Из статьи вы узнаете, какие требования предъявляет законодательство к организации системы внутреннего контроля, когда целесообразно организовать отдельную службу внутреннего контроля, каковы функции и ответственность службы внутреннего контроля в компании, кто и как оценивает эффективность и результативность службы внутреннего контроля.
Внутренний контроль деятельности компании необходим с самого начала ее работы, так как собственники бизнеса и руководство должны быть уверены в эффективности и законности совершаемых хозяйственных операций, а также в достоверности данных финансовой и управленческой отчетности.
Необходимость контроля возрастает пропорционально динамике расширения бизнеса. Если на начальном этапе внутренним контролем занимаются руководитель и главный бухгалтер предприятия, то в компаниях среднего масштаба за организацию внутреннего контроля отвечает финансовый директор, а сам контроль осуществляет ревизионное подразделение.
В крупных компаниях для построения эффективной системы внутреннего контроля создают отдельное подразделение, руководитель которого отвечает за процедуры внутреннего контроля и подчиняется непосредственно собственникам бизнеса.
В холдинговых компаниях вопросами внутреннего контроля могут заниматься несколько служб, отвечающих за отдельные блоки в рамках системы внутреннего контроля.
ЗАКОНОДАТЕЛЬНЫЕ ТРЕБОВАНИЯ К ОРГАНИЗАЦИИ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ НА ПРЕДПРИЯТИИ
Действующее законодательство требует наличия системы внутреннего контроля у всех компаний независимо от масштабов их бизнеса. О том, что все предприятия обязаны организовать систему внутреннего контроля, говорит Федеральный закон от 06.12.2011 № 402-ФЗ (в ред. от 26.07.2019) «О бухгалтерском учете» (далее — Федеральный закон № 402-ФЗ).
На основании требований ст. 19 Федерального закона № 402-ФЗ можно констатировать следующее:
- все экономические субъекты должны осуществлять внутренний контроль совершаемых фактов хозяйственной жизни;
- организации, отчетность которых подлежит обязательному аудиту, обязаны также осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской отчетности (за исключением случаев, когда руководитель принял обязанность ведения бухучета на себя).
Согласно ст. 7 Федерального закона № 402-ФЗ принять обязанность ведения бухучета на себя может только руководитель субъекта малого и среднего предпринимательства. Поэтому в такой организации нужно осуществлять только внутренний контроль совершаемых фактов хозяйственной жизни.
Предприятия, финансовая отчетность которых подлежит обязательному аудиту, определены в ст. 5 Федерального закона от 30.12.2008 № 307-ФЗ (в ред. от 26.11.2019) «Об аудиторской деятельности»:
- предприятие имеет организационно-правовую форму открытого акционерного общества;
- ценные бумаги предприятия допущены к обращению на организованных торгах;
- предприятие является кредитной организацией, бюро кредитных историй, профессиональным участником рынка ценных бумаг, страховой организацией, клиринговой организацией, обществом взаимного страхования, организатором торговли, негосударственным пенсионным или иным фондом, акционерным инвестиционным фондом, управляющей компанией акционерного инвестиционного фонда, паевого инвестиционного фонда или негосударственного пенсионного фонда;
- выручка предприятия от продажи продукции (продажи товаров, выполнения работ, оказания услуг) за предшествовавший отчетному год превышает 400 млн руб. или сумма активов бухгалтерского баланса по состоянию на конец предшествовавшего отчетному года превышает 60 млн руб.;
- предприятие представляет и/или раскрывает сводную (консолидированную) бухгалтерскую (финансовую) отчетность.
В статье 7 Федерального закона от 07.08.2001 № 115-ФЗ (в ред. от 20.07.2020) «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» отмечено, что «организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны в целях предотвращения легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма разрабатывать правила внутреннего контроля, назначать специальных должностных лиц, ответственных за реализацию правил внутреннего контроля, а также принимать иные внутренние организационные меры в указанных целях».
Анализ требований рассмотренных нормативных актов показывает, что действующее законодательство предусматривает наличие системы внутреннего контроля практически у всех коммерческих предприятий, но при этом не устанавливает какие-либо ограничения на порядок, способы, процедуры осуществления внутреннего контроля, оставляя этот вопрос на усмотрение собственников и руководства.
В информационном документе Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» подробно раскрыты законодательные рекомендации к организации системы внутреннего контроля предприятия (табл. 1).
Приказом ФНС России от 16.06.2017 № ММВ-7-15/509@ также закреплены определенные требования к предприятиям по организации системы внутреннего контроля. В документе зафиксировано, что система внутреннего контроля должна обеспечивать:
- упорядоченное и эффективное ведение финансово-хозяйственной деятельности организации, в том числе достижение финансовых и операционных показателей, сохранность активов;
- правильность исчисления (удержания), полноту и своевременность уплаты (перечисления) налогов, сборов, страховых взносов;
- достоверность, полноту и своевременность отражения результатов финансово-хозяйственной деятельности в бухгалтерской (финансовой), налоговой и иной отчетности, а также учета таких результатов при исчислении (удержании) налогов, сборов, страховых взносов, полноты и своевременности их уплаты (перечисления);
- соблюдение законодательства Российской Федерации, в том числе при совершении фактов хозяйственной жизни по совершенной или планируемой сделке (операции) или совокупности взаимосвязанных сделок (операций), а также по иным совершенным фактам хозяйственной жизни организации;
- мониторинг результатов выполняемых контрольных процедур, направленных на своевременное выявление, исправление и предотвращение ошибок (искажений) в бухгалтерской (финансовой), налоговой и иной отчетности.
Статья опубликована в журнале «Планово-экономический отдел» № 9, 2020.
Система внутреннего контроля компании (СВК) состоит из системы внутреннего финансового контроля, системы внутреннего контроля бухгалтерского учета и др. подсистем. СВК помогает предупреждать хищения и отслеживать товарно-денежные потоки. Но зачастую СВК воспринимается как излишняя бюрократия и функционирует неэффективно. Разберемся как ее усилить.
Внутренний контроль — это процесс, который направлен на получение достаточной уверенности в том, что экономический субъект работает результативно и эффективно. СВК призвана на каждом участке, в каждом бизнес-процессе компании минимизировать риски путем выстраивания контрольной среды и адекватного реагирования на выявленные угрозы.
СВК работает эффективно, если собственник и/или руководство организации на любом этапе могут осуществлять контроль. И контроль этот должен быть оперативным. При этом не нужно полного погружения в каждый бизнес-процесс (иначе руководство просто «утонет» в деталях), нужна краткая аналитическая информация, позволяющая принимать решения для улучшения ситуации.
Какие недостатки СВК часто встречаются на практике?
1. Недостаточность контроля
Некоторые важные объекты контроля (их составляющие) не попадают «в поле зрения». Например, некоторые компании строго следят, чтобы не было недоплаты налогов, но совершенно не замечают их переплаты, а иногда сотрудники необдуманно принимают предложения налоговых органов и лишают компанию положенных ей средств.
Об ошибках и эффективных стратегиях при общении с налоговой >>
2. Нет четкого определения ответственных
Может получиться так, что ущерб есть, а виновных работников как бы нет. Что особенно опасно сегодня для руководителей и владельцев бизнеса, т.к. при определенных обстоятельствах им может быть предъявлено умышленное создание условий для ухода от налогов и другие нарушения, а это может повлечь уголовную ответственность. Кроме того, участились случаи привлечения руководителей и собственников компаний к субсидиарной ответственности по долгам компаний.
Подробнее о рисках субсидиарной ответственности руководителей >>
3. Нет стандартизированных процедур контроля
В итоге каждый контролирует, как и когда ему удобно. Так, например, распространенным нарушением является проведение формальной инвентаризации, что создает благодатную почву для хищений и злоупотреблений. Нередко в аудиторской практике встречаем ситуации, когда длительные периоды контроль может вообще отсутствовать.
О чем рассказал собственнику тайный аудит его компании >>
Рекомендации по усилению СВК
1. Сфокусировать контрольную деятельность
Определите четко объекты контроля, к которым должно быть пристальное внимание. Они индивидуальны для каждой организации и полезно не ограничиваться «стандартными» сферами (например, учет ТМЦ). Включите сюда все, что так или иначе влияет на эффективную деятельность организации. Например, это может быть контроль за соблюдением скидочной политики компании, оценка последствий предоставления скидок и т. д.
2. Детализировать контрольную деятельность
В отношении каждого объекта контроля полезно осветить 3 вопроса:
Как будет проходить контроль?
Например, какая методика будет использоваться, какие документы/действия будут проверяться, как часто и т. д.
Что является «границей нормы»?
Нарушения каких требований или отклонение от каких показателей станет тревожным сигналом.
Каким образом должны фиксироваться/устраняться нарушения?
Иными словами, какие действия должен совершить проверяющий, если заметит риск.
3. Персонифицировать контрольную деятельность
Исходя из предполагаемой методики контроля и борьбы с рисками/нарушениями нужно определить для каждого объекта контроля квалифицированных ответственных лиц.
Также важно избегать и другой крайности — «задвоение ответственности»: когда одна и та же контрольная функция по одному и тому же объекту закрепляется за разными работниками. Но важно заранее подумать, кто будет осуществлять контроль в случае временного отсутствия контролирующего лица (отпуск, например).
Также, полезно четко определить подотчетность лица, осуществляющего контроль. Кому и как этот работник будет докладывать о результатах контрольной деятельности?
Рекомендуем обратить особое внимание на документирование ключевых вопросов внутреннего контроля (кто, что, когда и как контролирует, какие действия совершает при обнаружении нарушений).Ответственные лица обязательно должны быть ознакомлены с соответствующими документами под роспись.
Пример 1.
Если в вашей компании множество договоров, множество контрагентов — очень полезно разработать инструкцию по работе с договорами.
В инструкции должен содержаться порядок согласования и подписания любого договора. Инструкция сократит возможность подделки договоров, включения неправомерных, кабальных условий и др. риски.
Также в этой инструкции можно предусматривать порядок оплаты: каким образом оплачивается счет по договору, каким образом списываются денежные средства (порядок согласования оплаты, например).
Пример 2.
Все организации, у которых имеется большой склад с товаром и присутствует большой товарооборот, просто обязаны иметь договоры о материальной ответственности.
Они могут быть заключены с каждым физическим лицом, могут быть коллективными: если склад очень большой и много кладовщиков и др. материально ответственных лиц.
В случае выявления какого-то ущерба, недостачи каждый работник склада понимает меру своей ответственности за товар.
Также обязателен регламент проведения инвентаризации. Инвентаризация должна проводиться чем чаще, тем лучше. Хотя бы раз в квартал. Инвентаризацию должны проводить не менее 3-х человек, назначенных приказом руководителя. Эти работники должны ответственно подходить к пересчету и составлению документов.
В регламенте нужно прописать не только порядок и сроки проведения инвентаризации, но и порядок утверждения ее результатов, каким образом они представляются руководству. Руководитель должен ознакомиться с тем, что выявлено по итогам инвентаризации — недостача или, наоборот, избыток, пересортица и т. д., и принять дальнейшие решения.
СВК и регламентирующие ее документы должны быть актуальны как в части организационных изменений (например, своевременная замена контролеров в случае их увольнения), так и в части обнаружения новых объектов контроля, возможностей для роста эффективности компании и т. д.
Наш многолетний опыт проверок показывает, что работы только СВК недостаточно: в 93 % случаев при комплексном аудите компаний обнаруживаются не выявленные риски и резервы, а в некоторых случаях и корпоративные мошенничества.
Почему даже хороший внутренний контроль не может решить всех проблем?
Мы рекомендуем держать СВК «в тонусе» путем периодических проверок внешних контролеров (речь, конечно, не о налоговой инспекции). Эти проверки не разрушат СВК и доверие к ней, они повысят качество ее работы. И только в такой ситуации возможно достижение синергетического эффекта, когда 1+1 = 11.
Узнать за минуту стоимость комплексного аудита >>
Ну а если вы заметили:
-
рост расходов при прежней выручке;
-
рост расходов на персонал при сокращении численности;
-
просроченную задолженность по выданным займам;
-
отсутствие четких критериев выбора поставщиков;
-
стопроцентную предоплату при закупках, если были иные условия с теми же поставщиками;
-
увеличение дебиторской задолженности при снижении выручки;
-
необоснованные скидки и отсрочки контрагентам;
-
иные действия и ситуации, которые идут «вразрез» с интересами компании,
советуем вам незамедлительно провести форензик и убедиться, что у указанных фактов все-таки есть какие-то объективные причины, либо выявить корпоративные мошенничества.
Итогом проверки является отчет с оценкой возможной величины ущерба, который может служить основанием для обращения в следственные органы и суды. Данные отчета позволяют принять необходимые управленческие решения для нивелирования рисков и потерь, а также для улучшения СВК.
Кейс
При оказании услуг форензика для крупного промышленного предприятия аудиторами «Правовест Аудит» выявлено совершение убыточных сделок, связанных с нецелевым использованием денежных средств.
По результатам проведенных процедур установлено, что в отдельные периоды Организация от исполнения некоторых договоров получила отрицательные финансовые результаты.
При анализе движения денежных средств Организации установлено, что в отдельных случаях при получении предоплаты от покупателя Организация направляла не все средства на закупку материала для исполнения заказа, частично денежные средства направлялись на погашение кредитных обязательств и на иные хозяйственные цели.
Нецелевое использование полученных авансов привело к завышению себестоимости реализованной продукции из-за роста цен на основной материал и, как следствие, привело к незапланированным убыткам.
Аудиторами рекомендовано проводить управленческое планирование, направленное на снижение производственных затрат, ужесточить контроль за использованием авансов.
Если собственник не может должным образом контролировать бизнес, то некоторые недобросовестные руководители могут воспользоваться этим, уводя выручку в свою фирму или создавая завышенные расходы, заключая ненужные договоры с самим собой (например, договоры займа под «нерыночные» проценты) или приобретая что-то у аффилированных лиц по завышенным ценам за «откаты». В нашей практике, к сожалению, нередко встречаются такие ситуации:
Неправомерные действия директора нанесли ущерб в размере 13 млн руб. >>
Раскрыта схема увода прибыли в размере 80 млн руб. >>
«Слабое звено» ценою в 500 млн руб. >>
Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности
(ПЗ-11/2013)
1. Общие положения
1. В соответствии со статьей 19 Федерального закона «О бухгалтерском учете» экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
2. Настоящий документ содержит рекомендации по организации и осуществлению экономическим субъектом (за исключением организаций сектора государственного управления) внутреннего контроля, предусмотренного статьей 19 Федерального закона «О бухгалтерском учете» (далее – внутренний контроль).
Внутренний контроль, предусмотренный иными федеральными законами, организуется и осуществляется экономическим субъектом в соответствии с такими федеральными законами.
3. Внутренний контроль – процесс, направленный на получение достаточной уверенности в том, что экономический субъект обеспечивает:
а) эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
б) достоверность и своевременность бухгалтерской (финансовой) и иной отчетности;
в) соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.
4. Внутренний контроль способствует достижению экономическим субъектом целей своей деятельности. Он должен обеспечивать предотвращение или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности. Эффективность внутреннего контроля может быть ограничена:
а) изменением экономической конъюнктуры или законодательства, возникновением новых обстоятельств вне сферы влияния руководства экономического субъекта;
б) превышением должностных полномочий руководством или иным персоналом экономического субъекта, включая сговор персонала;
в) возникновением ошибок в процессе принятия решений, осуществления фактов хозяйственной жизни, ведения бухгалтерского учета, в том числе составления бухгалтерской (финансовой) отчетности.
2. Элементы внутреннего контроля
5. Основными элементами внутреннего контроля экономического субъекта являются:
а) контрольная среда;
б) оценка рисков;
в) процедуры внутреннего контроля;
г) информация и коммуникация;
д) оценка внутреннего контроля.
6. Контрольная среда представляет собой совокупность принципов и стандартов деятельности экономического субъекта, которые определяют общее понимание внутреннего контроля и требования к внутреннему контролю на уровне экономического субъекта в целом. Контрольная среда отражает культуру управления экономическим субъектом и создает надлежащее отношение персонала к организации и осуществлению внутреннего контроля.
7. Оценка рисков представляет собой процесс выявления и анализа рисков. Для целей настоящего документа под риском понимается сочетание вероятности и последствий недостижения экономическим субъектом целей деятельности. При выявлении рисков экономический субъект принимает соответствующие решения по управлению ими, в том числе путем создания необходимой контрольной среды, организации процедур внутреннего контроля, информирования персонала и оценки результатов осуществления внутреннего контроля.
7.1. Применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, оценка рисков призвана выявлять риски, которые могут повлиять на достоверность бухгалтерской (финансовой) отчетности. В ходе такой оценки экономический субъект рассматривает вероятность искажения учетных и отчетных данных исходя из следующих допущений:
а) возникновение и существование: факты хозяйственной жизни, отраженные в бухгалтерском учете, имели место в отчетном периоде и относятся к деятельности экономического субъекта;
б) полнота: факты хозяйственной жизни, имевшие место в отчетном периоде и подлежащие отнесению к этому периоду, фактически отражены в бухгалтерском учете;
в) права и обязательства: имущество, имущественные права и обязательства экономического субъекта, отраженные в бухгалтерском учете, фактически существуют;
г) оценка и распределение: активы, обязательства, доходы и расходы отражены в правильном стоимостном измерении на соответствующих счетах бухгалтерского учета и в соответствующих регистрах бухгалтерского учета;
д) представление и раскрытие: данные бухгалтерского учета корректно представлены и раскрыты в бухгалтерской (финансовой) отчетности.
7.2. Поскольку эффективность внутреннего контроля снижается при превышении руководством или иным персоналом экономического субъекта должностных полномочий, одним из важных направлений оценки рисков является оценка риска возникновения злоупотреблений. Злоупотребления могут быть связаны с приобретением и использованием активов, ведением бухгалтерского учета, в том числе составлением бухгалтерской (финансовой) отчетности, совершением действий, являющихся коррупциогенными (включая коммерческий подкуп). Оценка данного риска предполагает выявление участков (областей, процессов), на которых могут возникать злоупотребления, а также возможностей для их совершения, в том числе связанных с недостатками контрольной среды и процедур внутреннего контроля экономического субъекта.
8. Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта.
8.1. Экономический субъект может применять следующие процедуры внутреннего контроля:
а) документальное оформление (например, осуществление записей в регистрах бухгалтерского учета на основе первичных учетных документов, в том числе бухгалтерских справок; включение в бухгалтерскую (финансовую) отчетность существенных оценочных значений исключительно на основе расчетов);
б) подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям (например, проверка оформления первичных учетных документов на соответствие установленным требованиям при принятии их к бухгалтерскому учету). К данным процедурам внутреннего контроля относятся также процедуры контроля взаимосвязанных фактов хозяйственной жизни (например, соотнесение перечисления денежных средств в оплату материальных ценностей с получением и оприходованием этих ценностей);
в) санкционирование (авторизация) сделок и операций, обеспечивающее подтверждение правомочности совершения их; как правило, выполняется персоналом более высокого уровня, чем лицо, осуществляющее сделку или операцию (например, утверждение авансового отчета сотрудника его руководителем);
г) сверка данных (например, сверка расчетов экономического субъекта с поставщиками и покупателями для подтверждения сумм дебиторской и кредиторской задолженности; сверка остатков по счетам бухгалтерского учета наличных денежных средств с остатками денежных средств по данным кассовой книги);
д) разграничение полномочий и ротация обязанностей (например, возложение полномочий по составлению первичных учетных документов, санкционированию (авторизации) сделок и операций и отражению их результатов в бухгалтерском учете на разных лиц на ограниченный период с целью уменьшения рисков возникновения ошибок и злоупотреблений);
е) процедуры контроля фактического наличия и состояния объектов, в том числе физическая охрана, ограничение доступа, инвентаризация;
ж) надзор, обеспечивающий оценку достижения поставленных целей или показателей (например, правильности осуществления сделок и операций, выполнения учетных операций, точности составления бюджетов (смет, планов), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
з) процедуры, связанные с компьютерной обработкой информации и информационными системами, среди которых, как правило, выделяют процедуры общего компьютерного контроля и процедуры контроля, осуществляемые в отношении отдельных функциональных элементов системы (модулей, приложений). Процедуры общего компьютерного контроля включают правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и другие процедуры, обеспечивающие бесперебойное использование информационных систем. Процедуры контроля, осуществляемые в отношении отдельных функциональных элементов системы, включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности оформления реквизитов документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках, др.).
8.1.1. Для целей противодействия злоупотреблениям наиболее эффективными процедурами внутреннего контроля являются санкционирование (авторизация) сделок и операций, разграничение полномочий и ротация обязанностей, контроль фактического наличия и состояния объектов.
8.2. В зависимости от момента осуществления различают предварительные и последующие процедуры внутреннего контроля. Предварительные процедуры внутреннего контроля направлены на предупреждение появления ошибок и нарушений установленного порядка деятельности (контроль фактического наличия и состояния объектов, санкционирование (авторизация) сделок и операций, др.). Последующие процедуры внутреннего контроля направлены на выявление ошибок и нарушений установленного порядка деятельности (сверка, надзор, др.).
8.3. В зависимости от степени автоматизации различают автоматические, полуавтоматические, ручные процедуры внутреннего контроля. Автоматические процедуры внутреннего контроля выполняются информационной системой без участия персонала, например, контроль доступа. Полуавтоматические процедуры внутреннего контроля выполняются информационной системой, но инициируются или завершаются вручную; например, отчеты о выполненных в информационной системе исправлениях данных бухгалтерского учета проверяются исполнителем. Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем.
8.4. Процедуры внутреннего контроля основываются на принципах и стандартах, составляющих контрольную среду экономического субъекта, и применяются с учетом ее особенностей. Например, такая процедура внутреннего контроля, как санкционирование (авторизация) платежей может осуществляться руководителями разного уровня в зависимости от суммы платежа.
9. Качественная и своевременная информация обеспечивает функционирование внутреннего контроля и возможность достижения им поставленных целей. Основным источником информации для принятия решений являются информационные системы экономического субъекта. Качество хранимой и обрабатываемой в них информации может существенно влиять на управленческие решения экономического субъекта, эффективность внутреннего контроля. Информационная система экономического субъекта должна обеспечивать ведение бухгалтерского учета, в том числе составление бухгалтерской (финансовой) отчетности, в соответствии с допущениями, приведенными в пункте 7.1 настоящего документа.
9.1. Коммуникация представляет собой распространение информации, необходимой для принятия управленческих решений и осуществления внутреннего контроля. Например, персонал экономического субъекта должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства.
10. Оценка внутреннего контроля осуществляется в отношении элементов внутреннего контроля, указанных в подпунктах «а» — «г» пункта 5 настоящего документа, с целью определения их эффективности и результативности, а также необходимости изменения их. Оценка внутреннего контроля осуществляется не реже одного раза в год. Объем оценки внутреннего контроля определяется руководителем или внутренним аудитором (службой внутреннего аудита) экономического субъекта.
Рекомендации по оценке внутреннего контроля экономического субъекта приведены в приложении № 1 к настоящему документу.
10.1. Одним из видов оценки внутреннего контроля является непрерывный мониторинг внутреннего контроля, т.е. оценка внутреннего контроля, осуществляемая экономическим субъектом на постоянной основе в ходе его повседневной деятельности. Непрерывный мониторинг может осуществляться руководством экономического субъекта в форме регулярного анализа результатов деятельности экономического субъекта, проверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения внутренней организационно-распорядительной документации и других формах.
10.2. Осуществление непрерывного мониторинга и периодической оценки внутреннего контроля позволяет удостовериться в том, что внутренний контроль экономического субъекта обеспечивает достаточную уверенность в достижении экономическим субъектом целей, указанных в пункте 3 настоящего документа.
3. Документирование внутреннего контроля
11. Порядок организации и осуществления внутреннего контроля оформляется документально на бумажном носителе и (или) в электронном виде. Положения, касающиеся организации внутреннего контроля, являются частью учредительных и внутренних организационно-распорядительных документов экономического субъекта (приказов, распоряжений, положений, должностных и иных инструкций, регламентов, методик, стандартов бухгалтерского учета экономического субъекта).
12. Положения, касающиеся контрольной среды экономического субъекта, могут являться частью документов, определяющих:
а) стратегию, цели и ценности экономического субъекта, его поведение на рынке и методы управления им;
б) правила поведения руководства и иного персонала экономического субъекта при наступлении различных событий, процедуры рассмотрения жалоб (кодекс корпоративного управления, кодекс деловой этики);
в) организационную структуру экономического субъекта, в том числе место и роль его подразделений, уровни принятия решений, штатное расписание;
г) функции подразделений экономического субъекта, полномочия и ответственность их руководителей (положения об отдельных подразделениях экономического субъекта);
д) правила принятия управленческих решений и осуществления сделок и операций, в том числе учетную политику экономического субъекта;
е) кадровую политику, устанавливающую подходы к найму, обучению и развитию персонала экономического субъекта, критерии оценки результатов деятельности, систему оплаты труда.
12.1. Применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, контрольную среду могут описывать положение о бухгалтерской службе, учетная политика экономического субъекта, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.
13. Документированию рисков, как правило, предшествует описание бизнес-процессов и процедур работы экономического субъекта. Достоверное описание бизнес-процессов экономического субъекта способствует выявлению и оценке всех существенных рисков вне зависимости от того, осуществляется ли в настоящее время в отношении них внутренний контроль.
13.1. Описание бизнес-процессов экономического субъекта может проводиться в разрезе направлений его деятельности, его юридической или организационной структуры. Описания бизнес-процессов экономического субъекта составляются в текстовой и графической форме, что обеспечивает полноту и наглядность представления деятельности экономического субъекта.
13.2. Описание риска включает:
а) указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск;
б) причину и вероятность его возникновения;
в) возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.
13.3. По результатам оценки рисков экономический субъект определяет наиболее существенные риски и принимает решения для минимизации их посредством организации и осуществления внутреннего контроля.
С целью систематизации принятых экономическим субъектом процедур внутреннего контроля, относящихся к определенным выявленным рискам и зафиксированных в соответствующих внутренних организационно-распорядительных документах, а также оценки полноты покрытия внутренним контролем выявленных рисков, как правило, составляется матрица рисков и процедур внутреннего контроля. Матрица рисков и процедур внутреннего контроля содержит:
а) описание риска, на минимизацию последствий которого направлен внутренний контроль;
б) наименование области или процесса, который подвержен риску;
в) наименование и краткое описание процедуры (процедур) внутреннего контроля, посредством осуществления которой (которых) минимизируются последствия риска;
г) классификацию процедуры внутреннего контроля (если это необходимо для структурирования информации);
д) ссылку на регламент осуществления процедуры внутреннего контроля (документ, в котором устанавливаются детальные требования к осуществлению внутреннего контроля);
е) исполнителя процедуры внутреннего контроля (сотрудник или информационная система);
ж) частоту (периодичность) осуществления процедуры внутреннего контроля;
з) входящие документы (на основании которых осуществляется процедура внутреннего контроля);
и) исходящие документы (свидетельства осуществления процедуры внутреннего контроля).
14. Документами, устанавливающими правила коммуникации, могут являться: положение об информационной политике (в области внешних и внутренних коммуникаций), графики предоставления данных и составления отчетности, должностные инструкции.
15. Документация, оформляющая организацию внутреннего контроля, регулярно обновляется. Экономический субъект не реже одного раза в год проводит оценку необходимости обновления документации. Основанием для обновления документации могут являться, например, результаты периодической оценки и непрерывного мониторинга внутреннего контроля, организационные изменения, изменения процессов и процедур работы экономического субъекта. Обновление документации производится в течение разумного срока после выявления ее недостатков или изменений в деятельности экономического субъекта.
16. Экономический субъект обеспечивает хранение документации, оформляющей организацию и осуществление внутреннего контроля, в течение разумных сроков.
4. Организация внутреннего контроля
17. Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала экономического субъекта, определяются в зависимости от характера и масштабов деятельности экономического субъекта, особенностей его системы управления.
18. При организации внутреннего контроля необходимо исходить из того, что:
а) внутренний контроль должен осуществляться на всех уровнях управления экономическим субъектом, во всех его подразделениях;
б) в осуществлении внутреннего контроля должен участвовать весь персонал экономического субъекта в соответствии с его полномочиями и функциями;
в) полезность внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.
18.1. Внутренний контроль, как правило, осуществляют:
а) органы управления экономического субъекта;
б) ревизионная комиссия (ревизор) экономического субъекта;
в) главный бухгалтер или иное должностное лицо экономического субъекта, на которое возлагается ведение бухгалтерского учета (физическое или юридическое лицо, с которым экономический субъект заключил договор об оказании услуг по ведению бухгалтерского учета);
г) внутренний аудитор (служба внутреннего аудита) экономического субъекта;
д) специальные должностные лица, специальное подразделение экономического субъекта, ответственные за соблюдение правил внутреннего контроля, предусмотренного иными федеральными законами;
е) другой персонал и подразделения экономического субъекта.
18.2. Организация и оценка внутреннего контроля может осуществляться экономическим субъектом самостоятельно или (и) внешним консультантом (в том числе, аудиторской организацией).
19. Для организации внутреннего контроля экономический субъект может создать специальное подразделение (службу внутреннего контроля).
19.1. Специальное подразделение внутреннего контроля (служба внутреннего контроля) экономического субъекта:
а) осуществляет методическое обеспечение организации и осуществления внутреннего контроля;
б) координирует деятельность подразделений по организации и осуществлению внутреннего контроля.
19.2. Создание специального подразделения внутреннего контроля (службы внутреннего контроля) обоснованно в случаях, когда:
а) задачи и объем деятельности по организации внутреннего контроля таковы, что экономически целесообразно возложить исполнение этой функции на подразделение, осуществляющее указанную деятельность на постоянной основе;
б) в силу специфики деятельности экономического субъекта для обеспечения эффективности внутреннего контроля требуется накопление, сохранение и передача специальных знаний, навыков и опыта;
в) риски деятельности экономического субъекта настолько высоки, что обеспечение эффективности внутреннего контроля предполагает деятельность специального подразделения внутреннего контроля (службы внутреннего контроля) на постоянной основе;
г) существуют требования законодательства или регулятора финансового рынка о создании экономическим субъектом специального подразделения внутреннего контроля (службы внутреннего контроля).
20. При организации и осуществлении внутреннего контроля совершаемых фактов хозяйственной жизни субъект малого предпринимательства должен руководствоваться требованием рациональности. В случае если какие-либо элементы внутреннего контроля не могут быть применены субъектом малого предпринимательства, его руководитель может организовать внутренний контроль любым другим способом, который обеспечивает достижение целей организации и осуществления внутреннего контроля. Например: руководитель субъекта малого предпринимательства может принять на себя все функции по организации и осуществлению внутреннего контроля; если численность персонала экономического субъекта не позволяет осуществить разграничение полномочий и ротацию обязанностей, субъект малого предпринимательства может использовать другие процедуры внутреннего контроля, которые позволяют покрыть имеющиеся риски (сверку, надзор).
Аналогичный подход может применяться отдельными формами некоммерческих организаций.
21. Пример распределения полномочий и функций по организации и осуществлению внутреннего контроля экономического субъекта, ценные бумаги которого допущены к организованным торгам, приведен в приложении № 2 к настоящему документу.
22. Привлечение внешнего консультанта для организации или оценки внутреннего контроля целесообразно в следующих случаях:
а) собственные ресурсы экономического субъекта недостаточны для выполнения задач по организации или оценке внутреннего контроля в установленные сроки;
б) затраты на создание и содержание специального подразделения внутреннего контроля (службы внутреннего контроля) или внутреннего аудитора (службы внутреннего аудита) превышают стоимость привлечения независимого консультанта (аудиторской организации) для выполнения задач по организации или оценке внутреннего контроля соответственно;
г) заинтересованность руководства экономического субъекта в независимости оценки внутреннего контроля;
д) использование стандартных, апробированных подходов к организации или оценке внутреннего контроля.
Приложение № 1 к документу ПЗ-11/2013
«Организация и осуществление экономическим
субъектом внутреннего контроля совершаемых
фактов хозяйственной жизни, ведения
бухгалтерского учета и составления бухгалтерской (финансовой) отчетности»
Оценка внутреннего контроля экономического субъекта
1. Объем и характер способов и методов оценки внутреннего контроля определяются руководителем соответствующего подразделения или руководителем экономического субъекта.
2. Оценка внутреннего контроля включает оценку эффективности дизайна внутреннего контроля и оценку операционной эффективности внутреннего контроля.
3. Эффективный дизайн внутреннего контроля представляет собой такую организацию внутреннего контроля, при которой внутренний контроль достигает своей цели. Оценка эффективности дизайна внутреннего контроля позволяет выявить неэффективные, недостающие и дублирующие процедуры внутреннего контроля.
4. Оценка эффективности дизайна внутреннего контроля включает проверку описания дизайна внутреннего контроля и подтверждение дизайна внутреннего контроля.
4.1. Для проверки описания дизайна внутреннего контроля выполняются следующие действия:
а) ознакомление с матрицей рисков и процедур внутреннего контроля и проверка наличия процедур внутреннего контроля, направленных на минимизацию каждого риска;
б) формирование мнения о том, насколько принятые процедуры внутреннего контроля достаточны для минимизации риска;
в) проверка того, насколько описание процедур внутреннего контроля правильно и понятно;
г) подготовка списка вопросов и требуемой информации для проведения подтверждения дизайна внутреннего контроля.
4.2. Подтверждение дизайна внутреннего контроля представляет собой ознакомление с практикой осуществления внутреннего контроля, которое доказывает наличие внутреннего контроля, подтверждает полноту и правильность описания внутреннего контроля, результативность внутреннего контроля, а также полноту покрытия внутренним контролем рисков экономического субъекта.
5. Операционная эффективность внутреннего контроля означает, что внутренний контроль осуществляется в течение всего отчетного периода постоянно (без пропусков) в полном соответствии с утвержденным дизайном. Подтверждение операционной эффективности предполагает тестирование определенного объема доказательств осуществления внутреннего контроля в течение периода или выполнение определенного количества повторений процедур внутреннего контроля.
5.1. Выборку операций для тестирования операционной эффективности внутреннего контроля определяют обоснованным методом. На размер выборки могут повлиять следующие обстоятельства и особенности внутреннего контроля:
а) частота выполнения ручного внутреннего контроля — чем чаще работает ручной внутренний контроль, тем больше операций подлежат тестированию;
б) существенность внутреннего контроля – процедуры внутреннего контроля, являющиеся относительно более важными, подлежат более обширному тестированию. Например, чем больше типов искажений бухгалтерской (финансовой) отчетности призван предотвратить внутренний контроль, тем более важным он является для тестирования;
в) риск сбоя тестируемой процедуры внутреннего контроля — изменения в объемах или видах сделок и операций, в дизайне внутреннего контроля, а также численности и квалификации ключевого персонала экономического субъекта, ответственного за осуществление и оценку внутреннего контроля, произошедшие в течение проверяемого периода, могут потребовать увеличения размера выборки. Кроме того, на риск сбоя тестируемой процедуры внутреннего контроля влияют степень зависимости данной процедуры от других процедур внутреннего контроля, сложность и уровень субъективности, присущие процедуре внутреннего контролю, зависимость процедуры внутреннего контроля от человеческого фактора;
г) уровень автоматизации процедуры внутреннего контроля. Для того чтобы протестировать автоматическую процедуру внутреннего контроля, достаточно выполнить единственное ее повторение в информационной системе, т.е. создавать выборку не требуется. При этом также необходимо подтвердить эффективность процедур общего компьютерного контроля в течение периода.
5.2. Для проведения тестирования операционной эффективности внутреннего контроля составляется план тестирования с определением в нем способов, процедур, объема и периода тестирования.
6. Для оценки эффективности дизайна и оценки операционной эффективности внутреннего контроля могут быть применены следующие способы:
а) опрос персонала экономического субъекта. Опрос проводится для того, чтобы оценить знания и квалификацию персонала, а также получить информацию о фактическом порядке совершения сделок и операций и осуществления внутреннего контроля. Опрос может проводиться как среди персонала, непосредственно осуществляющего сделки и операции и внутренний контроль, так и среди персонала, чья роль позволяет обладать информацией об эффективности внутреннего контроля;
б) наблюдение за совершением сделок и операций и осуществлением внутреннего контроля. Данный способ позволяет подтвердить факт осуществления внутреннего контроля;
в) проверка доказательств осуществления внутреннего контроля и его результатов. Данный способ применяется, когда осуществление внутреннего контроля и информация о выявленных ошибках с мерами по их устранению документируется;
г) повторное осуществление процедуры внутреннего контроля. Данный способ применяется, когда все остальные способы не обеспечивают достаточного доказательства эффективности внутреннего контроля, отсутствует его документальное оформление, а также когда внутренний контроль является автоматическим.
7. Обособленное применение большинства приведенных способов оценки внутреннего контроля не может обеспечить достаточную уверенность в эффективности дизайна внутреннего контроля или операционной эффективности внутреннего контроля. Например, при наблюдении существует риск того, что процедура внутреннего контроля осуществляется исключительно для наблюдателя. При опросе персонал может предоставлять информацию об утвержденном порядке осуществления внутреннего контроля, но на практике не следовать такому порядку. В связи с этим способы оценки внутреннего контроля должны комбинироваться в зависимости от особенностей тестируемых процедур внутреннего контроля.
8. Для того чтобы убедиться в надежности информации, используемой для осуществления внутреннего контроля, при проведении оценки внутреннего контроля используются те же документы и информационные системы, которые используются персоналом экономического субъекта.
9. Результаты оценки внутреннего контроля оформляются документально, обсуждаются с исполнителями процедур внутреннего контроля и представляются руководству экономического субъекта. Объем, состав и формы документации определяется потребностями экономического субъекта.
10. При выявлении недостатков дизайна или операционной эффективности внутреннего контроля осуществляются следующие действия:
а) анализ характера и причин выявленных недостатков;
б) проведение при необходимости дополнительной проверки или тестирования;
в) определение приоритетов и составление плана устранения выявленных недостатков.
10.1. В плане устранения выявленных недостатков приводится:
а) описание недостатка внутреннего контроля и сопутствующего ему риска;
б) подробное описание действий, которые необходимо предпринять для устранения недостатка;
в) лицо, ответственное за устранение недостатка;
г) сроки устранения недостатка.
11. По истечении разумного срока после исправления недостатка проводится повторная оценка эффективности дизайна и операционной эффективности контроля, признанного ранее неэффективным.
Приложение № 2 к документу ПЗ-11/2013
«Организация и осуществление экономическим
субъектом внутреннего контроля совершаемых
фактов хозяйственной жизни, ведения
бухгалтерского учета и составления бухгалтерской (финансовой) отчетности»
Пример распределения полномочий и функций по организации и осуществлению внутреннего контроля экономическим субъектом, ценные бумаги которого допущены к организованным торгам
1. Совет директоров (наблюдательный совет) экономического субъекта:
а) устанавливает общие принципы и требования к внутреннему контролю;
б) утверждает стандарты, методики организации и осуществления внутреннего контроля на уровне экономического субъекта в целом;
в) принимает решения по повышению эффективности внутреннего контроля.
2. Комитет по аудиту совета директоров (наблюдательного совета) экономического субъекта:
а) наблюдает за эффективностью внутреннего контроля, независимостью специального подразделения внутреннего контроля, процессом обеспечения соблюдения законодательства и кодекса делового поведения (этики) экономического субъекта;
б) анализирует отчеты внешнего и внутреннего аудитора о состоянии внутреннего контроля;
в) проводит регулярные встречи с руководителями подразделений экономического субъекта для рассмотрения существенных рисков, проблем внутреннего контроля и соответствующих планов;
г) анализирует результаты и качество выполнения разработанных руководителями подразделений экономического субъекта мероприятий (корректирующих шагов) по совершенствованию внутреннего контроля;
д) рассматривает случаи злоупотреблений и оценивает адекватность принятых руководителями подразделений мер по предупреждению таких случаев.
3. Генеральный директор (директор) экономического субъекта отвечает за организацию и осуществление внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности в целом.
4. Главный бухгалтер экономического субъекта отвечает за организацию и осуществление внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности.
5. Руководители подразделений и иной персонал экономического субъекта в соответствии со своими полномочиями и функциями:
а) проводят оценку рисков;
б) составляют и обновляют документацию, оформляющую организацию внутреннего контроля;
в) осуществляют внутренний контроль в соответствии с установленным порядком;
г) осуществляют оценку внутреннего контроля.
6. Специальное подразделение внутреннего контроля (служба внутреннего контроля) экономического субъекта:
а) осуществляет методическое обеспечение организации и осуществления внутреннего контроля;
б) координирует деятельность подразделений по организации и осуществлению внутреннего контроля.
7. Внутренний аудитор (служба внутреннего аудита) экономического субъекта:
а) осуществляет оценку внутреннего контроля;
б) подготавливает рекомендации (предложения) по устранению выявленных нарушений и недостатков.
Цель этой статьи состоит в том, чтобы обсудить различные вопросы внутреннего контроля, сделав особый упор на темы пункта I6 программы курса «Введение в финансы и управление бизнесом». Нас, в частности, будут особенно интересовать следующие темы учебного плана:
a) Объяснить внутренний контроль и внутреннюю проверку.
b) Объяснять внутреннего финансового контроля в организации.
c) Описать обязанности руководства по внутреннему финансовому контролю.
Кроме того, в статье мы обсудим роль внутреннего аудита и проверок, проводимых в рамках внутреннего аудита, что охватывается темами I2 e) и f) учебного плана.
Определение и цели внутреннего контроля
Доклад Tернбулла, впервые опубликованный в 1999 году, определил внутренний контроль и сферу его действия следующим образом:
«Политики, процедуры, задачи, поведенческие и прочие аспекты деятельности организации, которые в совокупности:
- Способствуют успешному функционированию организации, позволяя ей должным образом реагировать на значительные риски (операционные, финансовые, риски соблюдения правовых норм и другие) в процессе достижения своих целей. Сюда относится также обеспечение сохранности активов и своевременное выявление и управление обязательствами.
- Обеспечивают качество внутренней и внешней отчётности, что, свою очередь, требует поддержания необходимых учётных систем и процессов для создания потоков своевременной, уместной и надёжной информации из внутренних и внешних источников.
- Обеспечивают соблюдение действующего законодательства и внутренних политик.
Объяснение Тернбулла подчеркивает положительную роль, которую внутренний контроль призван играть в организации. Способствовать эффективному функционированию – это способствовать улучшению; и, если внедрить их правильно, то процессы внутреннего контроля несут пользу организации тем, что сравнивают вероятные сценарии с изначальными планами и предлагают способы избежать негативного развития событий.
В то же время Тернбулл признаёт, что идеальной системы внутреннего контроля не существует. Поскольку любая организация работает в динамичной среде, некоторые риски из значительных будут эволюционировать в несущественные, а некоторые из новых возникающих рисков может быть сложно или вообще невозможно предвидеть. Поэтому целью любой системы внутреннего контроля должна быть разумная уверенность в том, что организация всё-таки сможет достигать своих целей.
Задачи внутреннего контроля
Внутренний контроль должен выполнять следующие задачи:
Обеспечение эффективности ведения бизнеса:
В организации должны быть внедрены инструменты контроля, которые могли бы обеспечивать бесперебойную работу её процессов и операций. В совокупности такие инструменты должны снизить риск неэффективной деятельности и свести к минимуму опасность того, что организация не сможет достичь своих целей.
Обеспечение сохранности активов:
Используемые организацией инструменты контроля также должны гарантировать, что её активы используются для надлежащих целей и не подвержены риску воровства или использования не по назначению. Такие инструменты контроля нужно применять равным образом как к материальным, так и к нематериальным активам организации.
Предотвращение и выявление мошенничества и других незаконных действий:
Такие правонарушения могут случаться даже в небольших организациях с простыми организационными структурами, а по мере того, как размер и сложность организации увеличиваются, разнообразие мошеннических практик только растёт. Очевидно, что механизмы контроля должны соответствовать этим вызовам.
Обеспечение полноты и правильности учётной информации:
Организация не в состоянии готовить достоверную финансовую информацию, если ненадёжны её системы первичного учёта. Эти системы должны фиксировать первичные операции так, чтобы все их необходимые характеристики были отражены в финансовой отчётности должным образом.
Обеспечение своевременности подготовки финансовой отчётности:
Своевременная сдача достоверной отчётности – это одна из юридических обязанностей любой организации. Вдобавок, многие организации также должны готовить отдельную отчётность для акционеров. Внутренний контроль необходим и для процессов управленческого учёта, без которых невозможно стратегическое планирование, принятие управленческих решений и мониторинг параметров деятельности организации.
Ответственность за внутренний контроль
Во многих небольших организациях – таких как индивидуальные предприниматели или товарищества без ограничения ответственности – ответственность за внутренний контроль находится в руках самих собственников. Небольшой размер этих организаций, как правило, способствует полной вовлечённости собственников в бизнес, и, даже при наличии наёмных сотрудников собственники всё равно хорошо осведомлены о текущих бизнес-операциях и о состоянии бизнеса в целом.
Необходимость в дополнительных механизмах внутреннего контроля растёт по мере роста организации, который влечёт за собой всё более усиливающуюся специализацию. В этих условиях уследить за тем, что и где происходит в бизнесе, становится всё менее реалистичным.
В компаниях с ограниченной ответственностью за создание и функционирование адекватной системы внутреннего контроля отвечает совет директоров. Директора являются по сути агентами акционеров и, действуя в интересах акционеров, несут перед ними ответственность. Поэтому в определённых случаях директора могут посчитать необходимым создать специализированное функциональное подразделение внутри организации, отвечающее за внутренний контроль. Решение о создании такого подразделения будет зависеть от того, насколько ожидаемые в результате выгоды превысят соответствующие затраты.
Директора должны уделить должное внимание среде контроля. Для того, чтобы внутренний контроль достигал своих целей нужна соответствующая культура, которая позволит механизмам контроля надёжно укорениться по всей организации.
Классификация механизмов внутреннего контроля
Механизмы контроля можно классифицировать по множеству оснований. На схеме ниже приведены пять наиболее часто используемых категорий.
Механизмы внутреннего контроля могут быть:
Обязательными или добровольными:
Обязательные механизмы контроля – это те, которым необходимо следовать вне зависимости от обстоятельств. Как правило, они касаются предотвращения случаев нарушения закона или политик организации, а также минимизации угроз жизни и здоровью. Добровольные же механизмы контроля применяются в зависимости от суждения организации или её менеджеров.
Применяемыми по усмотрению или применяемыми всегда:
В некоторых случаях менеджерам может быть предоставлена возможность выбора – применять ли конкретный механизм контроля – в зависимости от субъективной оценки риска. Если такого права у менеджера нет, то контрольный механизм должен применяться всегда.
Ручными или автоматизированными:
Ручные механизмы контроля применяются конкретными сотрудниками, а автоматизированные заранее запрограммированы в системах организации. Некоторые системы сочетают оба вида. Например, при вынесении решения о возможности отсрочки платежа система может предлагать менеджеру по продажам такие варианты: автоматическое «отклонить» для покупателей с низким кредитным рейтингом, автоматическое «предоставить» для покупателей с высоким кредитным рейтингом, и дать менеджеру сделать выбор самостоятельно, если кредитный рейтинг покупателя средний.
Общими или прикладными:
Эта классификация механизмов контроля относится только к информационным системам. Общие механизмы контроля обеспечивают надёжность данных, которые генерируют системы, и помогают добиться того, чтобы они в целом работали в соответствии с их предназначением. Прикладные – это автоматические механизмы контроля, встроенные в информационные системы и предназначенные обеспечить полную и правильную фиксацию данных от момента ввода до вывода.
Распространённые контрольные процедуры
Физические инструменты контроля:
К таким контрольным инструментам относятся способы ограничения доступа в здания, конкретные офисы или к фабричному оборудованию: турникеты на входе, карты доступа или пароли. Прикрутить оборудование к полу чтобы сделать невозможным его вынос – это тоже из разряда физических инструментов контроля.
Доверенности и лимиты на авторизацию:
Большинство сотрудников имеют суммовые ограничения при принятии решений. Например, младший менеджер при организации собственной командировки не может самостоятельно приобретать авиабилеты стоимостью свыше $500, и при необходимости превысить этот порог должен получить одобрение более старшего менеджера.
Разделение полномочий:
Чтобы снизить риск ошибок и мошенничества, обязанности, связанные с денежной наличностью, часто разделены. Например, если бизнес-процесс компании предусматривает получение наличных денег по почте, то вскрытие конвертов в почтовой комнате и запись прихода будут осуществляться разными сотрудниками.
Разделение полномочий уместно и в других областях бизнеса. Например, должности председателя совета директоров и главного исполнительного директора занимают разные люди. Подразделение внутреннего аудита должно быть полностью отделено от финансового департамента с прямым подчинением либо совету директоров, либо комитету по аудиту.
Управленческие инструменты контроля:
Это инструменты, которые находятся в руках менеджеров. Например – анализ отклонений, с помощью которого менеджер, исполняя свои непосредственные должностные обязанности, определяет причины различий между планом и фактом. Управление результатами деятельности подчинённых – это тоже неотъемлемая часть многих управленческих должностей.
Если двигаться ниже по вертикали управления, то на уровне ежедневных операций регулярно выполняются управленческие процедуры надзора. Механизмы контроля, в целом заложенные в организационную структуру компании и её линии соподчинения, называют организационными процедурами контроля.
Арифметические и учётные инструменты контроля:
Сюда относятся такие контрольные процедуры, как различного рода сверки и оборотно-сальдовые ведомости. Их задача – удостовериться в том, что транзакции записаны и учтены с должной достоверностью.
Процедуры контроля, связанные с управлением персоналом:
Все аспекты управления персоналом пронизаны процедурами контроля. Это и проверка квалификации претендентов, и верификация рекомендаций, и проверка потенциальных сотрудников на предмет криминального прошлого или профессиональная переаттестация уже работающих сотрудников.
Внутренняя проверка
Внутренняя проверка – это такая система организации бухгалтерских процедур в организации, в результате которой ни одна бухгалтерская операция не находится под полным и независимым контролем какого-либо одного лица. Обязанности одного сотрудника должны таким образом дополнять обязанности другого, чтобы, по сути, осуществлять непрерывный аудит бизнес-операций.
Необходимые элементы внутренней проверки такие:
• проверке подвергаются ежедневные операции,
• проверки осуществляются постоянно как часть системы,
• работа одного сотрудника является смежной для работы другого.
Если распределить обязанности между сотрудниками таким образом, то никто по отдельности не получает полного контроля над какой-либо операцией.
Внутренний аудит
Определение и цель внутреннего аудита
Внутренний аудит можно определить как независимое структурное подразделение, созданное внутри организации с целью проверки и оценки её деятельности. Внутренний аудит позволяет руководству компании более эффективно исполнять свои функции. То есть внутренний аудит снабжает руководство анализом, оценками, рекомендациями, советами и в целом информацией об изученных им областях и процессах организации.
Задачи внутреннего аудита
Формальный список задач внутреннего аудита может включать все или несколько пунктов из следующего списка:
- обзор учётных систем и систем внутреннего контроля,
- проверка финансовой и операционной информации,
- оценка «трёх E»: эффективности, экономичности и результативности,
- оценка соответствия законодательству и нормам регулирования,
- обзор мер по обеспечению сохранности активов,
- проверка показателей, измеряющих достижение корпоративных целей,
- определение значительных рисков, угрожающих организации, и мониторинг политики по управлению рисками,
- проведение специальных расследований по мере необходимости.
Зачем нужен внутренний аудит?
Важность внутреннего аудита была отмечена ещё в докладе Тернбулла. В нём указано, что те публичные компании, в которых по каким-либо причинам нет специального подразделения внутреннего аудита, должны как минимум раз в год рассматривать вопрос о необходимости его создания. Одновременно с этим те публичные компании, в которых подразделения внутреннего аудита уже есть, должны не реже раза в год обращаться к вопросу о его полномочиях, сфере применения и обеспеченности ресурсами.
Согласно докладу Тенрбулла потребность в отдельном подразделении внутреннего аудита зависит от ряда факторов:
- масштаб, разнообразие и сложность процессов организации,
- количество сотрудников – потребность в специальном внутреннем аудите возрастает по мере роста числа сотрудников и/или по мере того, как взаимодействие между сотрудниками становится более сложным,
- баланс между выгодами от отдельного подразделения внутреннего аудита и издержками на его создание и функционирование,
- изменений организационных структур, процессов и основных информационных систем,
- природы рисков организации и их изменения, а также возникновения новых рисков,
- проблем с функционированием систем внутреннего контроля, как реальных, так и предполагаемых,
- появления или увеличения частоты необъяснимых или неприемлемых событий.
Внутренний аудит и внутренний контроль
Внутренний аудит – это внутренняя, но независимая оценочная функция. Хотя сотрудники службы внутреннего аудита и являются, как правило, сотрудниками компании, они должны работать независимо от руководства, чтобы их анализ, суждения и рекомендации оставались как можно более беспристрастными. Глава подразделения внутреннего аудита должен подчиняться напрямую либо совету директоров, либо комитету по аудиту. Некоторые организации заходят настолько далеко, что передают функционал внутреннего аудита внешним профессиональным фирмам.
Внутренняя аудиторская проверка – это оценка системы внутреннего контроля, и, по сути, сама по себе является инструментом управленческого контроля, позволяющая оценить соответствие внутреннего контроля заданным стандартам.
Ключевые риски:
Внутренний аудит проверяет и оценивает состояние системы внутреннего контроля в зависимости от ключевых рисков, затрагивающих организацию. Цель заключается в том, чтобы проверить, насколько имеющиеся инструменты контроля позволят нивелировать риск, если он материализуется. Заключения и рекомендации соответствующих отчётов внутреннего аудита должны помочь руководству критически оценить имеющиеся инструменты контроля и, если нужно, пересмотреть их дизайн.
Финансовая и операционная информация:
Внутренний аудит может проверить эту информацию на предмет её правильности, своевременности и применимости. Специальное тестирование позволяет оценить, насколько информация правильно отражает то, что она должна отражать, и насколько она подходит в качестве основы для принятия решений руководством и прочими заинтересованными сторонами.
Соответствие законодательству и прочим нормам:
В настоящее время всё больше организаций сталкиваются с необходимостью внедрения стандартов соответствия законодательству и иным нормам. Это может быть продиктовано необходимостью соответствовать как требованию закона, так и другим, зачастую внутренним, стандартам. Внутренний аудит помогает оценить, насколько такое соответствие действительно имеет место. В этом отношении фронт работ внутреннего аудита только расширяется по мере того, как организациям приходится соответствовать не только профессиональным или отраслевым стандартам, но и стандартам в области охраны окружающей среды.
Виды внутреннего аудита
В ходе исполнения своих обязанностей внутренние аудиторы могут столкнуться с необходимостью проводить разные виды аудита.
Операционный аудит – это проверка эффективности организационных процессов. Это оценка реальной деятельности компании по сравнению с заранее заданными параметрами.
Системный аудит проверяет, насколько правильной является информация, получаемая из информационных систем организации. Тесты на соответствие проверяют, насколько правильно применяются механизмы контроля. Тесты по существу призваны убедиться в правильности сумм, и их можно использовать для того, чтобы найти в системах ошибки и упущения.
Аудит транзакций или антикоррупционный аудит призван выявить мошенничество или другие незаконные или преступные действия. Однако его сферу можно расширить, включив проверку на непредвзятость, прозрачность и справедливость принимаемых организацией решений – тех областей, которые часто относят к социальному аудиту, который в целом может включать в себя любые аспекты корпоративного управления.