Существующие исследования нормативно-правовой базы РФ посвящены, как правило, внутреннему аудиту. Внутренний контроль рассматривается только в отношении к внутреннему аудиту. Авторами проведен обзор системы российских нормативных актов, регулирующих внутренний контроль (см. прилож. 1).
Прежде всего, следует остановиться на документах, устанавливающих общие требования к организации внутреннего контроля. Банком России был издан Кодекс корпоративного управления, который является документом, рекомендованным к исполнению акционерными обществами, ценные бумаги которых допущены к организованным торгам, и который является ориентиром по внедрению стандартов корпоративного управления23.
Банк России отмечает, что значительное количество проблемных вопросов, подходы к решению которых рекомендовались в Кодексе, были разрешены на уровне законодательства и ведомственных нормативных правовых актов. Вместе с тем подчеркивается также, что не все вопросы должны и могут быть урегулированы законодательно: во-первых, законодательство не может учитывать все нюансы деятельности организаций, во-вторых, оно не всегда «поспевает» за изменениями деловой практики, и, в-третьих, многие вопросы носят не правовой, а этический характер.
В Кодексе разд. 5, касающийся принципов корпоративного управления, посвящен организации системы управления рисками и внутреннему контролю. Указано, что в обществе должна быть создана эффективная СВК. Далее этот принцип детализирован в рекомендациях. В частности, определено, что Совет директоров общества определяет принципы и подходы к организации системы управления рисками и внутреннего контроля в обществе. Следует отметить, что в настоящее время этот принцип уже закреплен в ст. 65.1 Закона «Об акционерных обществах»24.
В качестве рекомендуемых Банк России предлагает использовать общепринятые концепции и практики работы в области управления рисками и внутреннего контроля, такие как, например, Концепция (COSO). Концепция COSO легла в основу требований и рекомендаций по осуществлению внутреннего контроля, изданных как государственными органами, так и профессиональными объединениями.
Требования по управлению рисками, внутреннему контролю и внутреннему аудиту были законодательно утверждены. Так, в законе «Об акционерных обществах» были закреплены положения, согласно которым Совет директоров должен устанавливать принципы и подходы по внутреннему контролю и утверждать документы соответствующего уровня в этой области.
Нельзя не отметить, что данные положения были первоначально определены в Кодексе корпоративного управления и их закрепление на законодательном уровне говорит о том, что этот вопрос является принципиально важным.
Организация и осуществление внутреннего контроля установлено в законе «О бухгалтерском учете» для всех организаций25. Во исполнение данных норм закона Минфином РФ выпущена Информация № ПЗ-11/2013, которая содержит рекомендации по организации и осуществлению экономическим субъектом внутреннего контроля. В ходе анализа данного документа можно прийти к выводу, что в нем использованы основные подходы, изложенные в COSO: три группы целей (эффективность и результативность, достоверность и своевременность отчетности, комплайенс), пять элементов внутреннего контроля (контрольная среда, оценка рисков, процедуры внутреннего контроля, информация и коммуникация, оценка внутреннего контроля) и т.д. Документ включает общие положения и определения, которые могут помочь организовать СВК компании, но не содержит конкретных рекомендаций по оценке СВК, построению матриц рисков и контрольных процедур, составлению отчетности по СВК