КФО №4 2011
КФО №4 2011
Корпоративная финансовая отчётность. Международные стандарты.
Журнал и практические разработки по МСФО и управленческому учету.
В наличии и эффективной работе на практике системы внутренних контролей (далее – СВК) отчитывающегося предприятия заинтересованы все стороны, пользующиеся его отчетностью, составленной по стандартам МСФО. В первую очередь это собственники компании, которые несут наибольшие риски и могут пострадать (материально и репутационно) в случае неэффективности работы внутренних контролей, не говоря уже о ситуациях, когда контроли вовсе не разработаны и отсутствуют.
Другие пользователи отчетности – это потенциальные инвесторы, кредиторы, поставщики, клиенты, сотрудники. Все они заинтересованы, чтобы отчетность предприятия, с которым они каким-либо образом связаны, не была предметом мошенничества и не содержала существенных ошибок, сокрытия растрат, злоупотреблений и неэффективности менеджмента.
Ведь высокая цель МСФО по предоставлению пользователям прозрачной, нейтральной и объективной информации не будет достигнута, если, например, в финансовой отчетности (далее – ФО) содержится предвзятая и односторонняя трактовка хозяйственных событий (как, скажем, неоправданно ускоренное признание выручки) или преднамеренно опущены важные раскрытия о событиях после отчетной даты – даже если при этом менеджментом соблюдается видимость выполнения всех требований стандартов МСФО.
Именно поэтому для каждого предприятия и его собственника критичным является построение СВК над процессом составления ФО. Эффективная СВК не может, конечно, полностью устранить мотивацию исказить отчетность (если, например, она существует у менеджмента ради крупного годового бонуса или для сохранения своей руководящей должности), но она может в существенной степени устранить возможности для совершения подобных манипуляций.
Справочно
В некоторых странах, например в США, аббревиатура ICOFR (Internal Controls over Financial Reporting) знакома всем инвесторам, а независимый аудит СВК является неотъемлемой отдельной частью ежегодного аудита публичных компаний США.
Там еще в 2002 г. конгрессом был принят закон (известный как акт Сарбейнса – Оксли) The Public Company Accounting Reform and Investor Protection Act, значительно усиливающий ответственность компании и даже лично ее топ-менеджмента за наличие и функционирование эффективной СВК над ФО.
Нарушение требований этого акта может привести к уголовному преследованию первых руководителей компании, которые лично подписывают («сертифицируют») регулярный отчет о состоянии внутренних контролей в своей компании и об отсутствии случаев мошенничества или манипуляций с отчетностью (Management’s Responsibility for Internal Control).
В статье мы сконцентрируемся на сугубо практических аспектах построения эффективной системы контролей. Мы не будем рассматривать внутренние контроли, обеспечивающие соблюдение предприятием различных законов, норм и кодексов (так называемые комплаенс-контроли), или контроли, призванные обеспечить высокую операционную эффективность деятельности компании и нормативов (так называемые операционные внутренние контроли).
Обычно под СВК над ФО понимают совокупность процедур и процессов, направленных на недопущение искажения ФО и осуществляемых под надзором руководства самой отчитывающейся компании.
Покровителем («спонсором») СВК должны быть основные исполнительные и финансовые должностные лица компании. Непосредственно поддерживать СВК и тестировать ее эффективность должны назначенные высшим руководством лица, регулярно выполняющие подобные функции (например, сотрудники службы внутреннего аудита). Целью эффективного функционирования СВК в целом является обеспечение разумной уверенности в отношении достоверности ФО, а целями основных видов индивидуальных контрольных процедур является обеспечение:
– наличия первичных записей и документов, которые в разумных деталях, достоверно и точно отражают сущность хозяйственных операций и порядки использования активов компании;
– достаточной уверенности в том, что все операции отражаются в соответствии с порядком, предписанным принятыми принципами бухгалтерского учета и отчетности (например, в соответствии со стандартами МСФО);
– поступления экономических выгод и осуществления расходов компании только в соответствии с разрешениями соответствующих руководителей компании;
– предотвращения или своевременного обнаружения несанкционированного приобретения, использования или выбытия активов компании, которые могут оказать существенное влияние на показатели ФО.
Рассмотрим конкретные задачи, которые должна решать СВК в отношении отдельных элементов ФО. В отношении представленных компанией в своем отчете о финансовом положении (ОФП) активов стоит задача убедиться в том, что:
– они фактически имеются в наличии;
– предприятие имеет право собственности (или контроля) над ними;
– указанные по определенной стоимости активы с большой степенью вероятности принесут предприятию будущие экономические выгоды как минимум в этом размере (т. е. не обесценились и отражены по «правильной», консервативной стоимости);
– все активы, имеющиеся у предприятия, указаны полностью, без пропусков;
– их срок полезного использования оценен адекватно и, следовательно, амортизация начисляется исходя из разумных сроков эксплуатации актива;
– при изменении способа использования актива соответствующим образом были пересмотрены способ и срок амортизации.
В отношении обязательств и расходов задача СВК заключается в обеспечении разумной уверенности в полноте их отражения, правильности измерения и правомочности авторизации их осуществления (сотрудниками от имени предприятия) соответствующим уровнем менеджмента.
К сожалению, работа по построению СВК не является конечным проектом, т. е. после ее разработки и внедрения она сама не будет бесконечно долго и правильно работать без регулярной поддержки. Даже при наличии правильно идентифицированных рисков и построении соответствующей им грамотной системы превентивных, определяющих и корректирующих контролей все равно требуется постоянная работа по поддержанию СВК. Это обусловлено большой зависимостью от человеческого фактора, наличием огромного количества единичных разнообразных хозяйственных операций и возникновением новых ситуаций, в которых возможны прямое мошенничество сотрудников, манипуляции менеджмента с отчетностью или компьютерные и непреднамеренные человеческие ошибки.
Целью превентивных контролей является намерение компании предотвратить нежелательные для нее события или сдержать их развитие. Это активные контроли, которые помогают предотвратить потери. Примерами превентивных контролей являются:
– разделение обязанностей между сотрудниками – для исключения злоупотреблений и махинаций с отчетностью (в отсутствие такого контроля может возникнуть риск хищения денежных средств и соответствующего искажения отчетности, когда, например, один и тот же сотрудник полностью готовит платежные документы и отвечает за сверку с банком);
– система внутренних согласований (например, с другими функциональными подразделениями);
– правила, требующие получения надлежащего разрешения от своего руководителя для совершения определенных действий в рамках установленных лимитов полномочий;
– наличие надлежащей документации (например, специальные форматы ваучеров или других бланков строгой отчетности для исключения легкодоступных сотрудникам фальсификаций; отсутствие подписанных пустых бланков; заранее пронумерованные бланки документов, отпечатанные типографским способом для обеспечения целостности порядковых номеров и т. п.);
– система физического контроля над сохранностью активов.
Определяющие контроли предназначены для обнаружения нежелательных действий сотрудников после того, как эти действия уже совершились. Определяющие контроли, свидетельствуя о факте произошедших потерь, не предназначены для их предотвращения. Примерами таких контролей являются:
– плановые и внезапные проверки руководством деятельности своих сотрудников;
– различные анализы (например, соотношение финансовой и подлежащей нефинансовой информации, коэффициентный анализ, расследование неожиданных результатов в отчетности или необычных данных, план-факторный анализ);
– различные сверки (например, данных управленческой отчетности и ФО по сегментам бизнеса, данных из учетных систем компании с внешними источниками или контрагентами);
– инвентаризации (например, для проверки наличия запасов и основных средств, числящихся на балансе компании);
– аудит (внутренний и внешний).
Корректирующие контроли нацелены на исправление уже допущенных конкретных ошибок с целью коррекции ситуации, восстановления объективной картины бизнеса и устранения искажений в отчетности (например, корректирующие внутригрупповые сверки оборотов и балансов, в ходе которых выверяются и исправляются записи по деятельности между филиалами и дочерними компаниями отчитывающегося предприятия).
Все три типа контролей имеют важное значение для эффективной работы СВК в целом. С точки зрения поддержания качества отчетности превентивные контроли имеют особенно важное значение, потому что они активны по своей природе (требуют конкретных действий от сотрудников и (или) руководства) и подчеркнуто нацелены на поддержание качества как производственного процесса, так и отчетности, получаемой в его результате. С другой стороны, определяющие контроли играют важную роль для предоставления доказательств того, что превентивные контроли действительно функционируют как положено и предотвращают как потери бизнеса, так и искажения в его отчетности. Такая специфическая контрольная деятельность, как контроль над информационными системами, может быть как превентивной, так и определяющей (в силу самой природы ИТ-среды).
Помимо внедрения системы контролей, которые снимают или уменьшают конкретные риски (например, требование наличия подписи-разрешения руководителя на счете-фактуре от поставщика перед тем, как бухгалтерия подготовит платежные документы), возможно и проведение других мероприятий, которые в целом способствуют укреплению СВК предприятия. К ним, в частности, относятся:
– регулярное составление отчетности. Если отчетность составляется не один раз в год, а ежеквартально или даже ежемесячно, то это позволяет существенно снизить риски человеческих и машинных ошибок в силу более частого применения контрольных процедур и в связи с этим повышения вероятности обнаружения просмотров или несоответствий;
– быстрое закрытие. Процедура быстрого закрытия и формирования отчетности невозможна без четких регламентов и конкретных процедур, где каждое подразделение и даже сотрудник знает свою задачу в процессе формирования ФО. Такая четкость дисциплинирует составителей отчетности, каждый из которых, как в проектной цепочке, ожидает определенную информацию по своей секции от ее поставщика и развивает в связи с этим свое ожидание как абсолютных цифр, так и их соотношений (например, к факту прошлого года и к плану отчетного периода) и различных коэффициентов.
Для того чтобы правильно и эффективно начать работу по построению СВК над ФО, необходимо вначале проанализировать и оценить статус в «нулевой точке». Возможно, какие-то контрольные процедуры уже существуют в компании и без их формализации, документирования и назначения сотрудников, ответственных за их разработку и поддержание (например, специалистов службы внутреннего контроля или службы внутреннего аудита). В процессе выявления и анализа имеющихся недостатков необходимо сразу же, не откладывая в долгий ящик, начать думать о дизайне конкретных процедур СВК, которые позволят их определить, а также разрабатывать мероприятия по наиболее эффективному устранению и недопущению обнаруженных недостатков в будущем.
Те же шаги, которые предпринимаются в начале процесса построения системы контролей, необходимо будет выполнять и в случае, когда потребуется составление отчета менеджмента о функционировании внутренних контролей на предприятии (например, по требованию совета директоров, акционеров, кредиторов или при формировании отчетности в соответствии с законодательством определенной юрисдикции, как, например, для публичных компаний в США).
Представим эти этапы в виде табл. 1.
Таблица 1
Этапы анализа и план мероприятий по оценке, построению и улучшению СВК
Этап |
Мероприятия |
Планирование и сфера охвата процесса оценки |
Внедрить процесс оценки внутренних контролей, назначить ответственного исполнителя. Определить все финансовые отчеты – предметы внутренних контролей. Определить уровень материальности для каждого отчета. Определить наиболее значительные счета плана счетов, регулярно используемые в ФО допущения и основные типы хозяйственных сделок. Построить мэппинг (таблицу соответствия) счетов плана счетов и основных сделок. Определить организационный подход (кто, что и когда тестирует) |
Формализация внутренних контролей |
Задокументировать и прояснить понимание, полезность и значение уже существующих внутренних контролей для всех значительных счетов, групп счетов и хозяйственных транзакций |
Оценка дизайна и операционной эффективности системы контролей |
Оценить дизайн и операционную эффективность существующей СВК над процессом подготовки ФО. Задокументировать результаты оценки |
Определение и устранение недостатков |
Определить, сгруппировать и оценить недостатки, отдельно относящиеся к дизайну и к операционной эффективности индивидуальных внутренних контролей. Обобщить выводы. Исправить ошибки в контролях и устранить недостатки |
Подготовка отчета |
Подготовить для совета директоров или акционеров письменный отчет руководства по обеспечению функционирования эффективности СВК над подготовкой ФО |
Из этого плана становится очевидно, что выполнять их должен топ-менеджмент компании, и поэтому именно он отвечает за построение эффективной СВК.
Руководство компании не может делегировать эту задачу внешним консультантам, управленцам среднего звена, службе внутреннего контроля или внешним аудиторам. Высшее руководство компании должно выступать покровителем процесса построения системы контролей, при этом умело делегируя технические полномочия специалистам (например, сотрудникам службы внутреннего аудита).
Каждый из этапов, описанный в табл. 1, требует от руководства значительных усилий. Проблема состоит в том, что построение СВК является не узкой задачей одного-двух специалистов, а мероприятием, охватывающим абсолютно все предприятие. При этом наверняка будет ощущаться сопротивление различных функциональных служб, которые будут считать, что разработка и внедрение СВК является задачей только бухгалтеров или финансистов компании. Напротив, каждый функциональный менеджер и руководители «под ним» должны нести свою личную ответственность за те внутренние контроли, которые зависят от них и были предписаны им в процессе внедрения СВК.
На первом этапе работ необходимо решить все основные организационные задачи, которые включают в себя – как лучшую практику – учреждение службы внутреннего аудита, которая в отличие от службы внутреннего контроля, отвечающей за соответствие требованиям и операционную эффективность, может сконцентрироваться исключительно на минимизации рисков, связанных с подготовкой ФО предприятия.
Во главу службы внутреннего аудита должен быть поставлен опытный и зарекомендовавший себя специалист, крайне желательно с опытом работы во внешнем или внутреннем аудите компаний такой же отрасли, как и отчитывающееся предприятие. Стандартами корпоративного управления рекомендуется, чтобы руководитель службы внутреннего аудита подчинялся напрямую совету директоров или хотя бы аудиторскому комитету компании, а не одному из исполнительных директоров компании, включая генерального или его заместителя по риск-менеджменту. Такая система подчинения позволит строить работу службы внутреннего аудита максимально объективно и добиться наибольшей независимости от исполнительного менеджмента, при этом участвуя во всех основных управленческих решениях.
Кроме того, рекомендуется, чтобы и другие члены команды службы внутреннего аудита были специалистами с соответствующим образованием и имели опыт работы в области финансов, информационных технологий, бухгалтерского учета или аудита. Должны быть и сотрудники, имеющие навыки и опыт управления проектами. Желательно, чтобы основные сотрудники СВА владели соответствующими сертификатами (например, дипломированный бухгалтер АССА, СРА или ДипИФР, сертифицированный внутренний аудитор или сертифицированный финансовый менеджер).
В любой крупной современной организации ИТ-контроли являются настолько важными, что как минимум один сотрудник СВА должен быть сертифицированным специалистом ИТ. Сбои в работе крупных ИТ-систем, особенно с «самописными» модулями-доработками, могут создать значительные риски искажений в процессе формирования ФО компании. Поэтому ИТ-специалист СВА должен быть компетентным в проведении симуляционного тестирования контролей используемых компанией различных ИТ-систем. Такое тестирование заключается в «прогоне» фиктивных операций, различных хозяйственных сценариев или вымышленных клиентов через тестируемую ИТ-систему и дальнейшем сравнении полученных результатов по таким «симуляционным» транзакциям с ожиданиями.
Помимо симуляционных тестов, предприятие должно разработать и внедрить следующие ИТ-контроли:
– Правила доступа сотрудников к различным типам информации, серверам и файлам.
– Физическая сохранность компьютерной техники и носителей информации (например, выдача гибких шнуров безопасности для ноутбуков сотрудников с целью избежать хищения техники и содержащихся служебных данных).
– Правила и регламенты разработки программного обеспечения и внесения изменений в него.
– Восстановление данных в случае катастрофических событий (например, пожар в серверном помещении и т. п.).
– Контроли, связанные с валидацией данных, выработанных сотрудником, специалистом смежного департамента (например, бюджетного) или руководителем.
– Контроли, связанные с обработкой данных и выдачей отчетов.
Другие чисто организационные шаги по построению СВК над ФО включают в себя:
– Обеспечение профессиональной подготовки и тренингов. Руководитель группы по внедрению СВК (или директор СВА) должен рассмотреть необходимость подготовки и обучения для всех сотрудников, которые будут вовлечены в процесс. Обучение должно быть адаптировано к уровню и виду участия в проекте по внедрению СВК, ожидаемых от участников (например, руководители функциональных подразделений и цехов, менеджеры проектов и отдельные специалисты, такие как бухгалтеры, риск-менеджеры или экономисты).
– Разработка шаблонов для документации. Необходимо разработать стандартные «рабочие бумаги» и формы, которые будут использоваться командой проекта для документирования различных процессов, их тестирования выводов по желательным типам внутреннего контроля для данного риска. Стандартизация шаблонов документации может быть достигнута путем автоматизации разработки документации. Такие электронные шаблоны, форматы и рабочие бумаги в дальнейшем значительно ускорят процесс работы специалистов с каждым из индивидуальных внутренних контролей.
– Формализация спонсорских и наблюдательных обязанностей топ-менеджмента. Необходимо обеспечить документирование роли топ-менеджмента как спонсора процесса разработки и внедрения СВК в компании. Следует заранее разработать форматы, по которым топ-менеджмент будет оценивать прогресс работы группы по внедрению СВК; определить, в какие сроки и как будет производиться мониторинг вех проекта; составить рабочий «календарь» – план действий. Работы по нахождению недостатков, выявлению рисков и разработке дизайна наиболее эффективных методов их предотвращения включают в себя многочисленные собеседования с множеством руководителей и специалистов из различных функциональных и линейных подразделений.
Необходимо как можно раньше составить грамотный график таких встречинтервью, который соответствовал бы течению операционных процессов внутри компании – от получения заказов от клиентов (для анализа периода признания выручки и наличия ее различных компонентов) до закупки сырья (для проверки правильности используемого метода расчета себестоимости реализуемой продукции) и далее через всю технологическую и операционную цепочку до составления ФО.
Вовремя составленный график собеседований, который транслируется респондентам заранее, вместе с запросом не только описать существующую ситуацию, но и подумать над способами устранения или уменьшения присутствующих в ней рисков, позволит владельцам соответствующих бизнес-процессов подготовиться к встрече со специалистом СВА по обсуждению СВК, релевантных для их подразделений, и тщательно продумать пути внедрения или совершенствования тех или иных внутренних контролей. Важным элементом практического управления процессом по построению СВК является проведение регулярных совещаний с детальным обсуждением так называемых статус-отчетов. Этот инструмент позволяет вовремя идентифицировать статус всех индивидуальных задач, шагов и этапов на пути к полному определению проблемных зон (с точки зрения достоверности ФО), группирования различных рисков и нахождения адекватных ответов в виде соответствующих элементов СВК, таких как превентивные или определяющие контроли. В процессе регулярного обсуждения статус-отчетов прорисовываются задачи на ближайшее и удаленное будущее с точки зрения успешного и своевременного завершения всего проекта по построению сильной СВК, а также решаются проблемы, которые подразделения не могут решить самостоятельно или просто выпустили из зоны своего внимания и контроля. Естественно, что такие «статусные» встречи должны быть занесены заранее в рабочие календари всех участников проекта по внедрению СВК в компании.
Необходимо обратить особое внимание на такой компонент процесса формирования СВК, как учреждение новых процедур документооборота и потоков информации, связанных с дизайном и функционированием СВК. В частности, необходимо:
– сформировать базу и каналы для транслирования информации о статусе работы по разработке и внедрению внутренних контролей в различных подразделениях от топ-менеджмента в сторону специалистов СВА и в направлении линейных и функциональных подразделений, а также каналов обратной связи, когда агрегированная информация и выводы поступают, например, от руководителя СВА в сторону топ-менеджмента;
– учредить процедуры мониторинга, обзора и контроля за внедрением и текущим функционированием СВК со стороны топ-менеджмента;
– внедрить механизм исправления недостатков в процессе реализации проекта по разработке и внедрению различных индивидуальных внутренних контролей;
– создать институт согласований специалистов СВК и всех заинтересованных сторон, а также получения окончательной авторизации со стороны топ-менеджмента по поводу практического осуществления того или иного контроля в том или ином подразделении.
Как мы уже упоминали, именно топ-менеджмент является ответственным за разработку и внедрение СВК, даже несмотря на то, что многие функции, такие как документирование рабочих процессов, выявление узких мест, идентификация рисков и др., выполняются на практике специалистами, например сотрудниками службы внутреннего аудита. Поэтому необходимо удостовериться, что в компании уже существует (или создается) процесс коммуницирования всей информации, относящейся к процедурам формирования СВК на самый верх: представителям топ-менеджмента, отвечающим за функционирование эффективной СВК.
В этом процессе должны быть предусмотрены возможности и документы, позволяющие соответствующим представителям топ-менеджмента производить обзор, давать комментарии или каким-то другим образом реагировать на документацию, суммирующую ход проекта по внедрению и поддержанию СВК. В этой же системе (скажем, отдельной базе на корпоративном интернет-портале) должна иметься возможность для специалистов СВА и руководителей подразделений реагировать на замечания топ-менеджмента и для самого топ-менеджмента – давать окончательное добро на внедрение или отказ от внедрения той или иной конкретной процедуры внутреннего контроля. При наличии такой системы сопровождения процесса можно будет всегда проанализировать адекватность выделения компанией тех или иных зон риска, вернуться к ним в будущем и, возможно, пересмотреть свои решения по дизайну и функционированию СВК в случае обнаружения ее частичной (или полной) неэффективности после внедрения на практике.
Компания должна определить для себя, какие суммы считаются материальными (существенными) для каждого отчета. Материальным должен считаться такой уровень ошибки или другого непреднамеренного искажения финансовой информации, который изменит мнение и решения руководителей компании или других пользователей данного финансового отчета в отношении бывших и (или) будущих экономических событий.
Эти уровни должны быть проанализированы и установлены специалистами, работающими над СВК, для того чтобы сформулировать именно те тесты внутреннего контроля, которые смогут предотвратить и (или) выявить все ошибки и искажения, превышающие данный, заранее предопределенный менеджментом уровень. Процедуры внутреннего контроля должны быть адекватными в смысле идентификации всех материальных событий и обеспечивать корректность их отражения в ФО.
При этом не нужно забывать, что материальность не только измеряется количественным порогом, но и имеет и качественные критерии. Например, кража материалов со склада на сумму меньшую, чем установленный «обычный» количественный уровень материальности, тем не менее сама по себе для целей индивидуальных определяющих тестов внутреннего контроля должна считаться материальным событием, так как мелкие кражи могут быть сигналом и свидетельством более крупных проблем, приписок, попыток сокрытия недостач, других видов экономического мошенничества и общей слабости и неэффективности всей СВК на предприятии.
Соответственно, разрабатываемые индивидуальные процедуры внутреннего контроля должны быть составлены с учетом такого их дизайна, который позволил бы им вскрывать, помимо крупных транзакций, события, потенциально ведущие к искажениям ФО в относительно небольших размерах, но по «опасным» причинам, таким как растраты менеджмента, пересортица, махинации со стороны клиентов, ущерб интересов третьих сторон или банальное воровство сотрудников. Такие события, помимо прямого ущерба компании, сами по себе могут вести к потенциально гораздо более материальным проблемам, таким как крупные судебные иски от пострадавших клиентов или защитников окружающей среды, санкции со стороны правоохранительных органов или государственных регулирующих органов, штрафам или даже отзыву лицензий и полной потере бизнеса.
Важно ли пользователям ФО понимать такие возможные последствия «небольших» искажений, а топ-менеджменту – отдавать себе отчет, что подобные явления могли бы быть вскрыты эффективными процедурами внутреннего контроля? Конечно, это риторический вопрос. Именно поэтому построение эффективной, всеобъемлющей СВК является необходимостью для любого серьезного бизнеса, который нацелен на долгосрочное и равномерное устойчивое развитие.
Так как сфера обзора и взгляд внешних аудиторов на финансовую отчетность компании шире, чем «угол обзора» топ-менеджмента, применяемый при оценке индивидуальных финансовых отчетов, то вполне закономерно, что топ-менеджмент, как главный внутренний пользователь отчетности, должен установить более низкий (а возможно, и гораздо более низкий, на целый порядок) уровень материальности для целей дизайна соответствующих внутренних контролей, чем устанавливают для себя внешние аудиторы в процессе проведения тестов по существу.
Более того, для разных индивидуальных внутренних контролей должны быть установлены различные уровни материальности – для того, чтобы быть адекватными и соответствующими природе и размеру индивидуальных статей, составляющих отдельные пулы элементов финансовых отчетов.
Например, при валюте баланса в 100 млн руб. внешние аудиторы могут установить порог материальности для статей ОФП на уровне 3 млн руб., но при этом компания для целей учреждения адекватной СКВ установит свой собственный уровень материальности в целом для ОФП в размере 0,5 млн руб., при этом для элемента «Здания и сооружения» такой уровень будет установлен в 300 тыс. руб., а для элемента ОФП «Дебиторская задолженность» – в 100 тыс. руб.
Говоря о качественных критериях установления уровня материальности, необходимо отметить, что на него оказывает влияние не только природа того или иного элемента ФО (например, любое воровство активов компании, а не только свыше 3 млн руб. должно считаться материальным), но и его особая «контролируемость» со стороны менеджмента. Например, если топ-менеджмент осуществляет тщательный мониторинг соблюдения бюджета операционных расходов, то все «подбюджетные» статьи могут требовать установления еще более низкого уровня материальности для целей установления адекватных им внутренних контролей. В этом отличие подхода к формированию понятий о пороге материальности для целей дизайна индивидуальных внутренних контролей от общепринятого определения материальности в отношении аудируемой ФО в целом.
Как известно, в процессе проведения внешнего аудита финансовой отчетности независимые аудиторы производят свою собственную оценку СВК проверяемой компании. Это требуется Международными стандартами аудита по ряду причин: для адекватного планирования самого аудита (в части определения сферы работ, отвечая на вопрос «Можно ли внешнему аудитору полагаться на СВК и, следовательно, сократить количество и глубину тестов «по существу»?»), для идентификации потенциальных слабых мест в отчетности компании (т. е. рисков, не снятых эффективной СВК), временных рамок проведения тех или иных процедур аудита и по ряду других причин.
В связи с этим вполне естественным с точки зрения организации процесса построения СВК, который включает в себя ее дизайн, детальную разработку и внедрение, является привлечение внешних аудиторов в качестве если не прямых консультантов (что может быть запрещено из-за необходимости поддерживать независимость внешнего аудитора по сущности и по форме отношений с клиентом), то хотя бы в качестве стороны, предоставляющей квалифицированное профессиональное заключение по уровню качества разработанной предприятием СВК.
В случае привлечения внешнего аудитора компании к процессу разработки СВК с самого начала, выгоды от такого сотрудничества, несомненно, получат обе стороны. Аудиторы получат доступ к процессу формирования СВК начиная с фазы ее планирования, что позволит им указать компании на необходимость разработки и внедрения определенных процедур внутреннего контроля, которые, как аудиторы знают исходя из истории работы с данным клиентом, часто вызывали в прошлом наибольшее количество проблем и ошибок в учете и финансовой отчетности. Если аудитор с самого начала был вовлечен в процесс разработки дизайна СВК, то, естественно, он сможет с большей уверенностью полагаться на ее использование и, как следствие, сократить объем своих собственных аудиторских процедур. А это является уже прямой выгодой для компании как в плане улучшения процесса формирования финансовой отчетности, так и снижения стоимости аудита и сокращения его сроков.
Очевидно, что в эффективной, работающей и мощной СВК заинтересованы обе стороны: и сама компания (по крайней мере в лице ее акционеров), и ее внешние аудиторы, поэтому их кооперация в процессе разработки СВК – это классический пример ситуации, когда обе стороны (и проверяющий, и проверяемые) однозначно выигрывают от тесного сотрудничества.
После того как менеджмент определит все виды индивидуальных отчетов, которые должны быть охвачены СВК, и установит соответствующие уровни материальности, необходимо заняться анализом и выделением тех счетов плана счетов или их групп, которые индивидуально или в совокупности с другими, связанными с ними счетами могут приводить к материальным отклонениям в отдельных финансовых отчетах компании.
В работе по определению таких «материальных» счетов должны внимательно рассматриваться как их количественные, так и качественные атрибуты.
Количественные характеристики основным, «отделяющим» критерием должны включать в себя вопрос, существует ли вероятность по принципу «больше да, чем нет» того, что учетная запись может содержать искажения (как в сторону преувеличения, так и преуменьшения действительных данных). При этом необходимо помнить, что речь идет не только об отдельных искажениях на данном счете плана счетов, но и о его способности оказать существенное влияние на финансовую отчетность в совокупности с другими подобными ошибками или манипуляциями в пределах данного счета.
Качественные характеристики выделения материальных счетов могут включать в себя:
– высокую волатильность или чувствительность данной хозяйственной деятельности или балансовой статьи, в расчет которых входит данный счет плана счетов;
– важность данной балансовой статьи или элемента отчета о прибылях и убытках для деятельности компании с точки зрения ее управления или целей регулирования с точки зрения различных ведомств и агентств по надзору подведомственных им учреждений (например, для банков в этом плане очень важны счета плана счетов, входящие в расчет различных нормативов для банков, от которых зависит отзыв их лицензии Банком России);
– статистику, опыт и знания о частоте и (или) величине прошлых ошибок на данном счете;
– восприимчивость данного счета к потерям из-за ошибок или мошенничества (например, умышленное манипулирование оценками и допущениями, используемыми в финансовых отчетах, или наличие информации о незаконном присвоении (в прошлом) активов, отражаемых на данном счете);
– расчетные сложности, связанные с учетом и отчетностью по данному счету (например, обязательства или активы по отложенным налогам, экологические обязательства, актуарные обязательства);
– вероятность значительного наличия условных обязательств, вытекающих из основной деятельности и отражаемых на данном счете (например, последствия судебных разбирательств, штрафы и т. п.);
– изменения в характеристиках или атрибутах данного счета (например, установленные компанией новые правила амортизации нематериальных активов после пересмотра характера их использования).
Группа, уполномоченная руководством компании разработать СВК (например, сотрудники СВА), должна понять и определить, какие конкретно финансовые утверждения (или так называемые management’s assertions – утверждения или «заверения» менеджмента) связаны с каждым из значительных счетов плана счетов и, следовательно, найдут через него свое отражение в ФО. Считается, что существуют следующие типы утверждений менеджмента, которые могут быть присущи многим счетам:
– Наличие и факт осуществления (Existence and occurrence). Это утверждение говорит пользователю отчетности о том, что все активы и обязательства действительно существуют по состоянию на отчетную дату, а также что все хозяйственные операции, попавшие и отраженные в отчетах о прибылях и убытках, о движении капитала и о движении денежных средств, на самом деле произошли за время отчетного периода.
– Полнота (Completeness). Все активы, обязательства и операции, которые должны были быть отражены в ФО, были полностью включены в нее; с другой стороны, никаких «воздушных» операций или остатков включено в отчетность не было.
– Права и обязанности (Rights and obligations). Все активы являются юридически принадлежащими компании (или контролируемыми ею, как в случае финансовой аренды), и все обязательства являются правовыми, договорными или конструктивными обязательствами компании.
– Оценка (Valuation). Все активы и обязательства компании были должным образом рассчитаны или оценены, и там, где это применимо, все расходы были правильно распределены (аллоцированы).
– Представление и раскрытие информации (Presentation and disclosure). Финансовые отчеты представлены в соответствующей стандартам отчетности (например, МСФО) форме, и все необходимые раскрытия осуществлены.
– Комплаенс (соблюдение законов – Compliance). Все отраженные в отчетности операции были осуществлены в соответствии с применимыми законами и правилами соответствующей юрисдикции. Эту концепцию можно объяснить следующим наглядным примером. Если компания, решив «сэкономить» на различных налогах, выдала своему руководителю большой бонус в виде беспроцентного займа на 20–30 лет или вообще списала выданные средства на фиктивные «представительские» или «консультационные» расходы, то руководитель СВК должен добиться отражения этой операции в ФО как расходов на компенсацию труда, а не займа или других видов расходов. Такого подхода, кстати, придерживаются и стандарты МСФО, которые также потребуют дополнительно отразить и понесенные финансовые расходы в связи с «упаковкой» транзакции в виде беспроцентного займа.
– Сохранность активов (Safeguarding). Все активы компании были в разумной степени достаточности защищены от мошенничества и злоупотреблений.
– Документирование (Documentation). Документация, подтверждающая все существенные хозяйственные операции и другие значительные для компании события, а также рабочие документы по тестированию внутренних контролей есть в наличии и легкодоступны для изучения и проверки.
Необходимо осознавать, что не все вышеперечисленные «утверждения» являются релевантными для каждого из значительных счетов плана счетов.
Например, с точки зрения построения СВК утверждение «Оценка» не будет релевантным для счета «Расчетный счет в банке», потому что баланс этого счета уже выражен в конкретной и четкой сумме в российских рублях и никакой дополнительной оценки или допущений со стороны менеджмента здесь не требуется (если не принимать во внимание маловероятную ситуацию частичной или полной потери этих денежных средств в связи с банкротством банка, в котором открыт расчетный счет, и последующей невозможностью их получения в процессе ликвидации или реорганизации банка; если вероятность таких событий все же имеется, то, возможно, от компании потребуется создать резерв даже под такой актив).
Так как каждому типу «утверждения» соответствуют свои определенные риски, то сотрудники СВА должны рассмотреть каждый значительный (как по сумме, так и по значимости для компании) счет плана счетов на предмет определения этих рисков и связанных с ними видов (пулов) существенных ошибок или искажений, которые могут происходить в рамках каждого утверждения. Этот шаг является наиболее важным при построении СВК. Результаты анализа и оценки утверждений в рамках каждого счета и определение соответствующих им рисков поможет менеджменту определить конкретные типы элементов внутреннего контроля, которые должны быть разработаны и внедрены для «защиты» данного счета.
Следующим шагом на пути учреждения СВК является определение основных транзакционных циклов. Под таковыми обычно понимают основные, повторяющиеся классы хозяйственных операций, которые существенно влияют на отдельные значительные счета плана счетов или группы счетов.
Важный транзакционный цикл – это один из регулярных бизнес-процессов компании, для которого количество и денежный объем присущих ему хозяйственных операций настолько велики, что если в данном бизнес-процессе произошла материальная ошибка, то она существенно исказит отчетность и, следовательно, повлияет на процесс принятия решений пользователями отчетности (в первую очередь менеджментом и (или) акционерами).
Например, транзакционный цикл «Выручка» является важным для любой компании и, соответственно, для ее СВК, потому что существенная ошибка в этом цикле может повлиять на несколько ключевых счетов (например, таких как выручка и дебиторская задолженность), которые, в агрегированном виде попав в финансовую отчетность, самым прямым образом влияют на экономическое поведение кредиторов, инвесторов, поставщиков и клиентов в отношении данной компании.
Каждая компания должна определить свои основные транзакционные циклы, прежде чем готовить полномасштабный дизайн СВК. Ниже приведены примеры таких транзакционных циклов с их обычными составными частями:
– «Управление человеческими ресурсами», включает в себя компоненты:
– Запасы:
– Информационные технологии:
Рассмотрим теперь соотношение транзакционного цикла и внутренних контролей, которые должные быть встроены для успешного функционирования этого цикла, на примере транзакционного цикла «Основные средства».
Тип контроля: «Разделение обязанностей».
– Сотрудник, ответственный за ведение журнала основных средств, не должен делать записи в главной книге.
– Выверка деталей журнала основных средств с контрольными счетами и внесение проводок в программу отделены друг от друга.
– Сотрудник, отвечающий за хранение и сохранность основных средств, не может принимать решения и самостоятельно проводить их физическую инвентаризацию.
– Сотрудник, ответственный за установление меток на основные средства, не может быть одновременно лицом, отвечающим за сохранность активов.
– Сотрудник, ответственный за поиск и возмещение отсутствующих основных средств, не может быть лицом, отвечающим за сохранность активов.
– Все покупки основных средств должны требовать соответствующего разрешения и не могут быть совершены каким-либо одним сотрудником.
– Все выбытия основных средств требуют соответствующего разрешения.
Тип контроля: «Необходимость получения надлежащего разрешения».
Имеются письменные процедуры для приобретения, получения, регистрации активов и управления запасами.
Тип контроля: «Наличие надлежащей документации».
– Учетные записи правильно идентифицируют и классифицируют активы.
– Прибыли и убытки от выбытия активов правильно записаны.
– Специальные акты и накладные составляются каждый раз, когда активы получены, проданы, перемещены, переданы, повреждены или утилизированы.
Тип контроля: «Система физического контроля над сохранностью активов».
– Активы застрахованы на адекватную сумму.
– Активы сразу при их оприходовании получают инвентарные номера.
– Активы, не обнаруженные во время инвентаризации, отражены в специальном журнале отсутствующих активов для дальнейшего расследования.
Тип контроля: «Проверка расчетов».
– Все поступления активов правильно оприходованы в правильной сумме.
– Капитализируемые затраты, необходимые для доведения актива до требуемого места и состояния готовности для эксплуатации, правильно добавлены к стоимости активов (в том числе прямые затраты и затраты на подготовку, сборку, капитализируемые проценты, обязательства по демонтажу активов и т. д.).
Тип контроля: «Сверка (реконсилиация данных из различных систем)».
Сверки сумм активов в журналах и главной книге фактически выполняются.
Тип контроля: «Инвентаризации».
– Плановые инвентаризации активов на самом деле выполняются.
– Внеплановые инвентаризации активов осуществляются каждый раз при смене сотрудника, ответственного за сохранность активов.