Ошибки в построении системы внутреннего контроля и аудита

Шестакова Е.В.,
кандидат юридических наук, генеральный директор
ООО «Актуальный менеджмент»

В период экономического роста многие компании не уделяли должного внимания системе внутреннего контроля и аудита, такая система либо отсутствовала, либо существовала «для галочки». В результате небольшие компании сталкиваются с кассовыми разрывами, ростом расходов и появлением убытков. Но от плохой системы внутреннего контроля и аудита страдают и большие компании, которые вынуждены продавать свои активы и совершать сделки слияний и поглощений, а ряд банков потеряли лицензию из-за недостоверных сведений в учете и отчетности. В этой связи ошибки в построении системы контроля и аудита могут быть фатальными для компании.

Ошибки в построении системы внутреннего контроля и внутреннего аудита и их исправление
Первой и основной ошибкой в построении системы внутреннего контроля и аудита является совмещение двух служб или двух обязанностей в рамках одной должности. Вместе с тем система внутреннего контроля предоставляет информацию учредителям, а внутренний аудит создается как для управленческих целей, так и для целей проверки достоверности бухгалтерского и налогового учета.

Подразделение или лица, ответственные за аудит, выполняют:
– проверку и оценку эффективности системы внутреннего контроля в целом и проверку выполнения решений органов управления;
– проверку достоверности данных бухгалтерской и налоговой отчетности;
– проверку полноты учетной политики, эффективности методологии бухгалтерского и налогового учета;
– проверку надежности функционирования системы внутреннего контроля, автоматизированных информационных систем;
– проверку достоверности, полноты, объективности и своевременности бухгалтерского учета, информации в отчетности, первичных документах, счетах-фактурах;
– другие задачи в соответствии с внутренними документами.

Служба внутреннего контроля обычно осуществляет следующие функции:
– выявляет риск убытков из-за несоблюдения правовых актов Российской Федерации, внутренних документов, стандартов, а также в результате наложения санкций и (или) применения иных мер воздействия со стороны надзорных органов;
– анализирует внедрение новых продуктов, услуг, продажи новых товаров, риски взаимодействия с теми или иными контрагентами, риски заключения сделок без проведения обязательных процедур согласования;
– координирует и участвует в разработке комплекса мер, связанных с нарушениями законодательства, хищениями;
– выявляет конфликты интересов, участвует в разработке внутренних документов, направленных на их минимизацию;
– анализирует показатели жалоб, обращений, заявлений.

Соответственно, совмещение задач внутреннего контроля и внутреннего аудита будет являться ошибкой. Такая ошибка приводит к следующим рискам:
– специалисты не справляются с полным объемом информации, проводят выборочную проверку регистров бухгалтерского и налогового учета;
– в связи с конфликтом интересов между руководством и учредителями учредители могут не обладать достоверной информацией;
– принятие неправильных управленческих решений.

Исправить данную ошибку можно, если четко разграничить подразделения внутреннего контроля и аудита, установить локальными актами их обязанности.

Второй распространенной ошибкой является отсутствие четких требований, памяток или инструкций для работников, осуществляющих внутренний контроль и аудит. Даже унифицированные операции работники делают с разной степенью ответственности; суды, руководствуясь одними и теми же нормами закона, принимают по аналогичным спорам диаметрально противоположные решения. Поэтому, не имея установленных норм и памяток, что конкретно проверять, на какие отраслевые моменты обратить внимание, очень трудно даже опытному специалисту не только увидеть проблему компании, но и сделать реальные предложения в отношении улучшения работы компании.

Третья ошибка связана с тем, что законодательные нормы постоянно меняются, но ни работники, ни служба внутреннего контроля не учитывают риски, которые могут возникнуть при изменении законодательства, например при увеличении штрафов, нарушении определенных законодательных норм.

Так, многие компании сознательно нарушали трудовое законодательство, не проводили специальную оценку условий труда в связи со значительными расходами на ее проведение. При этом штрафные санкции, предусмотренные в ст. 5.27 КоАП РФ, были незначительны – до 50 тыс. руб. Но с 2015 г. штрафы увеличились (табл. 1).

Поэтому в задачи контролирующих служб входит не только выявление нарушений, но и оценка рисков для компании.

Кроме того, с данной ошибкой связана еще одна – недооценка рисков, которые связаны с деятельностью компании. Например, с 2015 г. увеличили штрафы за нарушение санитарно-эпидемиологических требований к организации питания населения, которые предусмотрены в ст. 6.6 КоАП РФ. За названное правонарушение юридическое лицо теперь может быть оштрафовано на сумму от 30 тыс. до 50 тыс. руб., должностное лицо и ИП – от 5 тыс. до 10 тыс. руб. Ранее штрафы для юридических лиц составляли от 20 тыс. до 30 тыс. руб., для должностных лиц и ИП – от 2 тыс. до 3 тыс. руб. Но многие компании забывают, что за названное нарушение существуют и альтернативные наказания, которые более серьезны для компаний. Альтернативным наказанием для юридических лиц и ИП по-прежнему является административное приостановление деятельности на срок до 90 суток. А приостановление деятельности может обернуться серьезными проблемами для компаний.

Недооценка рисков может быть в различных отраслях, например в банковской сфере. Некоторые банки поплатились за наличие недостоверных сведений в отчетности, и у них отозвали лицензию. Поэтому для оценки рисков необходимо составлять матрицу рисков. В каждой компании матрица рисков может выглядеть по-разному.

Для целей ранжирования риска наиболее эффективным инструментом является матрица рисков, которая определяет характер риска в соответствии с его основными характеристиками: вероятностью наступления рискового события и степенью воздействия риска в случае его реализации.

В результате ранжирования риски, присущие инвестиционному проекту, распределяются по соответствующим ячейкам в матрице рисков (табл. 2).

Принимая во внимание результаты анализа чувствительности и сценарного анализа, для определения степени воздействия риска в случае его реализации
используется следующая шкала:

• нематериальное – 1 балл;
• незначительное – 2 балла;
• умеренное – 3 балла;
• значительное – 4 балла;
• критическое – 5 баллов (приказ Минэкономразвития России от 14.12.2013 № 741).

Еще одной распространенной ошибкой при построении системы внутреннего контроля и аудита является работа без специального программного обеспечения, по старинке, путем оценки документов на бумажных носителях. Вместе с тем сегодня прогресс ушел вперед, и например, оценить контрольные соотношения декларации по НДС, контрольные соотношения декларации по налогу на прибыль самостоятельно без использования программ невозможно.

Также проблемы в построении системы внутреннего контроля связаны с отсутствием календарей проверок, т.е. внутренние аудиторы и контролеры проводят проверки по итогам года или по указанию руководителя. Однако контроль должен быть постоянным, особенно если речь идет о бесперебойной работе компании, снижении рисков приостановки счетов, вызове руководства на комиссии в налоговый орган, спорах с проверяющими органами. Почему это важно?

Дело в том, что с 1 января 2015 г. изложен в новой редакции п. 3 ст. 76 НК РФ, в котором установлено право налогового органа заблокировать счет налогоплательщика, а также приостановить переводы его электронных денежных средств в случае непредставления налоговой декларации в течение 10 дней после окончания срока, предусмотренного для ее подачи. Таким образом, если контролирующая служба не будет отслеживать подачу деклараций, дачу пояснений вовремя, компания может столкнуться с серьезными проблемами. В этой связи контролирующие службы должны иметь рабочие календари, позволяющие оперативно проверить работу других служб и подразделений компании.

Отсутствие локальных актов
Локальные акты, регулирующие построение системы внутреннего контроля и аудита, не являются обязательными. Однако отсутствие локальных актов, регулирующих внутренний контроль и аудит, приводит к следующим рискам:
– сотрудники не берут на себя персональную ответственность за контрольные мероприятия;
– отсутствует матрица распределения обязанностей, и в этой связи не ясно, каким образом сотрудники, работающие в системе внутреннего контроля и аудита, взаимодействуют с другими подразделениями;
– работники других подразделений, особенно если это касается филиалов или дочерних компаний, не представляют документы в полном объеме, возникают конфликты интересов между различными подразделениями;
– подразделения пытаются доказать свою важность перед руководством, и реальная работа превращается в бюрократические процедуры, которые не ведут к повышению эффективности работы.

Еще одной проблемой являются нечетко выраженные компетенции той или иной службы, в результате происходит «задвоение функций» службы внутреннего контроля и внутреннего аудита. Кроме того, руководство данных подразделений может брать на себя излишние функции.

Приведем пример установления компетенций:
«В компетенцию Службы внутреннего контроля и аудита Общества входят следующие вопросы:
3.1.1) ежедневный контроль за финансово-хозяйственной деятельностью Общества;
3.1.2) предварительный контроль за совершением Обществом нестандартных операций (сделок), т.е. операций, не предусмотренных финансово-хозяйственным планом (бизнес-планом) и инвестиционной программой Общества;
3.1.3) последующий контроль за совершением Обществом операций (сделок), предусмотренных финансово-хозяйственным планом (бизнес-планом) и инвестиционной программой Общества;
3.1.4) проведение проверок соблюдения должностными лицами и работниками Общества требований законодательства, Устава и внутренних документов Общества;
3.1.5) выявление фактов нарушения должностными лицами и работниками Общества требований законодательства, Устава и внутренних документов Общества, а также предложение мер по их устранению;
3.1.6) информирование Совета директоров Общества о выявленных нарушениях требований законодательства Российской Федерации и внутренних документов Общества, о фактах незаконного использования информации, составляющей коммерческую или служебную тайну, инсайдерской информации, а также о нарушениях прав акционеров (инвесторов) Общества».

Таким образом, создание локальных актов, регулирующих вопросы построения системы внутреннего контроля и аудита, а также построение работы контрольных служб позволяют:
– избежать конфликта интересов;
– четко установить компетенции в системе внутреннего контроля и аудита;
– избежать «задвоения функций»;
– разработать четкие процедуры проведения контрольных мероприятий.

Рекомендуется следующее содержание данного локального акта: «Общие положения.
– Цели и задачи внутреннего контроля и аудита.
– Компетенция Службы внутреннего контроля и Службы аудита Общества.
– Права сотрудников Службы внутреннего контроля и Службы аудита.
– Обязанности сотрудников Службы внутреннего контроля и Службы аудита.
– Обязанности работников и должностных лиц Общества при осуществлении сотрудниками Службы внутреннего контроля и Службы аудита своих полномочий.
– Требования, предъявляемые к сотрудникам Службы внутреннего контроля и Службы аудита Общества.
– Отчетность Службы внутреннего контроля и Службы аудита Общества.
– Процедура утверждения и изменения положения».

Из данного плана видно, что полномочия двух служб разграничены, четко описаны обязанности сотрудников контролирующих служб и обязанности других работников.

Неправильное определение элементов внутреннего контроля
К неправильному определению элементов внутреннего контроля можно отнести отсутствие методических указаний, которые регулируют:

• сравнение фактических показателей с плановыми или сметными показателями;
• сопоставление показателей бухгалтерской отчетности и небухгалтерских данных;
• сравнение фактических показателей, определенных предприятием, и показателей, предварительно составленных аудитором.

Таким образом, отсутствие общей методологии не позволяет говорить об эффективной оценке работы компании в целом. Такая ошибка приводит к следующим рискам:
– оценка рисков только на основании текущих документов;
– отсутствие возможности понять, в чем заключается ошибка и когда она произошла; такая проблема, например, часто возникает при наличии ошибок в декларации по НДС или по налогу на прибыль за предыдущие периоды;
– отсутствие возможности оценить реальные риски, например, при приобретении активов; если не оценить риски убытков приобретаемого предприятия, то весь бизнес может быть поставлен под угрозу.

Второй ошибкой является неправильное установление выборки. Ведь если основные ошибки, допускаемые при ведении бухгалтерского или налогового учета, не попадут в выборку, то руководство не узнает о проблемах в компании.

Поэтому нужно осуществлять контроль как можно в более широких интервалах выборки, анализируя: совокупность данных, которые будут подвергнуты выборочному исследованию; элементы наибольшей стоимости и ключевые элементы; число элементов, подлежащих отбору для проверки; способ отбора элементов.

Еще одной проблемой при определении элементов контроля является неправильное определение существенности ошибки.

Как правило, уровень существенности устанавливается в процентах от значения строки отчетности. Например, организация ошибочно списала в расходы стоимость непроданного товара на сумму 100 руб. Такая же ошибка допущена и в налоговом учете. Согласно учетной политике существенными считаются ошибки, искажающие значение любой строки отчетности на 5% и более (табл. 3).

Искажение значения строк 2300 «Прибыль (убыток) до налогообложения», 2410 «Текущий налог на прибыль» и 2400 «Чистая прибыль (убыток)» отчета о финансовых результатах составило 9,09%, т.е. больше 5%. Ошибка является существенной.

Если же неправильно определить существенность ошибки, то это может повлечь следующие риски:
– доначисление налогов;
– выездная налоговая проверка;
– корректировка налоговой базы.

Еще одной проблемой является неправильное распределение центров финансовой ответственности и, соответственно, неправильное принятие решений. Финансовая ответственность всегда должна быть персонализированной, т.е. за управление конкретным объектом бюджетного управления отвечает конкретный человек. Приведем пример неправильного распределения финансовой ответственности.

Пример.
В компании возникла проблема систематической просрочки уплаты налогов. За начисление налогов отвечает главный бухгалтер, за платежную дисциплину – финансовый директор (рис. 1).

Поскольку налоги были начислены вовремя, но уплачены не вовремя, руководство компании на основании заключения службы внутреннего аудита привлекло к ответственности финансового директора. Основанием для наказания является невыполнение или ненадлежащее выполнение им трудовых обязанностей, закрепленных в должностной инструкции или трудовом договоре (ст. 192 ТК РФ). Финансовый директор был привлечен к ответственности в виде выговора, но оспорил выговор в судебном порядке.

Дело в том, что ошибку допустил подчиненный главного бухгалтера, который не вовремя передавал авизо и служебные записки.

В противном случае возможны риски:
– судебных споров;
– роста количества ошибок в учете.

В этой связи нужно четко разграничить ответственность между подразделениями.

Некорректное использование российских и международных стандартов внутреннего контроля
Еще одной распространенной ошибкой является неправильное применение российских и международных стандартов внутреннего контроля. Во-первых, сама отчетность по российскому учету и МСФО достаточно различается. Поэтому если оценивать ошибки в отчетности с точки зрения одних стандартов, то это может не быть ошибкой в других стандартах.

Пример.
Амортизация полученной разницы является одним из ключевых различий между МСФО и российскими стандартами бухгалтерского учета в части отражения в отчетности стоимости финансовых обязательств.

В отличие от МСФО, где переоценка основных средств «амортизируется», т.е. разница между суммой амортизации, рассчитанной на основе переоцененной балансовой стоимости актива, и суммой амортизации, рассчитанной на основе первоначальной стоимости актива, переносится на нераспределенную прибыль по мере эксплуатации актива.

Была произведена дооценка имущества.
Имущество стоило 10 млн руб.
В результате дооценки оно стало стоить 15 млн руб.
Амортизация в РБУ будет начисляться с 10 млн руб., а в МСФО – с 15 млн руб.

Использование стандартов может привести к двоякой ситуации, когда сам контролер не будет знать, как ему оценить ту или иную хозяйственную операцию. Международными профессиональными стандартами внутреннего аудита, с одной стороны, предусмотрено, что аудитор «обязан обладать достаточными знаниями для того, чтобы оценить риск мошенничества и то, каким образом организация управляет этим риском» (Стандарт 1210.A2). С другой стороны, в этом же Стандарте сказано: «В то же время не предполагается, что внутренний аудитор обладает компетенцией специалиста, чья основная функция заключается в выявлении и расследовании фактов мошенничества».

Таким образом, помимо международных стандартов или российских стандартов целесообразно подготовить собственный стандарт внутреннего контроля. Кроме того, необходимо четко установить в должностных обязанностях проверяющего, что он руководствуется локальными актами и учетной политикой компании.

К тому же, важно помнить, что помимо зарубежных стандартов проведения внутреннего контроля в некоторых отраслях законодательно установлены требования к проведению проверок. Так, Банком России в новой редакции Положения № 242-П закреплены следующие требования к положению о службе внутреннего контроля. Оно должно включать:
– цели, функции (права и обязанности) службы внутреннего контроля;
– статус службы внутреннего контроля в организационной структуре кредитной организации;
– методы деятельности службы внутреннего контроля, отвечающие требованиям настоящего Положения;
– подчиненность и подотчетность руководителя службы внутреннего контроля;
– распределение обязанностей между осуществляющими функции службы внутреннего контроля служащими в структурных подразделениях кредитной организации;
– обязанность руководителя службы внутреннего контроля информировать единоличный и коллегиальный исполнительные органы кредитной организации о выявленных нарушениях при управлении регуляторным риском.

В этой связи необходимо учитывать российские и зарубежные стандарты, одновременно обращая внимание на особенности, установленные законодательно.

Несоблюдение порядка проведения проверок
Несоблюдение порядка проведения проверок внутри компании может привести к следующим рискам:
– конфликт интересов между руководством и службами внутреннего контроля и внутреннего аудита;
– непоследовательное изложение результатов проведения проверки;
– недостоверные сведения, содержащиеся в отчетах о проведении проверки.

Также в качестве рисков могут быть наложены административные штрафы.

Например, часто нарушаются законодательные нормы, регулирующие ежедневные контрольные мероприятия.

Пример.
Компания, осуществляющая продажу драгоценных изделий, не проверила личности лиц, продала им драгметаллы на сумму более 1 млн руб. и не представила в Федеральную службу по финансовому мониторингу сведения об операциях, подлежащих обязательному контролю.

В соответствии с ч. 1 и 2 ст. 15.27 КоАП РФ неисполнение законодательства в части организации и (или) осуществления внутреннего контроля, не повлекшее непредставления сведений об операциях, подлежащих обязательному контролю, влечет предупреждение или наложение административного штрафа на должностных лиц в размере от 10 тыс. до 30 тыс. руб.; на юридических лиц – от 50 тыс. до 100 тыс. руб. В силу подп. 4 п. 1 ст. 6 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» операция с денежными средствами или иным имуществом подлежит обязательному контролю, если сумма, на которую она совершается, равна или превышает 600 тыс. руб. либо равна сумме в иностранной валюте, эквивалентной 600 тыс. руб., или превышает ее, а по своему характеру данная операция относится к скупке, куплепродаже драгоценных металлов и драгоценных камней, ювелирных изделий из них и лома таких изделий.

При этом была установлена причинно-следственная связь между нарушением порядка проведения внутренних проверок и непредставлением организацией сведений об операциях, подлежащих обязательному контролю. Однако именно внутренние проверки работы кассиров и продавцов могли выявить данные нарушения. Но служба внутреннего аудита проводила только проверку кассовой дисциплины.

Поэтому проверка должна быть комплексной, затрагивать не только кассовую дисциплину, т.е. соблюдение налогового законодательства, но и иные аспекты, такие как специальные требования к продаже драгоценных металлов.

Кроме того, нельзя без сбора документов сделать вывод или без анализа учетной политики обобщить результаты.

Поэтому рекомендуется использовать следующие этапы аудиторской проверки.

Желательно разработать схему проведения контроля. Например, такая схема установлена в РЖД (рис. 2).

Такая схема позволяет:
– четко понять все этапы контроля как исполнителю, так и службам;
– соблюдать порядок проведения контрольных мероприятий.

Неверное оформление результатов проверки
Неверное оформление результатов проверки может иметь следующие негативные последствия:
– неправильная оценка руководством рисков;
– увеличение рисков неплатежеспособности, снижения ликвидности;
– увеличение рисков привлечения компании к ответственности, в том числе и уголовной.

Пример.
В аудиторском заключении, которое ежемесячно представляется руководству, аудиторы указали, что в компании имеется незначительная просрочка в выплате заработной платы, не установлены денежный эквивалент просрочки и срок просрочки платежа.

В результате просрочка составила 2 млн 300 тыс. руб., срок – более двух месяцев вследствие чего директор был привлечен к уголовной ответственности.

При этом служба внутреннего аудита должна была указать на все риски, которые возможны для руководства.

Выплата работодателем заработной платы реже двух раз в месяц и контролирующими органами, и судом признается нарушением трудового законодательства, за которое работодатель может быть привлечен к трем видам ответственности:
– материальной, установленной ст. 236 ТК РФ, в виде уплаты процентов (денежной компенсации) работнику в размере не ниже одной трехсотой действующей в это время ставки рефинансирования Банка России от невыплаченных в срок сумм за каждый день задержки, начиная со следующего дня после установленного срока выплаты по день фактического расчета включительно;
– административной, предусмотренной ст. 5.27 КоАП РФ, в виде штрафа, административного приостановления деятельности или (в особых случаях) в виде дисквалификации должностного лица (как правило, руководителя предприятия);
– уголовной, предусмотренной ст. 145.1 УК РФ, в виде штрафа, либо лишения должностного лица права занимать определенные должности или заниматься определенной деятельностью, либо в виде принудительных работ, либо в виде лишения свободы (должностное лицо привлекается к уголовной ответственности при частичной невыплате заработной платы свыше трех месяцев или полной невыплате заработной платы свыше двух месяцев).

В этой связи отметим, что при составлении аудиторского заключения обязательно должны быть оценены риски в денежном эквиваленте, а также риски привлечения к ответственности и наступления неблагоприятных последствий для компании.

В заключение нужно отметить, что без системы внутреннего контроля и аудита многим компаниям просто невозможно пережить кризис, оценить риски, избежать штрафных санкций и иных негативных последствий. Даже если штат вашей компании не большой, то силами внешних или внутренних специалистов нужно постоянно проводить мониторинг рисков. В кризис многие компании предпринимают попытки развития новых направлений, но, чтобы новые направления не принесли убытков, необходимо заранее оценить риски и постоянно проводить мониторинг их реализации, а также обращать внимание на появление новых законодательных норм.

Литература
1. Кодекс об административных правонарушениях Российской Федерации от 30.12.2001 № 195-ФЗ.
2. Налоговый кодекс Российской Федерации от 31.07.1998 № 146-ФЗ.
3. Федеральный закон от 29.10.1998 № 164-ФЗ «О финансовой аренде (лизинге)».