Как оценивать эффективность системы внутреннего контроля



Опубликовано в журнале "Менеджмент в России и за рубежом" №4 год - 2011


Босалко Д.С.,
aспирант
Тихоокеанского государственного
экономического университета


Процесс управления предприятием был впервые разделен на этапы Анри Файолем и в настоящее время включает следующие основные стадии: планирование, организацию, руководство и контроль [1].


Планирование на предприятии необходимо для того, чтобы сформировать основные цели и определить пути их достижения. Чтобы организация могла оптимально распределить работу среди подчинённых, руководство должно создать условия и желания у людей для совместной работы по достижению целей компании, а контроль обязан оценить реальность поставленных целей и выяснить, каких результатов предприятие смогло достичь.



Усложнение бизнес-процессов предприятий, рост подвижности внешней среды, повышение роли человеческого фактора – вот основные причины повышения роли и многообразия функций контроля в современных условиях.


Контроль – это критически важная и сложная функция управления. Его цель – повышение общей эффективности деятельности и обеспечение её безопасности на предприятиях, предотвращение возможных конфликтов с внешней и внутренней средой.


Виды контроля чрезвычайно разнообразны. На микроэкономическом уровне, то есть на уровне управления экономической единицей (предприятием), различают внешний контроль, осуществляемый внешними по отношению к организации субъектами управления, и внутренний контроль, осуществляемый субъектами самой организации. В данной статье речь пойдет о внутреннем контроле [2].


В настоящий момент остро стоит проблема оценки адекватности внутреннего контроля на предприятии.


Теоретически данный вопрос недостаточно освещён.


Практики чувствуют нехватку методик, позволяющих оценить достаточность и адекватность осуществляемого на предприятии контроля.


Прежде чем перейти непосредственно к оценке адекватности контроля на отдельном предприятии, вернёмся к мысли, что контроль способен предотвращать конфликты с внешней и внутренней средой. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие, называть «рисками», а события, которые могут оказать позитивное воздействие, звать «возможностями» [3].


В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности изначально связаны специфические (свойственные) риски, и избежать их возможно только одним способом – не вступать в эту деятельность.


Однако можно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Внутренний контроль в данном случае – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного) риска [3].


Сам по себе контроль на предприятии представляет собой процесс выявления отклонений между фактическими значениями контролируемых показателей и плановыми или нормативными значениями. Другими словами, контроль выступает в качестве инструмента менеджмента для выявления отклонений контролируемых показателей от нормативных значений. При выявлении отклонений менеджмент осуществляет какое-то управляющее воздействие, фактическое значение становится равным или стремится к нормативному, риск снижается до приемлемого уровня.

– Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь?
– Неизвестно. Вроде бы с ней надежней…


Переформулируем вопрос.
– Уменьшится ли риск ограбления, если металлическую дверь поставить, а на замок не закрывать?
– Нет.
– Может ли установка металлической двери уменьшить риск ограбления?
– Нет, если дверь останется открытой; да – если дверь закрыта.
– Является ли контролем ежедневная проверка состояния двери перед уходом?
– Да.
– Усиливает ли установка металлической двери уровень контроля при условии ежедневной проверки перед уходом состояния двери?
– Конечно да [3].


Этот пример показывает важную характеристику внутреннего контроля: только с точки зрения целей процесса можно оценить адекватность включённых в него элементов контроля. Если цель – предотвратить взлом квартиры рядовым грабителем, то, возможно, будет достаточно установки металлической двери и ежедневной проверки перед уходом её состояния. Если же цель – остановить профессионального грабителя, то кроме двери может быть нужно установить дополнительно сигнализацию. С другой стороны, если мы уверены, что металлической двери достаточно, чтобы предотвратить ограбление (в городе нет профессиональных грабителей), нет смысла ставить сигнализацию, так как контроль будет избыточен (неадекватен).


Контроль будет адекватен тогда, когда по результатам деятельности (или отдельно взятого бизнес-процесса) отклонение фактического значения контролируемого показателя от нормативного будет стремиться к нулю. Математически это можно записать следующим образом:



где  – адекватность контроля;
* – контролируемый показатель;
* – фактическое значение контролируемого показателя;
 – нормативное значение контролируемого показателя.


В данном случае мы говорим, что контроль эффективен, так как позволяет своевременно обнаружить недостатки в деятельности предприятия и вовремя принять меры к их устранению (осуществить управляющее воздействие).




Мы рассматриваем контроль как элемент системы управления по целям. Соответственно, если меняются цели, то логично предположить, что должны меняться элементы контроля. Получается, что контроль неотъемлемо ориентирован на цели, должен подстраиваться под цели. В этом случае он будет помогать выявлять отклонения фактических значений контролируемых показателей от нормативных, давать возможность своевременно производить корректирующие воздействия и в итоге достигать установленных целей.


Для обеспечения эффективности внутреннего контроля он должен быть организован в систему.


Известно, что унификация требований к системе внутреннего контроля предприятий началась в 1985 г. в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций – AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учёту и отчётности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учёта (Institute of Management Accountants) была создана национальная комиссия по борьбе с недостоверной финансовой отчётностью, известная по имени первого своего председателя Джеймса С. Тредуэя как Комиссия Тредуэя.


Выпущенный ими в 1987 г. отчёт помимо других рекомендаций содержал призыв к перечисленным организациям – спонсорам Комиссии Тредуэя объединить усилия по достижению договорённости об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством


Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля» (Internal Control – Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора «концепцией COSO», «моделью COSO» или просто COSO [3].


Система внутреннего контроля (далее – СВК), по оценке COSO, состоит из пяти взаимосвязанных компонентов:
1) контрольной среды;
2) оценки риска;
3) контрольных процедур;
4) сбора и анализа информации и передачи её по назначению;
5) мониторинга.


Взаимодействие элементов в системе внутреннего контроля можно представить следующим образом:



Для того чтобы оценить эффективность системы внутреннего контроля, необходимо оценить все её вышеперечисленные элементы. Рассмотрим оценку эффективности такого элемента, как контрольные процедуры.


Контрольные процедуры (контрольные мероприятия, средства контроля) – это политики и процедуры, разработанные и установленные для гарантии того, что цели руководства будут достигнуты. Если говорить в терминах риск-ориентированного внутреннего контроля, то контрольные процедуры обеспечивают «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.


Примером контрольных процедур могут быть действия по авторизации и визированию чего-либо, разделение полномочий, проверка.


Оценка эффективности СВК осуществляется через оценку эффективности отдельных контрольных процедур бизнес-процесса. При этом алгоритм действий следующий:
- Сравнение типового и фактически существующего набора контрольных процедур в процессе.
- Формирование мнения о необходимости отсутствующих контролей.
- Выбор контролей для тестирования.
- Анализ дизайна, имплементации и исполнения контрольной процедуры с точки зрения её достоверности, доказательности и повторяемости.
- Формирование окончательного мнения об эффективности рассматриваемой контрольной процедуры.


Проиллюстрируем это примером. Рассмотрим процесс закупки материально-технических ресурсов (МТР) на предприятии. Предположим, мы знаем, что типовой набор контрольных процедур (далее – КП) в данном процессе имеет следующий вид:



 

Это наше (нормативное значение контролируемого показателя). Фактический же набор КП процесса  может иметь следующий вид (см. рис. 4):


Уже на данном этапе можно сделать вывод о неадекватности СВК процесса, необходимости отсутствующих контролей и регулирующего воздействия со стороны менеджмента, так как  Далее проводится оценка эффективности отдельных выбранных КП процесса.


При этом необходимо иметь в виду, что каждая контрольная процедура обладает следующими характеристиками: дизайном, имплементацией, исполнением.



 

Дизайн – это набор стандартных приёмов контроля, которые задуманы для применения в данной контрольной процедуре.


Имплементация – это то, как реализованы принципы дизайна в контрольной процедуре.


Исполнение – это то, как контрольная процедура исполняется фактически.


Для того чтобы дать оценку эффективности КП, необходимо оценить все три ее характеристики с точки зрения достоверности, доказательности и повторяемости.


Достоверность – точное и полное отражение операции в документе.


Доказательность – сохранение результатов контроля для последующего подтверждения.


Повторяемость – обеспечение одинакового исполнения контроля независимыми исполнителями и в разные периоды времени.


Каждая из характеристик КП определяется рядом признаков, каждый из признаков имеет вес.


Набор признаков и их вес необходимо разрабатывать для каждого предприятия индивидуально с учетом особицы его деятельности. Ниже как пример приведён возможный набор признаков для оценки дизайна контроля с точки зрения доказательности.


В процессе оценки признаку присваивается значение (например, от 0 до 10) в зависимости от его наличия, частичного наличия или отсутствия. Присвоение значения происходит по методу экспертных оценок (на сегодняшний день не исследована возможность применения других методов). Итоговая оценка дизайна, имплементации или исполнения по критерию достоверности, доказательности или повторяемости получается путем суммирования оценок всех признаков (табл. 1).




Итоговая оценка эффективности контрольной процедуры – это среднее арифметическое оценок её дизайна, имплементации и исполнения по критериям достоверности, доказательности, повторяемости.



Оценка СВК определяется как среднее арифметическое оценок контрольных процедур бизнес-процессов, по которым было принято решение исследовать эффективность системы внутреннего контроля.



Выбор средней арифметической для оценки СВК обусловлен простотой её применения, а также тем, что вес (значимость) контрольных процедур принимается равным (каждая из рассматриваемых КП одинаково важна, и недостатки в любой КП ведут в итоге к неэффективности всей СВК).


Выводы:
1. Система внутреннего контроля не может быть проанализирована вне анализа целей  организации. Иначе, если цели деятельности чётко не определены, система контроля организации теряет эффективность, так как всё подряд контролировать невозможно.
2. В систему внутреннего контроля входят пять элементов: контрольная среда, оценка риска, контрольные процедуры, информация и коммуникация, мониторинг. Для оценки эффективности системы внутреннего контроля необходимо оценить все ее элементы.
3. Оценка эффективности отдельной контрольной процедуры проводится путём оценки дизайна, имплементации и исполнения контрольной процедуры с точки зрения ее достоверности, доказательности и повторяемости.


Сформировавшаяся в организации система внутреннего контроля не всегда обеспечивает  надежность и эффективность. Уровень эффективности системы внутреннего контроля для каждого предприятия различен. На настоящий момент остается ещё много вопросов, требующих исследования. Так, например, существует вопрос выбора бизнес-процессов и контрольных процедур для оценки эффективности СВК предприятия, вопрос по определению признаков контрольных процедур при оценке дизайна, имплементации и исполнения, вопрос по присвоению веса каждому признаку и по шкале присваиваемых оценок. Не совсем ясна ситуация, как от количественных оценок перейти к качественным, выражающимся в терминах эффективности и неэффективности, достаточности и избыточности контроля.


Литература
1. Кузнецова Н.В. Контроль деятельности предприятия как важная составляющая управленческого процесса. – Материалы сайта smartcat.ru/Management/Capital.shtml
2. Менеджмент : современные основы организации контроля на предприятии / Л.А. Жигун. – Ростов-на-Дону : Феникс, 2007. – C. 12.
3. Тихомиров А. Ориентируясь на риски, или как оценивать внутренний контроль. Режим доступа: buhgaltery.ru/audit/audit/148/

19.03.2018

Также по этой теме: