Данный элемент СВА призван следить за соблюдением требований законодательства РФ, международного права и положений внутренних регламентов (инструкций) и прочих локально-нормативных актов в компании. Задачами правового аудита являются:

– соблюдение кадровой службой компании требований трудового законодательства Российской Федерации;

– правовой анализ внутри российских сделок на соответствие правилам российского законодательства;

– контроль внешнеэкономических сделок (импорт, экспорт), в целях соблюдения международного права и российского законодательства о внешнеэкономической деятельности и т. д.

Также помимо соблюдения компанией «строгого» следования «букве Закона», задачей правового аудита является соответствие фактического исполнения определенных процедур и бизнес-процессов, разработанным для этих целей регламентам, например, соответствие процесса отгрузки специально разработанному внутрикорпоративному Стандарту и т. д.

Цель всегда одна – оценить: насколько текущая деятельность соответствует нормам законодательствам РФ или локальным актам компании, и предоставить рекомендации по устранению рисков, в случае их обнаружения. При этом контролю могут быть подвергнуты не только бизнес-процессы, в части их соблюдения, но и сами внутренние регламенты и инструкции на наличие в них, например, конфликта интересов сторон и так называемой, «коррупционной составляющей».

Раздел 1.2. Взаимосвязь и взаимозаменяемость элементов СВА

Практика применения различных видов аудита, в зависимости от складывающихся обстоятельств, показывает, что в каждом из элементов СВА есть те или иные черты, которые четко прослеживаются в других смежных элементах.

Например, стратегический аудит, в общем его смысле, затрагивает в том числе и вопросы влияния смены ЕИО и ключевых должностей на изменение основных показателей компании, предопределяющих ее финансовую устойчивость и, соответственно, обуславливающих эффективность действующего руководства. Аналогичные вопросы подлежат исследованию также и в рамках процедур внутрикорпоративного, кадрового управления, которые присущи корпоративному и правовому внутренним аудитам.

В свою очередь, оценка и результаты влияния бизнес-процессов (проектов, хозяйственных операций, их совокупности) на показатели итоговой финансовой отчетности могут быть получены как при проведении соответствующих процедур операционного аудита, так и аудита финансовой отчетности.

Ну а вопросы, касающиеся соблюдения локальных актов (инструкций, методик, регламентов, стандартов), могут быть рассмотрены при проведении процедур операционного и правового аудитов.

Как видно, все виды (элементы) внутреннего аудита тесным образом связаны между собой, образуя единую Систему Внутреннего Аудита. При этом они могут быть частично заменены друг другом по смежным вопросам.

Следует обратить внимание, что интересной особенностью и отличительной чертой внутреннего аудита от, например, внешнего аудита, является, то обстоятельство, что процедуры внутреннего аудита могут проводиться в любое время, как до, так и после представления финансовой (управленческой/бухгалтерской) отчетности заинтересованным лицам, в том числе, и внешним пользователям (банкам, ИФНС, инвесторам). Процедуры же внешнего аудита, в классическом его понимании, осуществляются ретроспективно, т. е. уже по факту совершения хозяйственных операций, но об этом виде аудита, относящемуся ко второй линии защиты (согласно Модели трех линий защиты), мы поговорим в другой книге.

Раздел 1.3. Нормативное регулирование

На сегодняшний день в российском законодательстве отсутствуют нормы, обязывающие компании проводить внутренний аудит, и регулирующие порядок осуществления соответствующих процедур.

Единственное упоминание об обязанности экономического субъекта в организации и осуществлении внутреннего контроля всех фактов хозяйственной жизни, содержится в ст.19 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (далее по тексту – Закон о бухучете). Более подробно об этом сказано в информационном документе Минфина РФ №ПЗ-11/2013, доведенным до налогоплательщиков письмом того же ведомства от 25.12.2013 № 07–04–15/57289. Данный документ содержит рекомендации Минфина РФ об организации и осуществлении внутреннего контроля в компании.

Однако, как известно, письма различных ведомств не являются нормативно-правовыми актами законодательства РФ и необязательны к исполнению. Как говорил в подобных случаях Эраст Фандорин – главный герой шпионских детективов Бориса Акунина, перечисляя факты: «Это раз».

Ответственности за неосуществление требований статьи 19 Закона о бухучете не предусмотрено. Это два.

Также следует принять во внимание, что организация и осуществление внутреннего контроля подразумевает несение компанией дополнительных затрат (поиск и подбор квалифицированных специалистов для формирования Команды (службы внутреннего контроля), их зарплата, налоги и накладные расходы, в том числе, командировки в филиалы и пр.). Это три.

Совокупность этих обстоятельств, а именно: не обязательность исполнения информационных документов и писем ведомств исполнительной власти РФ; отсутствие ответственности и нежелание нести дополнительные расходы являются основной причиной, по которой многие компании не заботятся об исполнении требований статьи 19 Закона о бухучете. Ну а если, все-таки, и исполняют их, то достаточно формально, обходясь наличием локального акта, содержащего весьма общие правила проведения внутреннего контроля.

При этом, как вы успели заметить, рекомендации ведомства касаются организации и осуществления именно внутреннего контроля в компании, а не внутреннего аудита. То есть, по сути, Минфин РФ в своих рекомендациях говорит о том, что компании, подлежащие обязательному (внешнему) аудиту, должны выстроить внутренний контроль, эффективность которого и предстоит оценить внешним аудиторам. Поэтому в контексте рассматриваемого вопроса, считаю необходимым уделить немного внимания порядку организации внутреннего контроля в компании.

Итак, в небольших компаниях, собственники все обо всем и обо всех знают и могут управлять фирмой без помощи «специально обученного» специалиста и уж тем более целого отдела.

В больших компаниях ситуация иная. Необходимость создания отдела внутреннего контроля или приема в штат специалиста может быть обусловлена расположением филиалов или дочерних юридических лиц в регионах отличных от местонахождения собственников, и в принципе, этого уже достаточно.

Дополнительными обстоятельствами для формирования системы внутреннего контроля могут также являться:

– подозрения собственников о наличии внутри компании мошеннических действий;

– специфичность деятельности (МФО, ВЭД, ИТ);

– сложность выполнения хозяйственных операций (участие в тендерах, аукционах; исполнение госконтрактов);

– разногласия собственников по вопросам управления компанией и т. д.

С этой целью, компания самостоятельно разрабатывает локально-нормативное положение по внутреннему контролю (далее по тексту – Положение), на которое и будет опираться в своей работе служба внутреннего контроля.

Данное Положение должно включать в себя необходимые условия, при соблюдении которых компания добьется снижения корпоративных рисков и предотвращения мошенничества внутри нее. Это Положение должно описывать следующие моменты:

– элементы СВК и соответствующие им методики и процедуры;

– ответственных лиц за осуществление контроля;

– подчиненность и место службы внутреннего контроля в структуре компании;

– функционал и ответственность специалистов внутреннего контроля их руководителя;

– вопросы этики специалистов внутреннего контроля и порядок взаимодействия с другими отделами компании.

Далее, как правило, издается Приказ руководителя организации об утверждении данного документа. Отмечу, что и сам руководитель организации, согласно данному документу, является лицом, в отношении которого могут быть проведены контрольные мероприятия.

По-хорошему, такое Положение утверждается Советом директоров, членами которого, зачастую, могут являться собственники компании. После этого, Положение «спускается» вниз по корпоративной лестнице, в целях уведомления о его утверждении исполнительное руководство компании, службу внутреннего контроля и всех заинтересованных лиц и, таким образом, запускается в работу. Не следует путать Положение по организации внутреннего контроля с Положение по внутреннему аудиту, которое, в свою очередь, утверждается Комитетом по аудиту, членам которого также могут быть собственники компании.

Положение по организации внутреннего контроля и будет являться для персонала нормативным актом, регулирующим процесс проведения внутреннего контроля, непосредственно в этой компании. При этом в целях его соблюдения всеми сотрудниками необходимо получить их подписи об ознакомлении с этим документом.

Образец Приказа об утверждении Положения по организации внутреннего контроля представлен ниже на рисунке 3.

Рисунок. 3. Приказ об утверждении Положения по организации внутреннего контроля.

Обращаю ваше внимание, что при разработке Положения по внутреннему контролю, вполне разумно руководствоваться упомянутыми выше рекомендациями Минфина РФ по организации и осуществлению внутреннего контроля №ПЗ-11/2013. Тем более, что в основу этих рекомендаций заложены принципы системы (модели) внутреннего контроля, разработанного COSO (комитета организаций – спонсоров комиссии Тредуэя)^[1].

Данные рекомендации и принципы модели внутреннего контроля, разработанные COSO, могут быть использованы также и при подготовке Положения по внутреннему аудиту.

COSO разработал общую модель внутреннего контроля, согласно которой компании, в том числе банки, могут оценить собственные системы управления,

1. COSO был образован в 1985 г. при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (Комиссия Тредуэя). Официальный сайт комитета`: www.coso.org