Организационная структура внутреннего контроля

Шарамко М.М.,
кандидат экономических наук, докторант кафедры
анализа хозяйственной деятельности и аудита Российского
экономического университета имени Г.В. Плеханова

В статье анализируются проблемы, сложившиеся в практике организации внутреннего контроля в России. Рассматривается международный опыт создания архитектуры внутреннего контроля. Анализируется организационная структура внутреннего контроля исходя из целей, функций, ресурсов, субъектов, объектов и предмета внутреннего контроля. Предлагается набор типовых стратегий организации внутреннего контроля и механизм экспертной оценки комбинации используемых стратегий организации внутреннего контроля.

Сегодня в организационной структуре современных предприятий фигурирует значительное количество подразделений, связанных с внутренним контролем. Среди самых распространённых можно назвать подразделения внутреннего контроля, внутреннего аудита, оценки рисков, комплаенса. Практика организации внутреннего контроля в России сталкивается с тем, что потребность в учреждении новых структур внутреннего контроля опережает понимание того, как и зачем они будут работать в российских реалиях.

Эта ситуация повсеместно приводит к таким проблемам, как:
- фрагментация структуры внутреннего контроля;
- несоответствие и дублирование функций;
- трудности при разработке стратегии целостного развития системы внутреннего контроля;
- трудности оценки эффективности функционирования системы внутреннего контроля;
- трудности создания единой методологии организации внутреннего контроля;
- несоответствие нормативных и методических документов, необходимых для эффективной работы внутреннего контроля (стандарты, положения).

В систему внутреннего контроля сегодня могут входить разнообразные виды структур и подразделений. Например, на одном из отечественных предприятий действуют следующие структуры внутреннего контроля:
- ревизионная комиссия;
- комитет по аудиту при совете директоров;
- комитет по рискам при совете директоров;
- отдел производственного контроля при департаменте охраны труда, промышленной безопасности и экологии;
- отдел финансового планирования и контроллинга при планово-экономическом департаменте;
- отдел анализа и контроллинга при департаменте по управлению стратегическим развитием;
- отдел планирования и контроля технических работ при департаменте технических работ и лицензирования;
- отдел контроля договоров и ценообразования при департаменте отчётности и финансов;
- отдел мониторинга разработок и контроля качества при департаменте методологии внедрения и развития ERP-систем;
- отдел планирования и контроля продаж при департаменте розничных продаж;
- отдел управления запасами и контроля поставок при департаменте мелкооптовых продаж;
- отдел строительного контроля при департаменте капитального строительства;
- отдел финансово-экономического планирования и контроллинга при финансово-экономическом департаменте по переработке;
- отдел финансово-экономического планирования и контроллинга при финансово-экономическом департаменте по коммерции;
- служба внутреннего аудита при блоке главного аудитора;
- отдел оценки рисков при финансово-экономическом блоке;
- отдел комплаенса при департаменте внутреннего аудита по корпоративным функциям;
- департамент экономической безопасности и защиты информации;
- департамент внутренней безопасности;
- департамент корпоративной собственности.

Кроме того, обеспечение контроля дочерних и зависимых компаний осуществляется с помощью различных подразделений и структур внутреннего контроля, работающих как непосредственно внутри дочерних и зависимых компаний, так и на более высоком уровне управления.

Очевидно, что необходима разработка обоснованной стратегии организации системы внутреннего контроля.

Например, по стандартам Международного института внутренних аудиторов наиболее устойчивой и эффективной считается трёхуровневая модель внутреннего контроля (рис. 1).

Она включает три группы управления рисками и внутреннего контроля:
1) владельцы рисков, осуществляющие управление рисками на операционном уровне;
2) контроллеры, осуществляющие наблюдение, анализ и мониторинг рисков;
3) аудиторы, обеспечивающие независимую оценку функционирования всей системы внутреннего контроля.

На первой линии защиты операционные менеджеры отвечают за реализацию корректирующих действий и контроль отклонений. Оперативное управление отвечает за текущее своевременное поддержание эффективного внутреннего контроля по месту возникновения рисков, осуществляет руководство разработкой и реализацией внутренних регламентов и процедур.

В идеальном мире, возможно, только одной линии защиты было бы достаточно для обеспечения эффективного управления рисками. Однако в реальном мире её часто оказывается мало. Поэтому руководство организует специальные подразделения, которые контролируют первый уровень защиты.

Вторая линия защиты включает:
- функцию управления рисками;
- функцию комплаенс для соблюдения различных специфических рисков, таких, как несоблюдение законодательных требований;
- функцию контроля финансовых рисков и финансовой отчётности.

Эти функции необходимы для обеспечения того, чтобы первая линия защиты функционировала без отклонений и эффективно. Таким образом, вторая линия защиты является жизненно важной, но не может предложить по-настоящему независимый анализ для руководящих органов в отношении внутреннего контроля и управления рисками.

В качестве третьего уровня защиты внутренние аудиторы представляют руководителям высшего звена результаты комплексного анализа, основанного на более высоком уровне независимости и объективности по сравнению с другими подразделениями организации. Такой высокий уровень независимости недоступен для подразделений второй линии защиты. Внутренний аудит обеспечивает уверенность в эффективности управления рисками и внутреннего контроля, в том числе относительно того, каким образом первая и вторая линии защиты справляются с поставленными задачами.

Создание профессиональной структуры внутреннего аудита является обязательным требованием для всех организаций.

Организационная структура внутреннего контроля строится исходя из следующих основных аспектов внутреннего контроля (рис. 2):
- внешние и внутренние нормативно-правовые и регулятивные требования;
- цели внутреннего контроля;
- функции внутреннего контроля;
- ресурсы и инфраструктура внутреннего контроля;
- субъект внутреннего контроля;
- объект внутреннего контроля;
- предмет внутреннего контроля.

Одной из важнейших проблем нормативного обеспечения внутреннего контроля сегодня является недостаточное внимание к вопросам регулирования жизненного цикла внутреннего контроля в организации. В то время как этап создания подразделений внутреннего контроля и аудита, пусть недостаточно глубоко, но всё же освещается в соответствующих нормативных правовых документах, описание этапов реорганизации и ликвидации структур внутреннего контроля практически отсутствует.

Очевидно, структура внутреннего контроля не может оставаться неизменной и должна гибко реагировать на изменения как внешней, так и внутренней среды.

Неумение планировать развитие структур внутреннего контроля на практике приводит к двум крайностям:
1) структуры и подразделения внутреннего контроля в течение длительного периода остаются неизменными, постепенно утрачивая связь с кардинально меняющейся реальностью;
2) непрерывные реформы и реорганизации, когда в течение года в подразделении внутреннего контроля могут несколько раз поменять название, функционал, место в оргструктуре и руководителя, приводят к потере управляемости.

Необходимо помнить, что многие аспекты внутреннего контроля регулируются законодательно и не допускают произвольной трактовки. Но в ряде случаев существует возможность для динамичной перенастройки структур внутреннего контроля для повышения эффективности. В качестве основных стратегий организации структуры внутреннего контроля можно перечислить следующие:

1. Нормативная. В данной стратегии превалирует задача выполнения внешних нормативно-правовых и регулятивных требований к организации внутреннего контроля. Задачам внутреннего контроля, которые не связаны с выполнением данных требований, или придаётся второстепенное значение, или же они игнорируются.

Подразделения внутреннего контроля организуются только для того и таким образом, чтобы надлежащим образом выполнить предъявленные к организации требования в области внутреннего контроля. Данный подход отличается сравнительной простотой в реализации и пользуется популярностью в экстремальных ситуациях, когда, например, органы власти или акционеры требуют в кратчайшие сроки добиться желаемых результатов в области внутреннего контроля. Недостатком данного подхода является искусственный и неоптимальный характер организации внутреннего контроля.

2. Функциональная. Каждое подразделение внутреннего контроля организуется таким образом, чтобы выполнять одну или несколько функций внутреннего контроля, определённых в соответствии с поставленными высшим руководством целями. Такие подразделения обладают полным спектром полномочий по реализации закреплённых за ними функций. За реализацию одной функции должно отвечать только одно подразделение. Преимуществом данного подхода являются сравнительная простота и точность. Он особенно удобен для руководителей высшего звена, так как жёстко закрепляет ответственность за определённую функцию за конкретным исполнителем.

Недостатком данного подхода является необходимость тщательной формулировки целей внутреннего контроля во избежание пересечения сфер ответственности между разными подразделениями и ненужного дублирования усилий. Также становятся неизбежными конфликты между подразделениями в случаях, когда для выполнения закреплённых функций необходимо использовать общие ресурсы или осуществлять процедуры контроля в одних и тех же объектах внутреннего контроля (достаточно сложно определить приоритетность одной функции внутреннего контроля по отношению к другим функциям).

3. Ресурсная. Структура внутреннего контроля в первую очередь определяется наличием и распределением тех или иных ресурсов. На практике нередко случается так, что подразделение внутреннего контроля, которое имеет больше ресурсов (например, квалифицированных сотрудников или специфическое программное обеспечение), занимается любыми задачами, для решения которых данный ресурс необходим. В таких случаях официальное закрепление за подразделением функций или сферы ответственности либо носит формальный характер, либо постоянно корректируется, отражая перераспределение ресурсов между различными структурами внутреннего контроля.

В качестве преимуществ данного подхода можно назвать простоту и гибкость, когда для внезапно возникающих проблем быстро находят инструмент разрешения. В качестве недостатков очевидным выглядит хаотичный и чреватый конфликтами характер организации внутреннего контроля.

4. Объектная. При данном подходе чётко определяются все объекты внутреннего контроля и за каждым подразделением закрепляется один или несколько объектов как сферы их ответственности. Один объект закреплён только за одним подразделением во избежание конфликтов. Преимуществом такого подхода является простота и ясность в организации внутреннего контроля. Этот подход популярен на операционном уровне системы внутреннего контроля, когда за департаментами или производственными цехами закрепляется контрольное подразделение. При осуществлении такого подхода возникают трудности при попытке увязать общие цели и функции внутреннего контроля с работой подразделений, отвечающих только за определённый объект внутреннего контроля. Другими словами, данному подходу не хватает гибкости.

5. Предметная. Подразделения внутреннего контроля отвечают за предметные области независимо от того, в каких объектах внутреннего контроля они изучаются. Например, подразделение IT-аудита будет заниматься контролем информационных технологий во всех подразделениях организации. Подразделение по борьбе с коррупцией будет бороться только с коррупцией (и ни с чем иным) также во всех подразделениях организации. Необходимо видеть разницу между функциональной и предметной стратегией, так как в рамках осуществления функциональной стратегии подразделения могут произвольно менять предмет внутреннего контроля, в то время как в рамках предметной стратегии подразделения могут сочетать внутренний контроль таких предметных областей, которые не описываются в терминах одной функции. В этом подходе достаточно сложно отделить один предмет внутреннего контроля от другого, и на практике для осуществления процедур внутреннего контроля необходима информация о самых разных аспектах работы организации. В то же время такой подход может помочь при распределении обязанностей внутри более крупных подразделений внутреннего контроля. Также он достаточно прост в использовании при сквозных проверках по какой-то одной теме или одному определённому аспекту работы организации.

6. Комбинированная. На практике организации используют сочетание различных стратегий при организации внутреннего контроля, причём соотношение различных стратегий может существенно варьироваться в зависимости от условий внешней и внутренней среды организации. Необходимо помнить, что сочетание стратегий может быть сравнительно гармоничным или же, наоборот, неэффективным.

Таким образом, прежде чем заниматься оптимизацией структуры внутреннего контроля, необходимо выяснить, какой набор стратегий используется организацией.

Для этого можно составить таблицу 1.

Соответственно, если несколько подразделений внутреннего контроля привязаны к одному и тому же объекту внутреннего контроля, это означает, что принципы объектной стратегии не соблюдаются или соблюдаются не в полном объёме. Если одна и та же функция закреплена за разными подразделениями, это означает, что не соблюдаются принципы функциональной стратегии.

Нельзя точно ответить на вопрос, какая организационная структура внутреннего контроля является оптимальной. В каждый момент могут быть действенными различные подходы. Важным является ясное понимание сложившихся во внешней и внутренней среде условий и того, какая структура внутреннего контроля соответствует им в лучшей степени.

Комбинацию используемых стратегий можно оценить с помощью экспертных оценок и отобразить в виде полигона изменчивости (рис. 3).

Таким образом, при организации внутреннего контроля основное значение имеет выбор оптимальной комбинации соответствующих стратегий организации.

Литература
1. Донцова Л.В., Шарамко М.М. Аудит эффективности: информационное обеспечение и нейросетевые модели // Управленческий учёт. – 2014. – № 4. – С. 96–103.
2. Донцова Л.В., Шарамко М.М. Совершенствование инструментов и методов аудита эффективности интеллектуальной собственности // Экономические и гуманитарные науки. – 2014. – № 10 (273). – С. 35–45.
3. Казакова Н.А., Ефремова Е.И. Концепция внутреннего контроля эффективности организации. – М.: ИНФРА-М, 2015.
4. Казакова Н.А., Федченко Е.А., Белякова Э.И. Актуальные направления совершенствования государственного контроля // Финансы и кредит. – 2012. – № 19. – C. 35–41.
5. Керимов В.Э. Организация внутрихозяйственного контроля рисков в экономических субъектах // Вестник Российского экономического университета имени Г.В. Плеханова. – 2014. – № 4. – С. 44–51.
6. Казакова Н.А., Федченко Е.А., Белякова Э.И. Актуальные направления совершенствования государственного контроля [Текст] // Финансы и кредит. – 2012. – № 19 (499). – C. 35–41.
7. Internal Control – Integrated Framework – 2013.
8. Enterprise Risk Management – Integrated Framework – 2004.
9. ECIIA/FERMA Guidance on the 8th EU Company Law Directive, article 41.
10. Рекомендации Минфина России по организации и осуществлению внутреннего контроля. Письмо Минфина России от 25.12.2013 № 07-04-15/57289.
11. Постановление Правительства РФ от 23.09.2002 № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности».
12. Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с госучастием. Приказ Росимущества от 04.07.2014 № 249.
13. Методические рекомендации по осуществлению внутреннего финансового контроля. Письмо Минфина России от 19.01.2015 № 02-11-05/932.