Модель COSO представляет собой совокупность элементов, структурированных следующим образом:

1. Категории целей:

– операционные – эффективность и экономичность операций, включая сохранность активов;

– подготовка отчетности – качество внутренней и внешней финансовой и нефинансовой отчетности;

– оценка соответствия действующему законодательству и нормам.

2. По взаимосвязанным компонентам:

– контрольная среда;

– оценка рисков;

– контрольные процедуры;

– информация и коммуникация;

– мониторинг.

3. По уровням организационной структуры:

– уровень компании (организации в целом);

– подразделение;

– бизнес-процесс;

– функция.

При этом существует еще 17 фундаментальных принципов, соответствующих каждому компоненту.

Исследование отечественной нормативной базы в области внутреннего контроля позволяет сделать вывод о том, что основой для большинства подходов являются принципы, заложенные в модели COSO.

Другой международный стандарт COBIT18 направлен на снижение рисков информационных технологий. Он не является стандартом по построению только системы внутреннего контроля. Данный документ регулирует область управления и руководства ИТ на предприятии, помогает предприятиям добиться оптимальной ценности от ИТ, поддерживая баланс между получением выгоды и оптимизацией рисков и ресурсов; в качестве одной из целей руководства ИТ, наряду с оптимизацией ресурсов и получением выгод, рассматривается оптимизация рисков.

Кроме модели COSO существуют альтернативные концепции внутреннего контроля:

– модель внутреннего контроля Cadbury (Институт Профессиональных бухгалтеров Англии и Уэльса), 1992 г.;

– модель COCO, разработанная Советом по критериям контроля Канадского Института дипломированных бухгалтеров в 1995 г. Является адаптированной моделью COSO для целей аудита.

Кроме того, есть другие концепции и стандарты (COBIT, SAC, COSO, SAS 55/78), которые незначительно отличаются друг от друга основными целевыми группами пользователей, компонентами, зонами внутреннего контроля, фокусом, подходами к оценке эффективности внутреннего контроля, но все они направлены на обеспечение эффективного внутреннего контроля19.

Требования к организации внутреннего контроля в России: анализ регулирующих норм

Система регулирующих норм в области организации внутреннего контроля в Российской Федерации несовершенна и находится в стадии становления. Во многом это обусловлено устоявшимися в деловой практике подходами к осуществлению контроля как ревизии или надзора, оставшимися с времен плановой экономики. Некоторые исследователи смешивают понятия «внутренний контроль» и «внутренний аудит».

Так, в проведенном Л.В. Юрьевой и В.С. Сухих исследовании отмечается, что в отдельных нормативных актах, регулирующих сферу внутреннего аудита в государственном секторе, отождествляются понятия «внутренний контроль» и «внутренний аудит» и на подразделение внутреннего аудита возлагаются обязанности по осуществлению внутреннего контроля. В ходе анализа другого федерального закона ими выявлено, что внутренний аудит по какой-то причине осуществляется службой внутреннего контроля и в связи с этим возможно неосуществление оценки надежности уровня эффективности системы внутреннего контроля на предприятии, а также отождествление функций внутреннего аудита и внутреннего контроля20.

Выявлено также, что согласно Закону № 395-121 внутренний аудит занимает двойственное положение: с одной стороны – им осуществляются внутренние контрольные мероприятия, что соответствует функциям системы внутреннего контроля, с другой – тестируется и анализируется СВК как независимым подразделением.

В том же исследовании указано, что в России отсутствует законодательное регулирование внутреннего аудита, что, по их мнению, необходимо для развития внутреннего аудита как полноценной сферы деятельности. Исследователи приходят к выводу, что «в противном случае будет происходить формирование большого количества нормативно-правовых актов в отдельных отраслях финансово-хозяйственной деятельности, в которых могут как дублироваться некоторые положения, так и значительно различаться основные аспекты».

Сравнивая определение и функции внутреннего аудита22и внутреннего контроля согласно концепции COSO, можно прийти к выводу, что внутренний контроль является системным процессом, осуществляемым на всех уровнях организации и охватывающим множество целей. В то же время внутренний аудит – процесс, выполняемый отдельным подразделением (либо аутсорсинговой организацией) по предоставлению оценки СВК для Совета директоров и высшего руководства компании. По сути, внутренний аудит дает оценку СВК для высшего руководства организации. Следовательно, по нашему мнению, внутренний контроль должен охватываться отдельной системой регулирующих актов, отличной от внутреннего аудита.