Что такое внутренний контроль на предприятии

Система внутреннего контроля в организации

Вопросы создания систем внутреннего контроля в организациях стали активно обсуждаться в профессиональном сообществе с момента вступления в силу норм ст. 19 Федерального закона от 06 декабря 2011 года № 402-ФЗ «О бухгалтерском учете». Несмотря на наличие публикаций по данной тематике, многие субъекты хозяйственной деятельности не в полной мере понимают необходимость формирования системы внутреннего контроля и механизм его реализации. Поэтому считаем необходимым дать некоторые разъяснения и рекомендации по внедрению системы внутреннего контроля и отражения ее в учетной политике организаций.

В первую очередь следует обратить внимание на то, что Закон разделяет понятия внутреннего контроля совершаемых фактов хозяйственной жизни и внутреннего контроля ведения бухгалтерского учета.

Относительно первого Закон устанавливает, что «экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни» (п. 1 ст. 19).

Касательно внутреннего контроля функционирования учетной системы компании п. 2 ст. 19 Закона определяет, что «экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовывать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».

Следует обратить внимание на то, что к настоящему времени с понятием внутреннего контроля связано множество действующих нормативных документов, основными из которых являются:

Сами понятия «внутреннего контроль» и «система внутреннего контроля» для отечественного бизнеса являются достаточно новыми. В общем-то, эти термины пришли из аудиторской практики.

Система внутреннего контроля (СВК) — совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности, которая в т. ч. включает надзор и проверку, организованные внутри данного экономического субъекта его силами:

Система внутреннего контроля в организации, как правило, включает следующие элементы:

Далее подробно рассмотрим состав и особенности указанных элементов системы внутреннего контроля в организации.

Контрольная среда включает официальную позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля, а также понимание значения такой системы. Контрольная среда оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка. Далее приводится состав основных элементов контрольной среды организации (табл. 1).

Таблица 1. Состав контрольной среды организации

п/п	Основные элементы
1	Доведение принципа честности до всеобщего сведения, поддержание его и других этических ценностей
2	Профессионализм (компетентность сотрудников)
3	Участие собственника или его представителей
4	Компетентность и стиль работы руководства
5	Организационная структура
6	Наделение ответственностью и полномочиями
7	Кадровая политика и практика

Процесс оценки рисков представляет собой выявление и по возможности устранение рисков в ведении хозяйственной деятельности, а также их возможных последствий. При этом следует учитывать, что риски могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами. Перечень основных факторов, рассматриваемых в процессе оценки рисков, приведен в табл. 2.

Таблица 2. Основные факторы, рассматриваемые в процессе оценки рисков

п/п	Обстоятельства, влияющие на возникновение или изменение рисков
1	Внешние	Изменения в окружении хозяйствующего субъекта (макроэкономические изменения, в т. ч. связанные с изменениями в нормативной среде, могут привести к изменениям в конкурентном давлении и к значительным изменениям рисков)
2	Внутренние	Новый персонал (новые сотрудники могут иметь иную точку зрения на систему внутреннего контроля или иные приоритеты).
3	Внутренние	Внедрение новых или изменение уже применяемых информационных систем (значительные и быстрые изменения в информационных системах могут изменить и риски, связанные с системой внутреннего контроля).
4	Внутренние	Быстрый рост и развитие хозяйствующего субъекта (действующие средства контроля могут не справиться с возросшим объемом операций и способствовать росту риска их несоответствия новым условиям деятельности).
5	Внутренние	Новые технологии (внедрение новых технологий в производственные процессы или информационные системы может изменить риск, связанный с системой внутреннего контроля).
6	Внутренние	Новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг (освоение новых видов деятельности, продукции, в отношении которых лицо имеет небольшой опыт, может стать причиной появления новых рисков, связанных с системой внутреннего контроля).
7	Внутренние	Реорганизация хозяйственного лица может сопровождаться сокращением численности персонала и изменениями в распределении обязанностей, а также контрольных функций, выполняемых сотрудниками: они также могут повлиять на риск, связанный с системой внутреннего контроля.
8	Внешние и внутренние	Расширение операций за рубежом (расширение объема хозяйственных операций за рубежом и открытие дочерних предприятий, филиалов, инвестиции в зарубежные предприятия влекут за собой новые и, как правило, необычные риски, которые могут оказать влияние на систему внутреннего контроля, например, дополнительные или изменившиеся риски в результате осуществления операций с иностранной валютой, дополнительные или изменившиеся риски в связи с особенностями зарубежного, в т. ч. налогового, законодательства).
9	Внешние и внутренние	Новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности (принятие новых учетных принципов или их изменение может повлиять на риски, связанные с подготовкой финансовой (бухгалтерской) отчетности).

Рекомендация: При выявлении возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков либо по другим причинам.

Информационная система, в т. ч. связанная с подготовкой финансовой (бухгалтерской) отчетности, обеспечивает понимание сотрудниками обязанности и ответственности, связанных с организацией и применением системы внутреннего контроля. Главной составляющей системы является функция информирования персонала о значимости его участия в процессах и связи его действий в информационной системе с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях.

Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается следующими средствами:

Перечень основных функций информационных систем направленных на организацию внутреннего контроля приводится в табл. 3.

Таблица 3. Основные функции информационных систем внутреннего контроля

п/п	Функции информационных систем
1	Идентификация и регистрация всех правомерных операций.
2	Своевременная и достаточно подробная фиксация операций, что позволяет надлежащим образом классифицировать операции для дальнейшего включения в финансовую (бухгалтерскую) отчетность.
3	Осуществление оценки объектов учета таким образом, чтобы соответствующая информация могла быть включена в финансовую (бухгалтерскую) отчетность в надлежащем суммовом выражении.
4	Определение периода времени, в котором имели место операции, что позволяет отнести их в учете к соответствующему отчетному периоду.
5	Представление надлежащим образом операций и относящихся к ним случаев раскрытия информации в финансовой (бухгалтерской) отчетности.

Таблица 4. Перечень методов и процедур, применяемых в контрольных действиях

Проверка выполнения

Такие контрольные действия включают:

Обработка информации

Разнообразные контрольные процедуры в отношении обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:

Общие средства контроля над информационной системой обычно включают средства контроля в отношении:

Такие средства контроля применимы к универсальным компьютерам, мини-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:

Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы в полном объеме и точно зафиксированы и обработаны.

Примерами прикладных средств контроля являются:

Проверка наличия и состояния объектов

Указанные контрольные действия направлены на обеспечение сохранности активов, включая:

Таблица 5. Перечень мероприятий, связанных с мониторингом средств контроля

п/п	Методы и процедуры, применяемые в контрольных действиях
1

п/п	Мероприятия, связанные с мониторингом средств контроля
1	Наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками;
2	оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике организации в отношении определенных условий договоров с покупателями;
3	осуществление надзора за соответствием действий персонала политике организации в области этики или деловой практики;
4	регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности;
5	мониторинговые мероприятия могут включать использование информации, полученной извне;
6	руководство, осуществляя мониторинг, может также учитывать сообщения внешних аудиторов, касающиеся системы внутреннего контроля;
7	внутренние аудиторы или персонал, выполняющий аналогичные функции регулярно предоставляет информацию о функционировании системы внутреннего контроля, сосредоточивая основное внимание на оценке организации и применении системы внутреннего контроля, сообщает информацию о достоинствах и недостатках системы внутреннего контроля, а также дает рекомендации по ее улучшению.

Рекомендация: Система информирования персонала может принимать такие формы, как внутренние регламенты деятельности, руководства по составлению финансовой (бухгалтерской) отчетности, инструкции и указания. Доведение информации до сведения сотрудников может осуществляться с использованием средств электронной связи, устно и посредством распоряжений руководства.

Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются (например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей). Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.

Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости. Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени.

В соответствии с вышеизложенными подходами и рекомендациями к формированию и оценке работы систем внутреннего контроля, необходимо обращать основное внимание на соответствие выстроенной в организации СВК действующим нормативным документом и основному идеологическому «посылу» заложенному в ней — стремлению к минимизации рисков в хозяйственной деятельности и своевременному выявлению нарушений.

Данные рекомендации следует использовать в организации начиная с первого этапа постановки СВК — на стадии формирования учетной политики на соответствующий временной период.

Список литературы

1 Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности (одобрен Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 года).

2 П. 42 правила (стандарта) № 8 (Постановление Правительства РФ от 23 сентября 2002 года № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности»).

Источник

Как построить в компании систему внутреннего контроля

Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Источник