Для чего осуществляется оценка системы внутреннего контроля
XIII. Оценка организацией системы внутреннего
13.1. Организация должна проводить оценку системы внутреннего контроля организации с целью определения уровня ее организации и разработки мероприятий по развитию и совершенствованию системы внутреннего контроля.
13.2. Оценка организацией системы внутреннего контроля организации должна предусматривать проверку функционирования системы внутреннего контроля организации в ходе финансово-хозяйственной деятельности с целью своевременного информирования руководителей о выявленных ошибках, противоречиях и недостатках для принятия мер по их устранению.
13.3. Порядок, частота осуществления оценки организацией системы внутреннего контроля организации должны определяться в зависимости от характера и масштабов финансово-хозяйственной деятельности организации, изменений в финансово-хозяйственной деятельности и общего уровня развития и надежности системы внутреннего контроля организации.
13.4. Оценка организацией системы внутреннего контроля организации должна проводиться с учетом результатов фактически выполняемых и документально подтвержденных контрольных процедур организации.
13.5. Организация должна проводить оценку системы внутреннего контроля организации в разрезе пяти компонентов:
контрольная среда организации;
выявление и оценка организацией рисков;
контрольные процедуры организации;
информационная система организации;
мониторинг организацией средств контроля.
13.6. При анализе и оценке контрольной среды организации должны учитываться следующие критерии:
внедрение в организации и соблюдение сотрудниками организации профессиональных, этических и поведенческих стандартов;
участие руководителя организации в процессе оценки результатов функционирования системы внутреннего контроля организации, в том числе закрепление за руководителем организации функций рассмотрения и утверждения оценки результатов мониторинга и оценки системы внутреннего контроля организации;
распределение (разграничение) полномочий и обязанностей, закрепленное в организационной структуре, реализующей надлежащий учет ключевых сфер полномочий, обязанностей и определенного порядка подчиненности сотрудников;
наличие требований к квалификации сотрудников, в том числе к образованию, опыту работы, достижениям, сведениям о добросовестности и этическом поведении, а также наличие программ подготовки специалистов, предусматривающих обучение их функциям и обязанностям;
13.7. При выявлении и оценке рисков должны учитываться следующие критерии:
наличие системы управления рисками организации;
утверждение комплексной стратегии управления рисками организации на уровне руководителя организации;
документирование результатов выявления и оценки организацией рисков;
использование организацией современных информационных систем для организации системы управления рисками организации.
13.8. При анализе и оценке контрольных процедур организации должны учитываться следующие критерии:
описание контрольных процедур в организации;
документирование выполнения организацией контрольных процедур организации;
оценка организацией эффективности контрольных процедур организации;
наличие автоматизированных контрольных процедур организации;
соотношение автоматизированных и ручных контрольных процедур организации.
13.9. При анализе и оценке информационных систем организации должны учитываться следующие критерии:
частота проведения внутреннего и (или) внешнего аудита информационных систем организации;
наличие защиты от несанкционированного доступа к исходным данным, содержащимся в информационных системах организации;
использование современных информационных систем организации для организации бухгалтерского и налогового учета;
использование современных информационных систем организации для контроля за правильностью исчисления (удержания) налогов, сборов, страховых взносов и для подготовки бухгалтерской (финансовой), налоговой и иной отчетности;
реализация процедур автоматизированного контроля в информационных системах организации;
наличие в информационных системах организации контролей, выполняемых в режиме реального времени.
13.10. При анализе мониторинга организацией средств контроля должны учитываться следующие критерии:
непрерывность осуществления организацией мониторинга и оценки системы внутреннего контроля организации;
наличие формализованных показателей оценки системы внутреннего контроля организации;
наличие регламентированной процедуры проведения и оформления результатов оценки системы внутреннего контроля организации;
регулярность составления и представления руководству организации отчетности об оценке системы внутреннего контроля организации;
проведение внутреннего и (или) внешнего аудита результатов оценки системы внутреннего контроля организации;
наличие и реализация плана мероприятий по совершенствованию системы внутреннего контроля организации.
Как построить в компании систему внутреннего контроля
Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов
Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.
Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.
Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)
Что такое операционный риск
Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.
Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:
Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.
Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.
По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX
Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.
И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.
Вопрос о пользе внедрения СВА в компании периодически волнует многих руководителей. Особенно, если она не обязательна в сфере работы организации. А руководство тех компаний, где служба уже существует, после каждого отчета решает, насколько доверять рекомендациям аудиторов и какие из них внедрять.
Как внутренним аудиторам повысить уровень доверия к СВА при помощи правильного анализа данных, а также, как поддерживать имидж отдела, который сам всех проверяет, рассказываем в статье.
Анализ результатов внутреннего аудита
План согласовали, аудит организовали и результаты собрали. Пора переходить к этапу, ради которого все начинали — к анализу результатов и выводам, что дальше делать, чтобы прибыль росла, продуктивность сотрудников не снижалась, а строгие проверки не находили нарушений. И тут оказывается, что данных для обработки хватит на месяц, а начальство отчет требует через 3 дня: скорость реакции и принятия решений нынче в приоритете.
На помощь приходит автоматизация данных. Она не просто повышает эффективность работы внутренних аудиторов, а способствует более глубокому пониманию бизнеса и изменению подходов к мониторингу. Главное условие — автоматизация не отдельных процедур (анализ данных, например), а всего жизненного цикла внутреннего аудита. Исследование об популярности аналитики больших данных и работы в специализированных системах провели на pwc.ru.
Специалисты Deloitte уточняют, что такой анализ приносит наилучшие результаты при работе аудиторов вместе с профильными специалистами и специалистами по интеллектуальному анализу данных. Перечислим преимущества командной работы и автоматизации аналитических функций.
Показатели эффективности сотрудников СВА
Отчет с выводами и рекомендациями оформили и отдали начальству. Руководитель СВА готовит презентацию для собственников компании и должен быть уверен в качестве результатов, полученных от аудитора.
Убедиться в профессионализме подчиненных можно с помощью ключевых показателей эффективности (КПЭ). Разрабатывает показатели и проводит оценку сотрудников на соответствие этим критериям руководитель службы внутреннего аудита. Он же определяет периодичность проверки сотрудников.
Мы перечислили примерные варианты КПЭ, которые можно адаптировать под задачи компании.
Название
Шкала
Признак выполнения КПЭ
Примечания
Внутренняя оценка качества деятельности
от 1 до 5 баллов
от 3 до 5 баллов
руководитель может разработать свою шкалу и критерии соответствия
Соответствие кодексу этики
да/нет
да
Нет замечаний по выполняемым обязанностям
0–100 %
не менее 90%
Достаточность доказательств и обоснованность выводов
0–100 %
не менее 90%
Выполнение плана аудиторских проверок
0–100 % (отношение выполненных проверок к запланированным за определенный период)
100 %
Руководитель может снижать признак выполнения в зависимости от специфики работы
Выполнение плана повышения квалификации
пройдены все запланированные курсы
При условии, что компания выделила финансирование
Замечания внешнего аудитора по учету и отчетности
нет замечаний
Оценка системы внутреннего аудита
Всех сотрудников отдела по отдельности оценили и в рейтинг по заслугам выстроили. Доложили результаты проделанной работы. Однако у руководства компании может возникнуть справедливый вопрос: насколько компетентна СВА в целом и стоит ли внедрять рекомендации. Как проконтролировать проверяющих?
Строгих предписаний по оценке деятельности службы внутреннего аудита не существует. Следовательно, в каждой компании критерии качества работы службы устанавливают самостоятельно.
Приведем в пример несколько классификаций показателей работы СВА.
Еще раз уточним, что эти критерии для оценки деятельности службы внутреннего аудита приведены для примера. Руководители компании могут адаптировать их к своим задачам или считать, что какие-то из представленных вариантов не показывают релевантную картину работы службы.
Например, не все согласны с тем, что надо ориентироваться на число нарушений, выявленных СВА. Если служба функционирует в компании не первый год, то с течением времени количество нарушений снижается. Это тоже может быть показателем хорошей работы в долговременной перспективе.
Внутренний контроль – для чего и как организовать?
В соответствии с требованиями Федерального закона от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» через систему внутреннего контроля в организации должны проходить все совершаемые факты хозяйственной деятельности. Статья 19 Закона «О бухгалтерском учете» указывает на необходимость проведения внутреннего контроля, но строгих требований и правил она не содержит. Практические рекомендации по этой теме содержатся в Информации Минфина России от 26.12.2013 N ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
Внутренний контроль бухгалтерского учета – для кого обязателен?
Исключение: ситуация, когда обязанность ведения бухгалтерского учета принял на себя руководитель организации. Например, субъекты малого предпринимательства при организации внутреннего контроля должны исходить из принципа рациональности и при определенных обстоятельствах руководитель такого экономического субъекта может осуществлять функции внутреннего контроля самостоятельно. Аналогичный подход, согласно Информации N ПЗ-11/2013, может применяться некоторыми некоммерческими организациями.
Внутренний контроль: в теории
Процедуры внутреннего контроля, согласно рекомендациям Минфина России, включают в себя:
Оцениваем и устраняем риски
В Информации Минфина N ПЗ-11/2013 сказано, что оценка рисков призвана выявлять те из них, которые могут повлиять на достоверность учета и отчетности.
Специалисты, осуществляющие внутренний контроль, должны убедиться в том, что:
Проблема оценки риска возникновения злоупотреблений непосредственно связана с неосмотрительностью и неосторожностью как при ведении бизнеса в целом, так и при выборе контрагентов в частности.
Внутренний контроль: практика
Особое внимание стоит обратить на то, что эффективность внутреннего контроля может быть снижена или ограничена по разным причинам, зачастую независящим от организации. Например, изменение законодательства, возникновение новых обстоятельств вне сферы влияния руководства экономического субъекта. А вот превышение должностных полномочий руководством или иным персоналом или возникновение ошибок в процессе принятия решений, при проведении сделок, ведении бухгалтерского учета – это уже внутренние причины и их влияние на организацию контроля можно уменьшить.
В заключение стоит отметить, что систему внутреннего контроля должна создать и использовать в своей деятельности каждая компания. Это инструмент управления организацией, позволяющий максимально эффективно реализовать различные бизнес-процессы. Внутренний контроль должен не только обнаружить недостатки и нарушения в части уже свершившихся фактов хозяйственной жизни, но и предотвратить их появление в будущем. И важно, чтобы он осуществлялся постоянно, без пропусков в течение всего отчетного периода в полном соответствии с утвержденным регламентом.
Внутренний контроль должен стать из одним из важнейших инструментов в принятии решений, достижении стратегических целей организации, сохранности активов, их эффективного использования, соблюдении законодательства и внутренних актов, а также составлении достоверной бухгалтерской (финансовой) отчетности.
ВНИМАНИЕ!
Завтра на «Клерке» стартует обучение наонлайн-курсе повышения квалификациидля получения удостоверения, которое попадет в госреестр. Тема курса: управленческий учет.
Повысьте свою ценность как специалиста в глазах директора. Смотреть полную программу
Вопросы создания систем внутреннего контроля в организациях стали активно обсуждаться в профессиональном сообществе с момента вступления в силу норм ст. 19 Федерального закона от 06 декабря 2011 года № 402-ФЗ «О бухгалтерском учете». Несмотря на наличие публикаций по данной тематике, многие субъекты хозяйственной деятельности не в полной мере понимают необходимость формирования системы внутреннего контроля и механизм его реализации. Поэтому считаем необходимым дать некоторые разъяснения и рекомендации по внедрению системы внутреннего контроля и отражения ее в учетной политике организаций.
В первую очередь следует обратить внимание на то, что Закон разделяет понятия внутреннего контроля совершаемых фактов хозяйственной жизни и внутреннего контроля ведения бухгалтерского учета.
Относительно первого Закон устанавливает, что «экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни» (п. 1 ст. 19).
Касательно внутреннего контроля функционирования учетной системы компании п. 2 ст. 19 Закона определяет, что «экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовывать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
Следует обратить внимание на то, что к настоящему времени с понятием внутреннего контроля связано множество действующих нормативных документов, основными из которых являются:
Сами понятия «внутреннего контроль» и «система внутреннего контроля» для отечественного бизнеса являются достаточно новыми. В общем-то, эти термины пришли из аудиторской практики.
Система внутреннего контроля (СВК) — совокупность организационной структуры, методик и процедур, принятых руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности, которая в т. ч. включает надзор и проверку, организованные внутри данного экономического субъекта его силами:
Система внутреннего контроля в организации, как правило, включает следующие элементы:
Далее подробно рассмотрим состав и особенности указанных элементов системы внутреннего контроля в организации.
Контрольная среда включает официальную позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля, а также понимание значения такой системы. Контрольная среда оказывает влияние на сознательность сотрудников в отношении контроля. Она является основой для эффективной системы внутреннего контроля, обеспечивающей поддержание дисциплины и порядка. Далее приводится состав основных элементов контрольной среды организации (табл. 1).
Таблица 1. Состав контрольной среды организации
п/п
Основные элементы
1
Доведение принципа честности до всеобщего сведения, поддержание его и других этических ценностей
2
Профессионализм (компетентность сотрудников)
3
Участие собственника или его представителей
4
Компетентность и стиль работы руководства
5
Организационная структура
6
Наделение ответственностью и полномочиями
7
Кадровая политика и практика
Процесс оценки рисков представляет собой выявление и по возможности устранение рисков в ведении хозяйственной деятельности, а также их возможных последствий. При этом следует учитывать, что риски могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами. Перечень основных факторов, рассматриваемых в процессе оценки рисков, приведен в табл. 2.
Таблица 2. Основные факторы, рассматриваемые в процессе оценки рисков
п/п
Обстоятельства, влияющие на возникновение или изменение рисков
1
Внешние
Изменения в окружении хозяйствующего субъекта (макроэкономические изменения, в т. ч. связанные с изменениями в нормативной среде, могут привести к изменениям в конкурентном давлении и к значительным изменениям рисков)
2
Внутренние
Новый персонал (новые сотрудники могут иметь иную точку зрения на систему внутреннего контроля или иные приоритеты).
3
Внутренние
Внедрение новых или изменение уже применяемых информационных систем (значительные и быстрые изменения в информационных системах могут изменить и риски, связанные с системой внутреннего контроля).
4
Внутренние
Быстрый рост и развитие хозяйствующего субъекта (действующие средства контроля могут не справиться с возросшим объемом операций и способствовать росту риска их несоответствия новым условиям деятельности).
5
Внутренние
Новые технологии (внедрение новых технологий в производственные процессы или информационные системы может изменить риск, связанный с системой внутреннего контроля).
6
Внутренние
Новые подходы к ведению хозяйственной деятельности, новые виды товаров, работ, услуг (освоение новых видов деятельности, продукции, в отношении которых лицо имеет небольшой опыт, может стать причиной появления новых рисков, связанных с системой внутреннего контроля).
7
Внутренние
Реорганизация хозяйственного лица может сопровождаться сокращением численности персонала и изменениями в распределении обязанностей, а также контрольных функций, выполняемых сотрудниками: они также могут повлиять на риск, связанный с системой внутреннего контроля.
8
Внешние и внутренние
Расширение операций за рубежом (расширение объема хозяйственных операций за рубежом и открытие дочерних предприятий, филиалов, инвестиции в зарубежные предприятия влекут за собой новые и, как правило, необычные риски, которые могут оказать влияние на систему внутреннего контроля, например, дополнительные или изменившиеся риски в результате осуществления операций с иностранной валютой, дополнительные или изменившиеся риски в связи с особенностями зарубежного, в т. ч. налогового, законодательства).
9
Внешние и внутренние
Новые принципы, стандарты, положения, инструкции в области ведения бухгалтерского учета и подготовки отчетности (принятие новых учетных принципов или их изменение может повлиять на риски, связанные с подготовкой финансовой (бухгалтерской) отчетности).
Рекомендация: При выявлении возможных рисков руководство рассматривает степень их важности, вероятность их возникновения и способы управления ими. Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков либо по другим причинам.
Информационная система, в т. ч. связанная с подготовкой финансовой (бухгалтерской) отчетности, обеспечивает понимание сотрудниками обязанности и ответственности, связанных с организацией и применением системы внутреннего контроля. Главной составляющей системы является функция информирования персонала о значимости его участия в процессах и связи его действий в информационной системе с работой других сотрудников, а также понимание способов доведения до руководителей соответствующего уровня информации о каких-либо исключительных ситуациях.
Функционирование информационных систем, связанных с подготовкой финансовой (бухгалтерской) отчетности, обеспечивается следующими средствами:
Перечень основных функций информационных систем направленных на организацию внутреннего контроля приводится в табл. 3.
Таблица 3. Основные функции информационных систем внутреннего контроля
п/п
Функции информационных систем
1
Идентификация и регистрация всех правомерных операций.
2
Своевременная и достаточно подробная фиксация операций, что позволяет надлежащим образом классифицировать операции для дальнейшего включения в финансовую (бухгалтерскую) отчетность.
3
Осуществление оценки объектов учета таким образом, чтобы соответствующая информация могла быть включена в финансовую (бухгалтерскую) отчетность в надлежащем суммовом выражении.
4
Определение периода времени, в котором имели место операции, что позволяет отнести их в учете к соответствующему отчетному периоду.
5
Представление надлежащим образом операций и относящихся к ним случаев раскрытия информации в финансовой (бухгалтерской) отчетности.
Таблица 4. Перечень методов и процедур, применяемых в контрольных действиях
п/п
Методы и процедуры, применяемые в контрольных действиях
1
Проверка выполнения
Такие контрольные действия включают:
Обработка информации
Разнообразные контрольные процедуры в отношении обработки информации выполняются для проверки точности, полноты и санкционирования операций и делятся в области информационных систем на две большие группы средств контроля:
Общие средства контроля над информационной системой обычно включают средства контроля в отношении:
Такие средства контроля применимы к универсальным компьютерам, мини-компьютерам и вычислительным машинам конечных пользователей в локальных сетях. Примерами таких общих средств контроля являются:
Прикладные средства контроля применяются к обработке отдельных видов информации. Эти средства контроля помогают удостовериться, что осуществленные хозяйственные операции были санкционированы в полном объеме и точно зафиксированы и обработаны.
Примерами прикладных средств контроля являются:
Проверка наличия и состояния объектов
Указанные контрольные действия направлены на обеспечение сохранности активов, включая:
Таблица 5. Перечень мероприятий, связанных с мониторингом средств контроля
п/п
Мероприятия, связанные с мониторингом средств контроля
1
Наблюдение руководства за тем, своевременно ли подготавливаются выверки расчетов с банками;
2
оценка внутренними аудиторами соответствия действий персонала, занимающегося продажами, политике организации в отношении определенных условий договоров с покупателями;
3
осуществление надзора за соответствием действий персонала политике организации в области этики или деловой практики;
4
регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности;
5
мониторинговые мероприятия могут включать использование информации, полученной извне;
6
руководство, осуществляя мониторинг, может также учитывать сообщения внешних аудиторов, касающиеся системы внутреннего контроля;
7
внутренние аудиторы или персонал, выполняющий аналогичные функции регулярно предоставляет информацию о функционировании системы внутреннего контроля, сосредоточивая основное внимание на оценке организации и применении системы внутреннего контроля, сообщает информацию о достоинствах и недостатках системы внутреннего контроля, а также дает рекомендации по ее улучшению.
Рекомендация: Система информирования персонала может принимать такие формы, как внутренние регламенты деятельности, руководства по составлению финансовой (бухгалтерской) отчетности, инструкции и указания. Доведение информации до сведения сотрудников может осуществляться с использованием средств электронной связи, устно и посредством распоряжений руководства.
Контрольные действия включают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются (например, что необходимые меры предприняты в отношении рисков, которые могут препятствовать достижению целей). Контрольные действия, осуществляемые вручную или с применением информационных систем, имеют различные цели и применяются на различных организационных и функциональных уровнях.
Мониторинг средств контроля включает наблюдение за тем, функционируют ли они и были ли они изменены надлежащим образом в случае необходимости. Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени.
В соответствии с вышеизложенными подходами и рекомендациями к формированию и оценке работы систем внутреннего контроля, необходимо обращать основное внимание на соответствие выстроенной в организации СВК действующим нормативным документом и основному идеологическому «посылу» заложенному в ней — стремлению к минимизации рисков в хозяйственной деятельности и своевременному выявлению нарушений.
Данные рекомендации следует использовать в организации начиная с первого этапа постановки СВК — на стадии формирования учетной политики на соответствующий временной период.
Список литературы
1 Перечень терминов и определений, используемых в правилах (стандартах) аудиторской деятельности (одобрен Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 года).
2 П. 42 правила (стандарта) № 8 (Постановление Правительства РФ от 23 сентября 2002 года № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности»).
