Внутренний контроль – для чего и как организовать?
В соответствии с требованиями Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» через систему внутреннего контроля в организации должны проходить все совершаемые факты хозяйственной деятельности. Статья 19 Закона «О бухгалтерском учете» указывает на необходимость проведения внутреннего контроля, но строгих требований и правил она не содержит. Практические рекомендации по этой теме содержатся в Информации Минфина России от 26.12.2013 N ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
Внутренний контроль бухгалтерского учета – для кого обязателен?
Исключение: ситуация, когда обязанность ведения бухгалтерского учета принял на себя руководитель организации. Например, субъекты малого предпринимательства при организации внутреннего контроля должны исходить из принципа рациональности и при определенных обстоятельствах руководитель такого экономического субъекта может осуществлять функции внутреннего контроля самостоятельно. Аналогичный подход, согласно Информации N ПЗ-11/2013, может применяться некоторыми некоммерческими организациями.
Внутренний контроль: в теории
Процедуры внутреннего контроля, согласно рекомендациям Минфина России, включают в себя:
Оцениваем и устраняем риски
В Информации Минфина N ПЗ-11/2013 сказано, что оценка рисков призвана выявлять те из них, которые могут повлиять на достоверность учета и отчетности.
Специалисты, осуществляющие внутренний контроль, должны убедиться в том, что:
Проблема оценки риска возникновения злоупотреблений непосредственно связана с неосмотрительностью и неосторожностью как при ведении бизнеса в целом, так и при выборе контрагентов в частности.
Внутренний контроль: практика
Особое внимание стоит обратить на то, что эффективность внутреннего контроля может быть снижена или ограничена по разным причинам, зачастую независящим от организации. Например, изменение законодательства, возникновение новых обстоятельств вне сферы влияния руководства экономического субъекта. А вот превышение должностных полномочий руководством или иным персоналом или возникновение ошибок в процессе принятия решений, при проведении сделок, ведении бухгалтерского учета – это уже внутренние причины и их влияние на организацию контроля можно уменьшить.
В заключение стоит отметить, что систему внутреннего контроля должна создать и использовать в своей деятельности каждая компания. Это инструмент управления организацией, позволяющий максимально эффективно реализовать различные бизнес-процессы. Внутренний контроль должен не только обнаружить недостатки и нарушения в части уже свершившихся фактов хозяйственной жизни, но и предотвратить их появление в будущем. И важно, чтобы он осуществлялся постоянно, без пропусков в течение всего отчетного периода в полном соответствии с утвержденным регламентом.
Внутренний контроль должен стать из одним из важнейших инструментов в принятии решений, достижении стратегических целей организации, сохранности активов, их эффективного использования, соблюдении законодательства и внутренних актов, а также составлении достоверной бухгалтерской (финансовой) отчетности.
СРОЧНО!
Успейте разобраться в ФСБУ 5/2019 «Запасы», пока вас не оштрафовали. Самый простой способ – короткий, но полный курс повышения квалификации от гуру бухгалтерского учета Сергея Верещагина
Как построить в компании систему внутреннего контроля
Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов
Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.
Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.
Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)
Что такое операционный риск
Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.
Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:
Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.
Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.
По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX
Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.
И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.
Внутренний контроль: какую роль выполняет и что учесть при создании СВК
Сейчас часто говорят о повышении устойчивости ведения бизнеса. В условиях непредсказуемости, руководители задаются вопросами: “Как защитить компанию от влияния внешних факторов и насколько это возможно?”, “Нужно ли планировать деятельность и как это лучше делать?”.
В этой статье я буду говорить о внутренних факторах, влияющих на бизнес компании: о том фундаменте, на котором должна стоять компания, чтобы обеспечить устойчивость и эффективность своей деятельности. Если этот фундамент не построить осознанно и «с умом», то компания может «развалиться» еще задолго до того, как наступят неконтролируемые события, влияющие на бизнес.
Речь пойдет о внутреннем контроле, как он строится в компании и какую роль выполняет в управлении. А также какие нюансы стоит учесть при создании системы внутреннего контроля (СВК) и кто этим должен заниматься в организации.
Методология создания системы внутреннего контроля
О внутреннем контроле много говорят, пишут, консультируют. В компаниях появляются внутренние контролеры и целые структурные подразделения внутреннего контроля. Регулирующие органы выпускают нормативные акты, посвященные внутреннему контролю в организациях различных сфер деятельности.
Но, исходя из моего опыта работы, внутренний контроль в компаниях не всегда построен должным образом и выполняет свою роль. На мой взгляд, часто не хватает системного подхода при создании эффективной системы внутреннего контроля в компании.
Например, в компаниях с холдинговой структурой принятие многих решений завязано на головной компании, что неминуемо влечет за собой затягивание процессов. Из-за чего оперативность принятия решений и скорость выполнения производственных задач уходят на второй план в угоду тотального контроля. Система контроля слишком «хороша» и руководство компаний забывает про делегирование полномочий (хотя доверие к персоналу со стороны руководства — самый мощный стимул продуктивности, инициативы и результативности).
По моему мнению, чтобы создать или развить СВК в компании, необходимо, прежде всего, единое понимание ее назначения всеми сотрудниками компании, включая руководство и собственников. Чтобы понять, для чего нужна система внутреннего контроля и из чего она состоит, рассмотрим операционную деятельность компании в динамике.
Какую роль выполняет СВК в системе управления
Компания в процессе ведения деятельности проходит 3 стадии:
На последней стадии контроля выявляются отклонения фактических данных от запланированных. И проводится анализ с точки зрения возможности достижения поставленных целей и задач.
При этом контроль осуществляется на каждой стадии функционирования компании и бывает 3-х видов:
Операционную и контрольную деятельность пронизывает управленческая деятельность — это воздействие управляющей системы на объекты управления, исходя из информационного обмена и результатов контрольной деятельности. Если во время контроля выявлены существенные отклонения, то руководство компании может скорректировать цели и внести уточнения в планы.
Исходя из описанной модели, можно сказать, что роль контроля в системе управления компанией определяет его основное назначение:
Выходит, что контроль играет роль «обратной связи» и содействует целенаправленной работе всех бизнес-процессов компании. А также эффективному использованию ресурсов, соблюдению законодательства, и в конечном итоге — достижению целей, стоящих перед компанией в целом.
Тем самым образуется управленческий цикл, приведенный в схеме ниже.
В управленческом цикле контроль становится одним из эффективных средств управления
Стратегические и тактические цели организации можно достичь лишь грамотным управлением, которое должно сопровождаться проведением внутреннего контроля.
Чем внутренний контроль отличается от контроля вообще?
Прежде всего, внутренний контроль — это контроль, осуществляемый внутренними ресурсами компании. В противоположность внешним видам контроля, таким как: законодательное регулирование, контроль со стороны внешних контролирующих и проверяющих органов, внутренний контроль проводят по инициативе собственника компании, силами ее внутреннего персонала. Он направлен на обеспечение бесперебойной работы всех бизнес-процессов и на достижение целей компании.
Важно отметить, что современный подход к организации внутреннего контроля предполагает не только контроль, который обеспечивает:
Но и систему выявления резервов повышения эффективности деятельности организации, и контроль соблюдения интересов собственников и инвесторов.
На Западе, после серии громких банкротств крупных корпораций, долгое время разрабатывались вопросы организации надежных систем внутреннего контроля и повышения уровня корпоративного управления.
В отечественных компаниях стали приводить системы корпоративного управления, в том числе внутреннего контроля, в соответствие с общепринятой практикой стран с развитой экономикой, только в процессе интеграции стран СНГ в мировую экономику. На процесс также повлияло постепенное дистанцирование собственников от оперативного управления. При этом, приходится адаптировать западный опыт к нашим условиям, учитывать специфики организаций и национальный менталитет.
Развитие внутреннего контроля в нашей стране обусловлено рядом факторов. Помимо того, что контроль — это необходимый инструмент управления компанией, который обеспечивает «обратную связь» и процесс принятия решений, при создании СВК необходимо также учитывать следующие моменты:
Что учесть при создании СВК и кто за это отвечает
Обозначим еще несколько важных аспектов, которые должны понимать в процессе создания СВК руководство компании и ее сотрудники.
Какое место занимает СВК в общей системе управления компанией и какую роль в ней выполняет — представлено в схеме ниже.
В следующем материале рассмотрим основные этапы создания СВК в компании: как определить текущую модель системы внутреннего контроля и что такое риск-ориентированный подход (РОП), как оценить зрелость СВК и создать правила для ее эффективной работы. И кому все это можно поручить в компании.
Малый бизнес: нужна ли ему система внутреннего контроля?
Старший аудитор ООО «Сибирская Юридическая Компания-Аудит»
специально для ГАРАНТ.РУ
Даже если руководитель думает, что в его организации нет системы внутреннего контроля, она есть (как в известном фильме). Без нее не может существовать организация, даже маленькая. Любой собственник имущества заинтересован в его сохранности, контроле над финансовыми потоками, для этого он и разрабатывает определенные требования. Часто они не формализованы, но все им подчиняются. Правила организации и контроля при ведении бизнеса без комплексного подхода, зачастую, возникают в те моменты, когда случаются определенные проблемы – недостача товара, кража имущества, необходимость восстанавливать участки учета при смене бухгалтера, утечка информации конкуренту и т.д. Для устранения возможных проблем в будущем и повторения неприятных ситуаций руководитель начинает закрывать проблемные места – пересматривать систему хранения товара, организации логистики на каждом этапе движения товара, заниматься вопросами обеспечения резервного копирования системы бухгалтерской системы, приобретать и устанавливать программные продукты для защиты информации от утечки и т.д. Но можно работу по построению системы внутреннего контроля проводить не методом «латания дыр», а проводить комплексно, последовательно, постепенно развивая.
Обязанность организовать и осуществлять внутренний контроль совершаемых хозяйственных операций, закреплена на законодательном уровне, в п. 1 ст. 19 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (далее Закон № 402-ФЗ). В этом же документе, в п. 2 ст. 19 Закона № 402-ФЗ, сказано, что если бухгалтерская (финансовая) отчетность организации подлежит обязательному аудиту, она обязана организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
Таким образом, уже видим как минимум два направления в порядке построения системы внутреннего контроля – в виде комплекса контрольных мероприятий за хозяйственной деятельностью и специальных контрольных процедур, связанных с формированием бухгалтерской (финансовой) отчетности.
Первое направление является для собственников наиболее важным, хотя часто имея отлаженную систему контролей на этапе формирования бухгалтерской (финансовой) отчетности, видим ее существенные недостатки при осуществлении хозяйственных операций. Ведь основными задачами внутреннего контроля является обеспечение результативности деятельности, соблюдение законодательства при совершении фактов хозяйственной деятельности и обеспечение достоверности и своевременности бухгалтерской и иной отчетности. Без выполнения последней задачи, собственник не будет информирован об эффективности инвестиций в организацию.
Что же представляет из себя система внутреннего контроля? Она включает следующие основные элементы:
Контрольная среда – это совокупность принципов и стандартов деятельности организации, которые определяют общее понимание внутреннего контроля и требования к нему на уровне организации в целом. Она является основой для обеспечения и поддержания дисциплины и порядка в организации, эффективности системы ее внутреннего контроля.
Так, в любой организации, даже небольшой, всегда складывается определенная корпоративная культура, этика поведения ее сотрудников (даже не формализованная, не описанная в конкретном документе). Часть элементов корпоративной культуры может быть формализована организацией при соблюдении ею требований законодательства, в частности, трудового. Например, в организации документально зафиксирован трудовой распорядок, с которым под роспись знакомят сотрудников, созданы должностные инструкции, в которых описаны основные требования, предъявляемые к кандидату на эту должность, сформирована структура подчиненности сотрудников, условия работы и оплата труда, которые указываются в заключаемых трудовых договорах и т.д. Разработкой такого сложного документа, как кодекс этики поведения сотрудников, не всегда занимаются даже крупные организации. Среди компонентов контрольной среды могут присутствовать в организации, но не быть формализованными, например, такие ее компоненты, как информирование о принципах честности, принципах поведения сотрудников, отношение между функциональными подразделениями, выработка взаимоотношений с бухгалтерской службой, принципы и правила подбора кадров.
Пожалуй, самый интересный компонент – это оценка риска. На мой взгляд, базовый элемент, так как он является процессом выявления и анализа рисков, которые представляют собой вероятность и последствия недостижения организацией своей цели. Что является основной целью коммерческой организации? Конечно же получение дохода, прибыли, инвестиционная привлекательность для собственника. И если в деятельности организации есть риски, которые не способствуют достижению этой цели, их необходимо устранять.
Вот как раз следующий элемент системы внутренних контролей призван этому способствовать. Процедуры внутренних контролей – это действия, направленные на минимизацию рисков деятельности организации. Например, появление недостачи товара, части имущества организации, приведет к тому, что организация недополучит доход от продажи товара, от использования другого имущества. Как этот риск можно уменьшить? Путем организации складского хозяйства с обеспечением доступа к материальным ценностям ограниченного круга лиц, путем заключения с ними договора о материальной ответственности, проведением регулярных инвентаризаций товаров и иного имущества. Практика жизни показывает, что данные контрольные процедуры не всегда приводят к 100 процентному устранению риска, но способствуют его значительному снижению.
Приведу еще один аргумент, который свидетельствует о том, что оценка риска является базой для системы внутренних контролей. Руководство, собственники компании, понимают, что «закрыть» все риски, с которыми организация сталкивается в процессе своей деятельности, невозможно. Здесь как раз важно найти рациональное зерно и провести оценку наиболее характерных рисков бизнеса из тех, которые приведут к наибольшим потерям организации, их ранжировать. Далее необходимо разработать контрольные процедуры, способствующие минимизации наиболее значимых рисков для конкретной организации. Затраты на осуществление контрольных процедур не должны превышать возможные риски. Не нужно покупать бронированный склад стоимостью миллионы рублей для хранения ящика банальных удочек для рыбалки, которые планируем продавать.
Источниками информации для принятий решений в организации является информационная система, которую она использует. А с помощью тех или иных средств коммуникации руководство организацией распространяет информацию, необходимую для принятия управленческого решения и осуществления контроля. Так, для проведения инвентаризации товара из системы, где зафиксировано его движение, выгружаются его остатки, с помощью приказа руководитель создает комиссию по инвентаризации и информирует о дате проведения инвентаризации.
Ну, и относительно пятого элемента – оценки внутреннего контроля, его значимость не менее важна, так как на данном этапе выявляется эффективность внутреннего контроля. Периодичность такой оценки может быть различной, но не реже раза в год. В процессе ведения бизнеса может сложиться такая ситуация, что система сама себя проявит в неэффективности, если выяснится, что контрольная процедура не закрывает риск и он сказался на деятельности организации в какой-то момент времени. Но лучше такого момента не дожидаться, а периодически анализировать элементы системы на эффективность их работы.
Важно периодически проводить оценку рисков и их ранжирование, так как организация не существует в одних и тех же условиях ведения бизнеса постоянно (меняется внешняя среда, вводятся новые процедуры в компании, новые информационные системы, новые виды бизнеса, меняется организационная структура и т.д.), а, следовательно, необходимо пересматривать и контрольные процедуры, призванные устранять риски, в которых компания существует. Не нужно проводить процесс ради процесса, у него должен быть результат и эффект. Так, если какой-то процесс хозяйственной деятельности был автоматизирован, и настроены и работают автоматические средства контроля, то проведение дополнительных ручных контрольных процедур, раннее осуществляемых сотрудниками, не требуется.
Еще раз обращу внимание, и особенно это важно для малых организаций, затраты на построение системы внутреннего контроля не должны превышать его эффективность. Но есть элементы, которые требуют формализации и необходимы практически для каждой организации. Один из элементов системы внутренних контролей – это учетная политика организации, содержащая не только выбранные методы и способы учета, но и определяющая первичные документы, которые создаются в организации и затрагивают разные этапы организации деятельности компании, а, следовательно, и разные подразделения. Наличие подписи на первичном документе – тоже элемент контроля, так как подпись ставит лицо, ответственное за совершение хозяйственной операции и подтверждающее ее совершение. Утверждая авансовый отчет, ставя на нем свою подпись, руководитель подтверждает, что сотруднику необходимо компенсировать указанную сумму в авансовом отчете. Другой элемент контроля – подписание актов сверок с контрагентами, и это не простая формальность с целью корректного отражения задолженности в бухгалтерской (финансовой) отчетности, но и важное мероприятие для бизнеса, так как решает вопросы, в том числе и возможного истребования задолженности в дальнейшем, урегулирования ее в оперативном порядке.
Еще одна из важнейших процедур внутреннего контроля в организациях разных отраслей – это проведение инвентаризации товароматериальных ценностей. Она всегда формализована, так как требует документального оформления на каждом этапе ее осуществления – на подготовительном (создание комиссии, определение дата начала), основном (составление и подписание инвентаризационных ведомостей, описей) и заключительном (приказ об итогах инвентаризации). Процедура копирования и архивирования информационных систем – тоже одна из необходимых процедур системы внутреннего контроля. И определение периодичности ее проведения требует формализации (утверждение сроков проведения, порядка, времени и т.д.), так как отсутствие данной процедуры может привести к существенным потерям бизнеса.
Таким образом, в любой организации существует система внутреннего контроля, которая может выстраиваться, как с четким осознаем проводимого процесса с элементами формализации, так и интуитивно, как так в процессе деятельности организации периодически возникают рисковые моменты, требующие анализа и элиминации, и, если организация существует на рынке продолжительный период времени, у нее будут сложившиеся элементы системы внутренних контролей, в том числе и формализованные. И тем самым, соблюдение требования Закона № 402-ФЗ о необходимости организовать систему внутреннего контроля – это не простая формальность, а насущная необходимость для функционирования и развития бизнеса в разных отраслях.
