Что должна обеспечивать система внутреннего контроля организации
Перейти к содержимому

Что должна обеспечивать система внутреннего контроля организации

  • автор:

Что должна обеспечивать система внутреннего контроля организации

II. Организация системы внутреннего контроля организации

2.1. Система внутреннего контроля организации должна обеспечивать:

упорядоченное и эффективное ведение финансово-хозяйственной деятельности организации, в том числе достижение финансовых и операционных показателей, сохранность активов;

правильность исчисления (удержания), полноту и своевременность уплаты (перечисления) налогов, сборов, страховых взносов;

достоверность, полноту и своевременность отражения результатов финансово-хозяйственной деятельности в бухгалтерской (финансовой), налоговой и иной отчетности, а также учета таких результатов при исчислении (удержании) налогов, сборов, страховых взносов, полноты и своевременности их уплаты (перечисления);

соблюдение законодательства Российской Федерации, в том числе при совершении фактов хозяйственной жизни по совершенной или планируемой сделке (операции) или совокупности взаимосвязанных сделок (операций), а также по иным совершенным фактам хозяйственной жизни организации;

мониторинг результатов выполняемых контрольных процедур, направленных на своевременное выявление, исправление и предотвращение ошибок (искажений) в бухгалтерской (финансовой), налоговой и иной отчетности.

2.2. Система внутреннего контроля организации должна отвечать специфике финансово-хозяйственной деятельности организации, функционировать на постоянной основе.

2.3. Система внутреннего контроля организации должна функционировать на всех уровнях контроля осуществления бизнес-процесса (операции), в том числе:

до фактического начала бизнес-процесса (операции) с целью предупреждения или минимизации негативного воздействия событий и факторов, которые могут повлиять на достижение целей организации;

непосредственно в ходе осуществления бизнес-процесса (операции) с целью своевременного выявления и немедленного устранения возникающих в ходе работы нарушений и отклонений от заданных параметров;

после осуществления бизнес-процесса (операции) с целью установления достоверности отчетных данных и оценки соответствия результатов целевым (плановым) показателям.

Малый бизнес: нужна ли ему система внутреннего контроля?

Даже если руководитель думает, что в его организации нет системы внутреннего контроля, она есть (как в известном фильме). Без нее не может существовать организация, даже маленькая. Любой собственник имущества заинтересован в его сохранности, контроле над финансовыми потоками, для этого он и разрабатывает определенные требования. Часто они не формализованы, но все им подчиняются. Правила организации и контроля при ведении бизнеса без комплексного подхода, зачастую, возникают в те моменты, когда случаются определенные проблемы – недостача товара, кража имущества, необходимость восстанавливать участки учета при смене бухгалтера, утечка информации конкуренту и т.д. Для устранения возможных проблем в будущем и повторения неприятных ситуаций руководитель начинает закрывать проблемные места – пересматривать систему хранения товара, организации логистики на каждом этапе движения товара, заниматься вопросами обеспечения резервного копирования системы бухгалтерской системы, приобретать и устанавливать программные продукты для защиты информации от утечки и т.д. Но можно работу по построению системы внутреннего контроля проводить не методом «латания дыр», а проводить комплексно, последовательно, постепенно развивая.

Обязанность организовать и осуществлять внутренний контроль совершаемых хозяйственных операций, закреплена на законодательном уровне, в п. 1 ст. 19 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (далее Закон № 402-ФЗ). В этом же документе, в п. 2 ст. 19 Закона № 402-ФЗ, сказано, что если бухгалтерская (финансовая) отчетность организации подлежит обязательному аудиту, она обязана организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).

Таким образом, уже видим как минимум два направления в порядке построения системы внутреннего контроля – в виде комплекса контрольных мероприятий за хозяйственной деятельностью и специальных контрольных процедур, связанных с формированием бухгалтерской (финансовой) отчетности.

Первое направление является для собственников наиболее важным, хотя часто имея отлаженную систему контролей на этапе формирования бухгалтерской (финансовой) отчетности, видим ее существенные недостатки при осуществлении хозяйственных операций. Ведь основными задачами внутреннего контроля является обеспечение результативности деятельности, соблюдение законодательства при совершении фактов хозяйственной деятельности и обеспечение достоверности и своевременности бухгалтерской и иной отчетности. Без выполнения последней задачи, собственник не будет информирован об эффективности инвестиций в организацию.

Что же представляет из себя система внутреннего контроля? Она включает следующие основные элементы:

  • контрольная среда;
  • оценка риска;
  • процедуры внутренних контролей;
  • информацию и коммуникацию;
  • оценку внутреннего контроля.

Контрольная среда – это совокупность принципов и стандартов деятельности организации, которые определяют общее понимание внутреннего контроля и требования к нему на уровне организации в целом. Она является основой для обеспечения и поддержания дисциплины и порядка в организации, эффективности системы ее внутреннего контроля.

Так, в любой организации, даже небольшой, всегда складывается определенная корпоративная культура, этика поведения ее сотрудников (даже не формализованная, не описанная в конкретном документе). Часть элементов корпоративной культуры может быть формализована организацией при соблюдении ею требований законодательства, в частности, трудового. Например, в организации документально зафиксирован трудовой распорядок, с которым под роспись знакомят сотрудников, созданы должностные инструкции, в которых описаны основные требования, предъявляемые к кандидату на эту должность, сформирована структура подчиненности сотрудников, условия работы и оплата труда, которые указываются в заключаемых трудовых договорах и т.д. Разработкой такого сложного документа, как кодекс этики поведения сотрудников, не всегда занимаются даже крупные организации. Среди компонентов контрольной среды могут присутствовать в организации, но не быть формализованными, например, такие ее компоненты, как информирование о принципах честности, принципах поведения сотрудников, отношение между функциональными подразделениями, выработка взаимоотношений с бухгалтерской службой, принципы и правила подбора кадров.

Пожалуй, самый интересный компонент – это оценка риска. На мой взгляд, базовый элемент, так как он является процессом выявления и анализа рисков, которые представляют собой вероятность и последствия недостижения организацией своей цели. Что является основной целью коммерческой организации? Конечно же получение дохода, прибыли, инвестиционная привлекательность для собственника. И если в деятельности организации есть риски, которые не способствуют достижению этой цели, их необходимо устранять.

Вот как раз следующий элемент системы внутренних контролей призван этому способствовать. Процедуры внутренних контролей – это действия, направленные на минимизацию рисков деятельности организации. Например, появление недостачи товара, части имущества организации, приведет к тому, что организация недополучит доход от продажи товара, от использования другого имущества. Как этот риск можно уменьшить? Путем организации складского хозяйства с обеспечением доступа к материальным ценностям ограниченного круга лиц, путем заключения с ними договора о материальной ответственности, проведением регулярных инвентаризаций товаров и иного имущества. Практика жизни показывает, что данные контрольные процедуры не всегда приводят к 100 процентному устранению риска, но способствуют его значительному снижению.

Приведу еще один аргумент, который свидетельствует о том, что оценка риска является базой для системы внутренних контролей. Руководство, собственники компании, понимают, что «закрыть» все риски, с которыми организация сталкивается в процессе своей деятельности, невозможно. Здесь как раз важно найти рациональное зерно и провести оценку наиболее характерных рисков бизнеса из тех, которые приведут к наибольшим потерям организации, их ранжировать. Далее необходимо разработать контрольные процедуры, способствующие минимизации наиболее значимых рисков для конкретной организации. Затраты на осуществление контрольных процедур не должны превышать возможные риски. Не нужно покупать бронированный склад стоимостью миллионы рублей для хранения ящика банальных удочек для рыбалки, которые планируем продавать.

Источниками информации для принятий решений в организации является информационная система, которую она использует. А с помощью тех или иных средств коммуникации руководство организацией распространяет информацию, необходимую для принятия управленческого решения и осуществления контроля. Так, для проведения инвентаризации товара из системы, где зафиксировано его движение, выгружаются его остатки, с помощью приказа руководитель создает комиссию по инвентаризации и информирует о дате проведения инвентаризации.

Ну, и относительно пятого элемента – оценки внутреннего контроля, его значимость не менее важна, так как на данном этапе выявляется эффективность внутреннего контроля. Периодичность такой оценки может быть различной, но не реже раза в год. В процессе ведения бизнеса может сложиться такая ситуация, что система сама себя проявит в неэффективности, если выяснится, что контрольная процедура не закрывает риск и он сказался на деятельности организации в какой-то момент времени. Но лучше такого момента не дожидаться, а периодически анализировать элементы системы на эффективность их работы.

Важно периодически проводить оценку рисков и их ранжирование, так как организация не существует в одних и тех же условиях ведения бизнеса постоянно (меняется внешняя среда, вводятся новые процедуры в компании, новые информационные системы, новые виды бизнеса, меняется организационная структура и т.д.), а, следовательно, необходимо пересматривать и контрольные процедуры, призванные устранять риски, в которых компания существует. Не нужно проводить процесс ради процесса, у него должен быть результат и эффект. Так, если какой-то процесс хозяйственной деятельности был автоматизирован, и настроены и работают автоматические средства контроля, то проведение дополнительных ручных контрольных процедур, раннее осуществляемых сотрудниками, не требуется.

Еще раз обращу внимание, и особенно это важно для малых организаций, затраты на построение системы внутреннего контроля не должны превышать его эффективность. Но есть элементы, которые требуют формализации и необходимы практически для каждой организации. Один из элементов системы внутренних контролей – это учетная политика организации, содержащая не только выбранные методы и способы учета, но и определяющая первичные документы, которые создаются в организации и затрагивают разные этапы организации деятельности компании, а, следовательно, и разные подразделения. Наличие подписи на первичном документе – тоже элемент контроля, так как подпись ставит лицо, ответственное за совершение хозяйственной операции и подтверждающее ее совершение. Утверждая авансовый отчет, ставя на нем свою подпись, руководитель подтверждает, что сотруднику необходимо компенсировать указанную сумму в авансовом отчете. Другой элемент контроля – подписание актов сверок с контрагентами, и это не простая формальность с целью корректного отражения задолженности в бухгалтерской (финансовой) отчетности, но и важное мероприятие для бизнеса, так как решает вопросы, в том числе и возможного истребования задолженности в дальнейшем, урегулирования ее в оперативном порядке.

Еще одна из важнейших процедур внутреннего контроля в организациях разных отраслей – это проведение инвентаризации товароматериальных ценностей. Она всегда формализована, так как требует документального оформления на каждом этапе ее осуществления – на подготовительном (создание комиссии, определение дата начала), основном (составление и подписание инвентаризационных ведомостей, описей) и заключительном (приказ об итогах инвентаризации). Процедура копирования и архивирования информационных систем – тоже одна из необходимых процедур системы внутреннего контроля. И определение периодичности ее проведения требует формализации (утверждение сроков проведения, порядка, времени и т.д.), так как отсутствие данной процедуры может привести к существенным потерям бизнеса.

Таким образом, в любой организации существует система внутреннего контроля, которая может выстраиваться, как с четким осознаем проводимого процесса с элементами формализации, так и интуитивно, как так в процессе деятельности организации периодически возникают рисковые моменты, требующие анализа и элиминации, и, если организация существует на рынке продолжительный период времени, у нее будут сложившиеся элементы системы внутренних контролей, в том числе и формализованные. И тем самым, соблюдение требования Закона № 402-ФЗ о необходимости организовать систему внутреннего контроля – это не простая формальность, а насущная необходимость для функционирования и развития бизнеса в разных отраслях.

Что такое внутренний контроль?

EvidenceBasedManagement

COSO определяет внутренний контроль следующим образом:

Внутренний контроль — это процесс, осуществляемый советом директоров предприятия, менеджментом и прочим персоналом, спроектированный для того, чтобы получить разумную уверенность достижения целей предприятия по следующим категориям:

— Результативность и эффективность операций;

— Надежность финансовой отчетности;

— Соответствие законам и нормативным актам.

Это определение стало классическим. В Правиле (стандарт) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», внутренний контроль определен как:

Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из этих целей.

КОСО выделяет несколько основных аспектов определения:

1. нужен для достижения целей в одной или многих пересекающихся категориях: операционной, отчетность и соответствие (комплаенс);

2. это процесс, состоящий из постоянных задач и активностей. Внутренний контроль это не разовое действие, не разовый проект. Это задачи и действий, которые пронизывают всю деятельность компании и длятся, пока существует компания.

3. на внутренний контроль влияет персонал. ВК это не просто набор политик и процедур, это действия всех сотрудников.

4. концепция обеспечивает разумную уверенность и не может гарантировать абсолютную уверенность достижения цели.

5. применяется к целой структуре. Может адаптироваться как к целой компании, так и к филиалу, подразделению и т.д.

Вопросы

В концепции КОСО вроде бы все просто и ясно. Но давайте разберем пару моментов поподробнее.

1. Суть внутреннего контроля.

Что такое внутренний контроль? КОСО уходит в объяснения деталей, что отвлекает внимание от смысла определения: внутренний контроль — это достижение целей предприятия. Но проблема в том, что достижение целей предприятия — прерогатива дисциплины управление или менеджмент. Если посмотреть любое определение менеджмента или управления, то там так или иначе будет слово «контроль».

Менеджмент или управление производством — разработка и создание (организация), максимально эффективное использование (управление) и контроль социально-экономических систем.

Функция управления, то есть совокупность таких видов деятельности, как планирование, организация и координация, контроль и регулирование, мотивация, осуществление которых обеспечивает эффективное функционирование организации.

Это умение добиваться поставленных целей, направляя труд людей, работающих в организации и имеющих свои индивидуальные особенности, характеры, способности.

В последнем определении вроде бы нет слова контроль. Однако, словосочетание «добиваться поставленных целей» без контроля их достижения не имеет смысла.

Таким образом, внутренний контроль получается неким аналогом менеджмента. И если это действительно аналог менеджмента, то это приводит к системной проблеме всего внутреннего контроля.

КОСО в какой-то момент писало, что наилучшего успеха внутренний контроль добивается когда он интегрирован в структуру менеджмента. Но интегрированный в структуру менеджмента контроль — это и есть управление. Как только внутренним контролем занимается человек, отдельный от менеджмента, то внутренний контроль перестает быть интегрированным.

Является ли внутренний контроль процессом? С одной стороны КОСО право, когда говорить, что внутренний контроль не может быть разовым процессом и деятельность по контролю не может быть ограничена по времени. Это напрямую следует из определения менеджмента: пока есть менеджмент — должен быть контроль.

С другой стороны, слово «процесс», да еще отдельный процесс — сразу же отделило внутренний контроль от управленцев. Это привело к созданию целой касты людей, которые занимаются внутренним контролем и увело внутренний контроль от своего назначения — повышать эффективность предприятия.

3. Разумная уверенность

Это самый сложный вопрос. Степень разумности будет очень сильно зависеть от поставленных целей. Всегда можно поставить такие цели, что их можно будет достичь в любом случае, можно также поставить такие цели, что их нельзя будет достичь. Но вопрос по постановке целей КОСО адресует менеджменту, что также составляет большую слабость концепции внутреннего контроля.

4. Пересекающие категории целей

Это не пересекающие категории целей. Это три аспекта любой цели, которые необходимо достигнуть. Любое действие, которое делает предприятие должно:

1) Приносить пользу (не обязательно денежную);

2) Выдавать правдивую информацию о состоянии дел;

3) Соответствовать закону

Другое определение

Посему к определению, которое дает КОСО есть много вопросов. Но же мы можем отличить компанию, которая наверняка добьется своих целей от компании, которая может быть добьется своих целей. Грязь в цехах, беспорядок в документации, недостаток информации, рекламации от покупателей и т.д. Можем ли описать это отличие?

Мы легко можем отличить хороший автомобиль от плохого. Если руль без люфтов, тормоза работают и так далее, то машина управляемая и едет туда, куда захочет водитель. Доедет или не доедет такая машина до цели — очень сильно зависит от водителя. Если же руль болтается, тормоза то работают, то нет и т.д. — то какой-бы не был водитель, нет никакой гарантии что машина доедет до цели.

На основе этой аналогии можно дать следующее определение, наиболее близко подходящее к тому, что можно назвать внутренним контролем:

Система (процесс) находится в контролируемом состоянии, когда у менеджмента есть обоснованная и разумная уверенность, что система (процесс) достигнет цели. Цель должна быть достигнута:

— эффективно и результативно;

— предоставляя надежную информацию;

— с необходимым соблюдением законов.

А есть ли понятие?

Можно пойти дальше и задать вопрос: а существует ли объект? Например, можно начать считать углы у треугольника со сторонами 9–4–4. Но такого треугольника не существует. Есть ли действительно отдельная сущность «внутренний контроль», или это придуманная абстракция? Человечество вообще-то любит придумать абстрактные сущности и детально их изучать. Медицина долгое время считала, что человек состоит из 4х жидкостей (кровь, желчь, слизь и черная желчь) и детально описывала каждую, хотя в реальности существовало максимум две. Сколько споров было про то, сколько ангелов сможет поместиться на острие иглы?

Контроль — это часть менеджмента. Хорошему менеджеру, в принципе, внутренний контроль не нужен (как отдельная сущность). Плохому — нужны навыки как понимать, что он управляет и контролирует объект. Что такое управлять объектом? Можно бездумно отдавать приказы — но это не управление. Можно бездумно крутить руль на машине, но это не значит управлять машиной, это значит бездумно крутить руль. И тут возникает парадокс. С одной стороны — водитель управляет машиной, когда гонит ночью 200 км. в час. С другой стороны — при таких параметрах вождения это лишь вопрос времени, когда случится авария.

Раньше, чтобы стать водителем, надо было сдать экзамен в том числе по устройству двигателя. Сейчас можно управлять машиной как черным ящиком — там есть что-то, что крутит колеса. Более того, чтобы стать водителем нужно сдать экзамен, результаты которого можно объективно проверить. Как можно объективно проверить, что человек может управлять предприятием?

Количество менеджеров в какой-то момент стало расти. Соответственно, снижался и уровень менеджмента. Там и проявились разницы между тем кто контролировал процесс и теми, кто нет. Так что возможно внутренний контроль — это как понимание пределов возможностей компании. Почему-то все понимают, что если резко выкрутить руль на 150 км. в час, то машина обанкротится. Но если срезать заслуженную премию сотрудникам, то лучшие уйдут и позиция компании ухудшится через пару месяцев — понимают не все.

Если эта гипотеза верна, то пока внутренний контроль существует отдельно от менеджмента — он не имеет смысла. У хорошего менеджера он съедает ненужные ресурсы, плохому менеджеру дает ложную уверенность, что контроль работает.

К сожалению, пока невозможно объективно проверить, есть в реальности понятие внутренний контроль или нет. Тем более что менеджмент уже обязан по закону подтверждать надежность системы внутреннего контроля. Приносит ли это пользу или нет — непонятно. Возможно, с развитием доказательного менеджмента мы сможем объективно установить практики, которые работают.

Как построить в компании систему внутреннего контроля

Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

  • Когда и как часто выполняются процедуры контроля?
  • Кто выполняет контрольную процедуру?
  • Что необходимо выполнить в процедуре контроля?
  • Как понять, что процедура контроля выполнена правильно?
  • Как процедура контроля документирована?
  • Какие свидетельства выполнения процедуры контроля существуют?
  • Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Похожие публикации:
  1. Как вычисляли людоедов в блокадном ленинграде
  2. Какой налог вы заплатите если найдете клад на территории своего земельного участка
  3. Совет директоров это какой орган управления
  4. То вкго что это в квитанции московская область

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *