-
Категория: Статьи по аудиту
-
Просмотров: 1879
Проведен анализ различных подходов в методологии оценки эффективности внутреннего контроля, которые используются в соответствующих современных международных стандартах. Дифференцированы основные направления в оценке, связанные с использованием процедур интервьюирования, моделей зрелости, стандартов и бенчмаркинга.
Введение
Центральной проблемой в оценке эффективности системы внутреннего контроля является вопрос о границах внутреннего контроля организации. На фоне достаточно хорошо разработанных методов оценки эффективности внутреннего аудита попытки оценить эффективность внутреннего контроля выглядят неуверенными и неполными. Действительно, если по поводу взаимосвязи внутреннего аудита и внутреннего контроля организации сомнений не возникает, то вопрос места управления рисками в модели эффективности внутреннего контроля вызывает разногласия. Как правило, к области внутреннего контроля уверенно относят оценку рисков, в то время как остальные аспекты управления рисками не входят в сферу ответственности внутреннего контроля.
Общая картина усложняется появлением таких новых направлений во внутреннем контроле, как комплаенс, который по определению Международной ассоциации комплаенса (I№ter№atio№al Complia№ce Associatio№) является обеспечением соответствия деятельности установленным требованиям и стандартам. Комплаенс формирует фундамент контроля любой организации, всегда функционирующей по тем или иным правилам. В этом смысле он рассматривается как обязательная составляющая системы управления, одной из важнейших частей которой является система внутреннего контроля. Комплаенс является одним из методов минимизации рисков неэтичного поведения, ущерба репутации компании и проявлений коррупции, которая с каждым годом наносит все больший урон деловому сообществу. Комплаенс - это состояние или поведение, соответствующее установленному руководству, порядку, набору правил, требованию, спецификациям или законодательству.
Соответственно, оценка эффективности комплаенса должна быть интегрирована в общую модель эффективности внутреннего контроля.
На практике и составители международных стандартов в области внутреннего контроля, и организации, использующие методы внутреннего контроля в своей хозяйственной деятельности, в сущности, уклоняются от решения вопроса интеграции систем оценки эффективности различных компонентов внутреннего контроля в единое целое. Превалирует склонность использовать привычный и проверенный подход, а именно оценивать эффективность различных служб и функций внутреннего контроля раздельно.
При этом сложились следующие подходы к оценке эффективности внутреннего контроля.
1. Качественная оценка с помощью:
- списка вопросов, ответы на которые даются обычно в ходе интервьюирования (Оценка развития внутреннего аудита (DAIAT) Австралийской независимой комиссии против коррупции (ICAC), Открытые стандарты в области внутреннего контроля (OSBC) Американского центра производительности и качества (APQC);
- "моделей зрелости", в которых описываются определенные признаки, по которым можно судить о достижении того или иного уровня качества и эффективности системы (Стандарт "Задачи управления для информационных и смежных технологий" (COBIT) Ассоциации аудита и контроля информационных систем (ISACA);
- соответствия определенным стандартам, нормативным требованиям или лучшим практикам в области внутреннего контроля (Концепция оценки качества внутреннего аудита (IAQAF) Казначейства Великобритании (HM Treasury).
2. Количественная оценка с помощью:
- методик и моделей количественной оценки (Глобальный обзор по внутреннему аудиту (GIAS) Института внутренних аудиторов (IIA);
- экспертной оценки (как правило, в баллах);
- сравнения со среднеотраслевыми значениями показателей, которые устанавливаются методами бенчмаркинга (Ежегодный отчет по бенчмаркингу Глобальной аудиторской информационной сети (GAI№) Института внутренних аудиторов (IIA), Открытые стандарты в области внутреннего контроля (OSBC) Американского центра производительности и качества (APQC).
Предметом оценки эффективности в общем случае являются:
- структура и ресурсы внутреннего контроля;
- процесс внутреннего контроля;
- результаты внутреннего контроля.
В табл. 1 приведен пример общей модели зрелости, характеризующей состояние среды внутреннего контроля и постановку мер внутреннего контроля в организации. В модели показывается, как управление системой внутреннего контроля и осознание необходимости в более совершенных мерах внутреннего контроля развиваются от начального до оптимизированного уровня. Модель предлагает общее руководство для того, чтобы помочь оценить, что именно необходимо для построения эффективной среды внутреннего контроля в сфере информационных технологий, и определить уровень ее зрелости в организации.
Таблица 1
Модель зрелости для среды внутреннего контроля COBIT
Уровень зрелости |
Состояние среды внутреннего контроля |
0. Несуществующий |
Отсутствует понимание необходимости в системе внутреннего контроля. Контроль не является частью корпоративной культуры или миссии. Существует высокий риск проблем и инцидентов |
1. Начальный/повторяющийся эпизодически и бессистемно |
Существует определенное осознание потребностей в системе внутреннего контроля. Подходы в отношении рисков и требований контроля непоследовательны и неорганизованны, отсутствуют информирование заинтересованных сторон и процесс мониторинга. Недостатки не выявлены. Сотрудники не в полной мере осознают требования к своим должностным обязанностям |
2. Повторяющийся, но неупорядоченный (базирующийся на интуиции) |
Меры контроля существуют, но они не документированы. Их применение зависит от знаний и мотивации отдельных сотрудников. Эффективность деятельности не подвергается адекватной оценке. Отмечаются существенные недостатки в функционировании системы контроля, последствия которых могут быть серьезными. Усилия руководства по разрешению проблем в области контроля непоследовательны и не являются приоритетными. Сотрудники могут не в полной мере осознавать требования к своим должностным обязанностям |
3. Определенный |
Существуют и применяются документированные меры контроля. Эффективность деятельности оценивается на регулярной основе, выявлен ряд ограничений. Тем не менее процесс оценки не документирован. В то время как руководство способно разрешать и предупреждать проблемы в сфере контроля, остаются определенные недостатки в функционировании системы контроля, последствия которых могут быть серьезными. Сотрудники осознают требования в соответствии со своими должностными обязанностями в области контроля |
4. Управляемый и измеряемый |
Существует эффективная система внутреннего контроля и управления рисками. Регулярно проводится формализованная, документированная процедура оценки действенности мер контроля. Многие меры контроля автоматизированы и подвергаются регулярному анализу. Руководство выявило большинство проблем в области управления, однако не все проблемы выявляются в плановом порядке. Существует последовательность действий, предпринимаемых при выявлении проблемы. Для автоматизации мер контроля в тактических целях и в ограниченной форме применяются технологии |
5. Оптимизированный |
Программа контроля и управления рисками в масштабе всей организации обеспечивает эффективное и непрерывное разрешение проблем, связанных с рисками и мерами контроля. Система внутреннего контроля и управления рисками интегрирована с корпоративными практиками, которые поддерживаются с помощью автоматизированного мониторинга в режиме реального времени с полной отчетностью по вопросам контроля, управления рисками и соответствия требованиям. Оценка системы контроля производится на постоянной основе, основана на самооценках и анализе недостатков и первопричин. Сотрудники вовлечены в усовершенствование системы контроля в упреждающем стиле |
Одним из наиболее результативных подходов к оценке эффективности внутреннего контроля является использование метода бенчмаркинга. Сам термин "бенчмаркинг" произошел от английского слова be№chmark ("начало отсчета", "зарубка"). В наиболее общем смысле be№chmark - это нечто, обладающее определенным количеством, качеством и способностью быть использованным как эталон при сравнении с другими предметами. В целом бенчмаркинг является искусством обнаружения того, что другие делают лучше, изучением, усовершенствованием и применением их методов.
В таких стандартах, как Ежегодный отчет по бенчмаркингу Глобальной аудиторской информационной сети (GAI№) Института внутренних аудиторов (IIA) или Открытые стандарты в области внутреннего контроля (OSBC) Американского центра производительности и качества (APQC), не только разработан ряд показателей эффективности внутреннего контроля и внутреннего аудита, но и приводятся данные по оценке этих показателей в других сопоставимых компаниях, что позволяет оценить, насколько эффективной является система внутреннего контроля вашей организации в сравнении с остальными.
Группы показателей эффективности внутреннего аудита GAI№ IIA:
1) общие данные по организации;
2) общие данные по внутреннему аудиту;
3) расходы внутреннего аудита;
4) кадры внутреннего аудита;
5) кадры внутреннего аудита по аутсорсингу;
6) внешний аудит;
7) обзор структуры внутреннего аудита;
8) оценка рисков и планирование аудита;
9) реализация рекомендаций аудита. Жизненный цикл аудита. Отчетность;
10) управление производительностью аудита.
Группы показателей эффективности внутреннего контроля OSBC APQC:
1) уровень расходов:
- общие расходы на процесс "управление внутренним контролем" в расчете на 1000 долл. США дохода организации;
- общие расходы на процесс "установление процедур и политики внутреннего контроля" в расчете на 1000 долл. США дохода организации;
- общие расходы на процесс "управление и мониторинг соответствия внутренним процедурам и политикам" в расчете на 1000 долл. США дохода организации;
- общие расходы на процесс "отчетность о соответствии внутреннего контроля процедурам и политикам" в расчете на 1000 долл. США дохода организации;
- общие расходы на процесс "управление внутренним контролем" в долларах США;
2) скорость реагирования:
- средняя продолжительность цикла (в календарных днях) от момента идентификации изменений в уровне риска до внесения изменений в соответствующие процедуры и политики управления рисками;
- средняя продолжительность цикла (в календарных днях) от момента идентификации нарушения норм внутреннего контроля до момента информирования владельца соответствующего процесса;
- средняя продолжительность цикла (в календарных днях) от момента информирования владельца соответствующего процесса о нарушении до момента завершения расследования и разработки мер по устранению последствий;
3) кадры:
- число работников, занятых полный рабочий день, которые задействованы в процессе "управление внутренним контролем" в расчете на 1 млрд долл. США доходов организации;
- число работников, занятых полный рабочий день, которые задействованы в процессе "установление процедур и политики внутреннего контроля" в расчете на 1 млрд долл. США доходов организации;
- число работников, занятых полный рабочий день, которые задействованы в процессе "управление и мониторинг соответствия внутренним процедурам и политикам" в расчете на 1 млрд долл. США доходов организации;
- число работников, занятых полный рабочий день, которые задействованы в процессе "отчетность о соответствии внутреннего контроля процедурам и политикам" в расчете на 1 млрд долл. США доходов организации;
4) прочие:
- процент полностью автоматизированных средств контроля;
- количество нарушителей процедур и политик внутреннего контроля в расчете на 1000 работников организации;
- количество первичных средств контроля на 1000 работников организации;
- количество случаев за год, когда работники организации использовали существующие каналы коммуникации для информирования о подозрительных действиях в расчете на 1000 работников организации.
Каждый из перечисленных подходов имеет свои преимущества и недостатки.
Таблица 2
Характеристика преимуществ и недостатков
в подходах к оценке эффективности внутреннего контроля
Необходимо констатировать, что на сегодня единство отсутствует как по вопросу оценки эффективности внутреннего контроля, так и относительно того, как наилучшим образом интегрировать различные подходы в оценке эффективности внутреннего контроля. Отсутствуют как классификация подходов и методов оценки эффективности внутреннего контроля, так и сама идея гибкого использования различных подходов и методов с учетом отраслевой, региональной и иной специфики объекта оценки.
При составлении интегральной оценки эффективности системы внутреннего контроля наиболее удачным представляется синтез различных подходов, в рамках которого можно было бы объединить методики оценки различных подсистем внутреннего контроля, находящихся на различных стадиях развития системы внутреннего контроля (см. рисунок).
Модель интегральной оценки эффективности внутреннего контроля
Преимущество интегрального подхода к оценке эффективности заключается в гибком применении различных подходов к оценке, сравнение результатов которых поможет повысить общую точность выводов. Представляется очевидным, что, если при решении одной задачи разными методами получается одинаковый результат, такому выводу можно верить в большей степени, чем если пользоваться только одним методом решения. Применение сразу нескольких подходов снижает общий риск неверной оценки эффективности систем внутреннего контроля.
На каждой из стадий развития системы внутреннего контроля соответственно большую значимость приобретают различные аспекты этой системы. Если на первоначальных этапах важнейшим фактором развития является состояние структуры и ресурсов внутреннего контроля, то на поздних стадиях более весомыми в рамках интегральной оценки эффективности внутреннего контроля становятся качество процессов и результаты внутреннего контроля (табл. 2).
Таблица 2
Структура весовых коэффициентов различных групп показателей в зависимости от стадии развития
системы внутреннего контроля по модели зрелости
Уровень зрелости |
Структура и ресурсы внутреннего контроля |
Процесс внутреннего контроля |
Результаты внутреннего контроля |
0. Несуществующий |
X0 |
Y0 |
Z0 |
1. Начальный/повторяющийся эпизодически и бессистемно |
X1 |
Y1 |
Z1 |
2. Повторяющийся, но неупорядоченный (базирующийся на интуиции) |
X2 |
Y2 |
Z2 |
3. Определенный |
X3 |
Y3 |
Z3 |
4. Управляемый и измеряемый |
X4 |
Y4 |
Z4 |
5. Оптимизированный |
X5 |
Y5 |
Z5 |
Заключение
Таким образом, как показало исследование, только синтез различных подходов в оценке эффективности внутреннего контроля может повысить точность интегральной оценки эффективности внутреннего контроля. Сочетание методов интервьюирования, сравнения со стандартами и нормативами, а также бенчмаркинг показателей эффективности внутреннего контроля и аудита способствуют составлению более полного представления о состоянии и эффективности функционирования систем внутреннего контроля и аудита.
Литература
1. Донцова Л.В., Шарамко М.М. Аудит эффективности: информационное обеспечение и нейросетевые модели // Управленческий учет. 2014. № 4. С. 96 - 103.
2. Донцова Л.В., Шарамко М.М. Совершенствование инструментов и методов аудита эффективности интеллектуальной собственности // Экономические и гуманитарные науки. 2014. № 10 (273). С. 35 - 45.
3. Казакова Н.А., Ефремова Е.И. Концепция внутреннего контроля эффективности организации. М.: ИНФРА-М, 2015.
4. Казакова Н.А., Федченко Е.А, Белякова Э.И. Актуальные направления совершенствования государственного контроля // Финансы и кредит. 2012. № 19. С. 35 - 41.
5. Керимов В.Э. Организация внутрихозяйственного контроля рисков в экономических субъектах // Вестник Российского экономического университета им. Г.В. Плеханова. 2014. № 4. С. 44 - 51.
6. Казакова Н.А., Федченко Е.А., Белякова Э.И. Актуальные направления совершенствования государственного контроля [Текст] // Финансы и кредит. 2012. № 19 (499). С. 35 - 41.
7. Internal Control – Inntegrated Framework - 2013.
8. Enterprise Risk Management - Integrated Framework - 2004.
9. Информация Минфина России по организации и осуществлению внутреннего контроля № ПЗ-11/2013, Письмо Минфина России от 25.12.2013 № 07-04-15/57289.
10. Постановление Правительства РФ от 23.09.2002 № 696 "Об утверждении Федеральных правил (стандартов) аудиторской деятельности" [Электронный ресурс]. Доступ из справ.-правовой системы "КонсультантПлюс".
11. Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с госучастием, утвержденные Приказом Росимущества от 04.07.2014 № 249 [Электронный ресурс]. Доступ из справ.-правовой системы "КонсультантПлюс".
12. Информация Минфина России по организации и осуществлению внутреннего контроля № ПЗ-11/2013, Письмо Минфина России от 25.12.2013 № 07-04-15/57289.
13. Методические рекомендации по осуществлению внутреннего финансового контроля, направленные Письмом Министерства финансов Российской Федерации от 19.01.2015 № 02-11-05/932 [Электронный ресурс]. Доступ из справ.-правовой системы "КонсультантПлюс".
14. Оценка развития внутреннего аудита (DAIAT) Австралийской независимой комиссии против коррупции (ICAC).
15. Открытые стандарты в области внутреннего контроля (OSBC) Американского центра производительности и качества (APQC).
16. Стандарт "Задачи управления для информационных и смежных технологий" (COBIT) Ассоциации аудита и контроля информационных систем (ISACA).
17. Концепция оценки качества внутреннего аудита (IAQAF) Казначейства Великобритании (HM Treasury).
18. Глобальный обзор по внутреннему аудиту (GIAS) Института внутренних аудиторов (IIA).
19. Ежегодный отчет по бенчмаркингу Глобальной аудиторской информационной сети (GAIN) Института внутренних аудиторов (IIA).