытков еще можно оценить с определенной степенью точности, то значения вероятности наступления неблагоприятных событий определить достоверно на практике очень сложно, поскольку на последние оказывают воздействие многие (внутренние и внешние) факторы.
Тем не менее, данный метод может быть использован в практической деятельности для оценки результативности (и как следствие, необходимости разработки и внедрения) того или иного элемента внутреннего контроля.
Список литературы
1. Суйц В.П. Внутрипроизводственный контроль / В.П. Суйц. − М.: Финансы и статистика, 1987. – 127 с.
2. Бычкова С.М. Доказательства в аудите / С.М. Бычкова. – М.: Финансы и статистика, 1998. − 176 с.
3. Бурцев В.В. Организация системы внутреннего контроля коммерческой организации / В.В. Бурцев. – М.: Экзамен, 2000. – 320 с.
4. Аренс А. Аудит/А. Аренс, Дж. Лоббек; пер. с англ. – М.: Финансы и статистика, 1995. – 560 с.
Handbook of International Quality Control, Auditing, Review, Other Assurance, and Related Services Pronouncements. 2010 edition. Parts I and II / International Federation of Accountants. URL: http://www.ifac.org[1] Ранее в МСА упоминалось понятие «система внутреннего контроля». – Прим. авт.
[2] Понятие those charged with governance является комплексным и не имеет простого (дословного) перевода на русский язык. В соответствии с «Глоссарием терминов» (Glossary of Terms) данное понятие означает лицо (например, доверительного управляющего в рамках траста – института управления доверительной собственностью) или организацию, наделенную полномочиями по стратегическому управлению предприятием и обязательствами, имеющими отношение к данному предприятию. В некоторых юрисдикциях эти функции могут быть возложены на менеджмент компании, например, на исполнительных членов совета директоров, либо на собственника, являющегося менеджером компании. Такие функции могут возлагаться и на вышестоящие органы управления – собрание акционеров, совет директоров и т.д. В настоящей статье употребляется эквивалентный термин «лица, допущенные к управлению компанией». – Прим. авт.