Тест контроля оценка эффективности деятельности системы внутреннего контроля компании пример

Краснова И.А., заместитель начальника Отдела внутреннего аудита ОАО «УМЗ», член Института внутренних аудиторов

В настоящей статье автор подробно раскрывает методику проведения аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов компании, успешно апробированную на практике Службами внутреннего аудита ряда крупных российских промышленных холдингов. Результаты данных внутренних аудиторских проверок, организованных в соответствии с представленной методикой, могут оказать существенную помощь менеджменту при построении надежной системы внутреннего контроля компании.

Материал, представленный в данной статье, предназначен для сотрудников Служб внутреннего аудита, менеджеров различного уровня, членов Комитетов по аудиту и Советов директоров и, по мнению автора, может быть интересен более широкому кругу читателей.

1. Общие понятия о системе внутреннего контроля в компании

При исследовании вопросов, касающихся системы внутреннего контроля (далее – СВК), автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует.

Тем не менее, в рамках настоящей статьи автор трактует понятие СВК как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:

• совершенствование деятельности компании и органов его управления;
• обеспечение результативности и эффективности финансово-хозяйственной деятельности компании;
• сохранность активов;
• предотвращение внутренних и внешних рисков;
• обеспечение надежности и достоверности всех видов отчетности Общества;
• соблюдение требований законодательства и внутренних документов и регламентов Общества.

Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:

• совершенствование организации бизнеса,
• оперативное выявление, предотвращение и ограничение операционных, финансовых и других видов рисков, и
• обеспечивать разумную уверенность в достижении стратегических целей компании и ее акционеров.

Современные системы построения внутреннего контроля, формируемые в соответствии с требованиями как российских, так и зарубежных принципов корпоративного управления1, акцентируют ответственность высшего руководства компании за формирование надежной СВК и поддержание надлежащего ее функционирования. При этом многие компании в настоящее время имеют в своей структуре Службу внутреннего аудита (далее — СВА). Внутренний аудит, являясь одним из незаменимых инструментом собственников компании и Совета директоров при организации корпоративного управления и контроля, представляет собой наиболее развитую форму внутреннего контроля в компании.

Основными задачами, стоящими перед СВА, являются:

• обеспечение соответствия принципам корпоративного управления;
• оценка надежности и эффективности СВК в компании, а так же оказание консультационной поддержки менеджменту компании на этапе разработки систем и процедур СВК;
• оценка системы управления рисками;
• оценка эффективности и экономичности управления бизнес-процессами.

Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1.

Рис.1. Схема взаимодействия СВА и менеджмента компании

Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании.

В следующем разделе статьи автор предлагает к рассмотрению методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний2, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки.

2. Организация внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Следует определить, что аудиторская проверка в контексте данной статьи представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса.

Проведение внутренней аудиторской проверки инициируется Руководителем СВА компании на основе раннее утвержденного плана работы СВА либо по отдельному внеплановому поручению уполномоченного лица3.

Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:

• планирование аудиторской проверки, в том числе проведение предварительного обследования;
• проведение аудиторских процедур:
  • оценка дизайна контроля,
  • оценка исполнения контрольных процедур (тестирование),
  • анализ элементов СВК (в том числе оценка контрольной среды),
  • общая оценка эффективности СВК;
• формирование результатов аудиторской проверки;
• работа СВА с материалами аудиторской проверки после утверждения окончательной редакции «Аудиторского отчета», в том числе мониторинг исполнения рекомендаций СВА.

Рис.2. Этапы проведения внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства».

      2.1. Планирование аудиторской проверки эффективности СВК бизнес-процессов компании

Планирование аудиторской проверки способствует тому, чтобы важным областям в ходе аудита было уделено необходимое внимание, чтобы были выявлены потенциальные проблемы и работа была выполнена с оптимальными затратами, качественно и своевременно. Планирование позволяет эффективно распределять работу между членами аудиторской группы, участвующими в аудиторской проверке, а также координировать такую работу.

Для эффективного планирования предстоящей аудиторской проверки следует проводить предварительное обследование аудируемого объекта (бизнес-процесса). Задачей данного обследования является изучение фактических целей аудируемого бизнес-процесса, его структуры или изменений в нем, произошедших со времени прошлой проверки. Также должное внимание необходимо уделить оценке уровня материальности аудируемого бизнес-процесса, что позволит объективно говорить о существенности последствий неэффективной организации СВК данного процесса для компании в целом.

Аудиторы на этапе предварительного обследования:

• проводят анализ внутренней нормативной документации (далее – ВНД), регламентирующей организацию аудируемого процесса;
• проводят ознакомление с базами данных и программным обеспечением, обслуживающих рассматриваемый бизнес-процесс;
• анализируют результаты прошлых аудиторских проверок данного бизнес-процесса (в случае их наличия);
• идентифицируют и интервьюируют владельца и других участников процесса по вопросам организации процесса;
• анализируют фактические цели процесса на предмет их соответствия стратегии развития компании и принципам целеполагания (конкретизация, измеримость, согласованность, релевантность, временная ограниченность достижения);
• формируют фактическую схему организации рассматриваемого бизнес-процесса, с указанием существующих контрольных процедур;
• анализируют результаты оценки рисков, проводимой менеджментом компании (в случае ее наличия);
• анализируют систему оценки и показателей, используемых для определения эффективности и экономичности процесса.

По итогам анализа полученной информации о рассматриваемом бизнес-процессе и формирования адекватного понимания его фактического функционирования руководитель службы должен принять:

• решение о дальнейшем проведении аудита или
• решение об отказе от проведения проверки.

При этом решение об отказе от проведения проверки в настоящее время и причины данного решения должны быть доведены до лица, инициировавшего данную проверку. Обычно решение об отказе от проведения проверки в настоящее время принимается в случае если:

• оценка дизайна контроля и ограниченное тестирование на этапе проведения предварительного обследования дают положительный результат о приемлемой надежности СВК;
• по результатам предварительного обследования установлено, что риски бизнес-процесса несущественны или сам процесс нематериален;
• в ходе проведения предварительного обследования стало известно, что в настоящее время существенно изменяется структура изучаемого бизнес-процесса.

В случае принятия положительного решения о проведении проверки эффективности СВК бизнес-процесса в настоящее время по итогам предварительного обследования аудитор должен точно определить ключевые аспекты (в том числе сроки и объемы) предстоящего аудита и проинформировать о них аудируемое лицо. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Задание на аудит».

Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Точное определение границ аудита снижает риск непреднамеренного смещения внимания аудитора в ходе проведения проверки на смежные и наименее проблемные области. Данные аспекты отражаются в разделе 1 «Обоснование проверки» «Задания на аудит».

По итогам изучения внутренних нормативных документов по анализируемому бизнес-процессу и интервью с владельцем и прочими участниками процесса аудитор должен оценить насколько цели, формализованные в регламентах, политиках и др. или обозначенные владельцем процесса, соответствуют стратегии развития компании и общим правилам целеполагания. Помимо этого аудитор должен оценить критерии, используемые менеджментом для определения эффективности и экономичности бизнес-процессов. Особое внимание аудитору следует уделить тому, как действующая система мотивации владельца и участников процесса соотносится с определенными целями процесса. В случае если цели бизнес-процесса не формализованы и владелец процесса также затрудняется их четко сформулировать, аудитор должен на основе собственных теоретических и практических знаний и навыков (в том числе на основе бенчмаркинга) предложить цели для данного процесса и показатели для их измерения и согласовать их с владельцем процесса. Данные аспекты отражаются в разделе 2 «Оценка целей процесса» «Задания на аудит».

Одним из ключевых результатов грамотно проведенного предварительного обследования является адекватное понимание аудитором фактической организации анализируемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения) и объективная оценка уровня его регламентации. Данные аспекты отражаются в разделе 3 «Описание процесса» «Задания на аудит».

Результаты обследования и оценки рисков, проводимых СВА при годовом риск-ориентированном планировании; материалы прошлых аудиторских проверок; результаты оценки рисков, проводимой менеджментом (анализ Карт рисков) являются основой для формирования перечня рисков изучаемого бизнес-процесса.

Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков.

Схематично результаты оценки идентифицированных рисков4 можно представить в Карте рисков бизнес-процесса. При этом для наглядности используется метод цветовой зональности рисков:

• красный цвет – высокие риски, требующие немедленного управления и предотвращения;
• желтый цвет – средние риски, требующие постоянного мониторинга;
• зеленый цвет – низкие риски, не требующие усиленного контроля.

Данные аспекты отражаются в разделе 4 «Оценка бизнес-рисков процесса» «Задания на аудит».

В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».

Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.

На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).

      2.2. Проведение аудиторских процедур

Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.

Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.

Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.

Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.

При проведении тестирования аудитор располагает довольно широким спектром инструментов — процедур, исполнение которых позволит сформировать объективные выводы об эффективности СВК, как то: сравнение / сопоставление, анализ данных и др.

По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.

В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».

После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».

Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.

В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:

• формирование идеальной схемы бизнес-процесса («как должно быть»). Схема идеального процесса формируется таким образом, чтобы гарантировать достижение целей данного процесса.
• сравнение фактической схемы бизнес-процесса («как есть») с идеальной;
• анализ наличия и эффективности контрольных процедур5 , предусмотренных в регламентирующих и распорядительных документах по аудируемому процессу;
• анализ наличия, качества исполнения и эффективности контрольных процедур, фактически присущих процессу;
• сравнение содержания и качества исполнения фактических процедур контроля с требованиями ВНД по бизнес-процессу;
• оценка эффективности процедуры с помощью статистического анализа происшествий за длительный период (3-5 лет);
• бенчмаркинг и поиск «лучшей практики» для оптимизации контрольных процедур.

Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.

Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:

• повышение качества исполнения контрольной процедуры, формализованной в ВНД компании, в том числе и за счет построения эффективной системы мотивации сотрудников-исполнителей данной контрольной процедуры (в случае если формализованная контрольная процедура эффективна, но имеются отклонения при ее фактическом исполнении);
• легализацию фактически исполняемой контрольной процедуры (в случае если фактически реализуемая контрольная процедура эффективна, но не предусмотрена требованиями ВНД);
• разработку и формализацию контрольной процедуры и контроля за ее надлежащим исполнением (в случае если контрольная процедура не предусмотрена ВНД и фактические действия сотрудников не позволяют эффективно управлять риском).

После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».

      2.3. Формирование результатов аудита

Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».

Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:

• в случае наличия аргументированных документально подтвержденных возражений и замечаний предоставляют в СВА «Протокол разногласий по результатам аудита»;
• в случае согласия с изложенными аудитором информацией и выводами предоставляют в СВА «План корректирующих мероприятий по результатам аудита», который должен предусматривать описание мероприятий, ответственных, сроки выполнения.

«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.

Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.

Следует отметить, что положительно зарекомендовало себя на практике выделение в «Аудиторском отчете» отдельных тематических блоков — вводной и описательной частей.

В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:

• цель, объект и предметы проверки;
• состав аудиторской группы, сроки проведения проверки.

Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:

• наиболее существенные выводы о недостатках организации анализируемого бизнес-процесса и системы внутреннего контроля;
• рекомендации аудитора по устранению причин и снижению последствий наиболее высоких рисков, присущих данному процессу и оказывающих негативное влияние на достижение целей компании.

Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации:

• описание предмета проверки (подпроцесса);
• описание и оценка рисков, присущих данному подпроцессу;
• описание и оценка фактически используемого воздействия на риски;
• результаты фактически используемого воздействия на риск (по результатам аудиторского тестирования);
• описание причин, обусловивших реализацию рисков;
• описание и оценка последствий от реализации рисков;
• рекомендации аудитора по управлению данными рисками за счет построения и оптимизации СВК данного подпроцесса.

Необходимо отметить, что если в ходе согласования «Проекта аудиторского отчета» достичь единого мнения с аудируемым не удалось, в окончательном «Аудиторском отчете» следует также указать мнение аудируемого с пояснением, почему его возражения не были приняты аудитором.

При формировании «досье аудита»6 необходимо к «Аудиторскому отчету» прилагать «Протокол разногласий по результатам аудита» и «План корректирующих мероприятий по результатам аудита».

Порядок подписания «Проекта аудиторского отчета» и «Аудиторского отчета» и доведения данных документов до заинтересованных пользователей должен быть регламентирован в ВНД, регулирующих организацию функции внутреннего аудита в компании. Как правило, данные рабочие документы по проверке авторизируются руководителем СВА, который и принимает решение о направлении данных документов заинтересованным пользователям.

Обычно окончательная версия «Аудиторского отчета» предоставляется:

• заказчику аудита – лицу, инициировавшему данную проверку;
• владельцу аудируемого бизнес-процесса;
• другим заинтересованным пользователям на усмотрение руководителя СВА компании.

Следует отметить, что направление СВА окончательной редакции «Аудиторского отчета» заинтересованным пользователем является лишь промежуточным этапом проведения аудиторской проверки эффективности СВК бизнес-процессов. Только последующая совместная работа СВА и менеджмента компании может обеспечить надлежащее формирование и внедрение надежной СВК бизнес-процессов, обеспечивающую разумную уверенность в достижении стратегических целей компании и ее акционеров.

      2.4. Работа СВА с материалами аудита после утверждения окончательной редакции «Аудиторского отчета»

Работу СВА с материалами аудита после утверждения и доведения окончательной редакции «Аудиторского отчета» заинтересованным пользователям можно разделить на два типа:

• работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов;
• работа СВА с материалами аудита для удовлетворения собственных потребностей службы.

Работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов

Основное направление совместной работы СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов связано с контролем исполнения плана корректирующих мероприятий, необходимость которых была выявлена по результатам аудита. Контроль может осуществляться посредством:

• анализа отчетов аудируемого объекта о выполнении запланированных корректирующих мероприятий;
• проведения проверок объекта.

По результатам осуществления контрольных действий СВА формирует «Отчет об исполнении корректирующих мероприятий» по конкретной проверке с указанием выполнения мероприятий, их достаточности, своевременности и эффективности, который доводится до тех же лиц, кому направлялся ранее сам «Аудиторский отчет».

Другое направление совместной работы СВА с менеджментом компании связано с оказанием консалтинговой поддержки менеджменту. Как уже было отмечено выше, ответственным за формирование надежной СВК и поддержание надлежащего ее функционирования, согласно как российским, так и зарубежным принципам корпоративного управления, является высшее руководство компании. Тем не менее, как показывает практика, менеджменту компаний обычно требуются дополнительные специальные знания и помощь в таких областях управления, как внутренний контроль и управление рисками. В связи с этим СВА может привлекаться в качестве консультанта по вопросам тестирования вводимых процедур внутреннего контроля, оценки дизайна контроля, проверки исполнения процедур внутреннего контроля, а также обеспечить методологическую поддержку при организации процессов внутреннего контроля и управления рисками.

Работа СВА с материалами аудита для удовлетворения собственных потребностей службы

Информация, полученная в ходе проведения аудиторской проверки и последующего контроля исполнения корректирующих мероприятий по результатам аудита, является основой для решения задач, поставленных непосредственно перед самой СВА, как то:

• своевременное формирование и предоставление отчетности о результатах аудиторской деятельности, существенных рисках, проблемах контроля и корпоративного управления в компании лицу (лицам), которому подотчетна СВА в компании согласно ВНД по организации внутреннего аудита (как правило, Комитет по аудиту при Совете директоров, Генеральный директор и др.);
• планирование дальнейшей деятельности СВА.

Подводя итоги, можно констатировать следующее.

Построение надежной СВК, содействующей повышению эффективности бизнеса и защите интересов акционеров, является зоной ответственности менеджмента компании. Но даже хорошо выстроенная и организованная СВК нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Наиболее независимо и профессионально оценить надежность и эффективность существующей СВК бизнес-процессов компании, а так же предложить рекомендации по ее усовершенствованию может СВА.

Представленная в статье методика проведения внутренних аудиторских проверок, по сути, является руководством по построению процесса оценки СВК. При этом для организации эффективного практического применения данной методики требуется легализация во внутренних регламентирующих документах компании как порядка и инструментов проведения проверки, так и схемы взаимоотношений СВА и аудируемыми предприятиями /подразделениями.

---

1. В ходе написания статьи были проанализированы положения Internal control Guidance for Directors on the Combined Code (The Institute of Chartered Accountants, in England & Wales); Кодекса корпоративного поведения ФКЦБ, Пособия по корпоративному управлению МФК, Международных профессиональных стандартов внутреннего аудита, кодексов корпоративного управления различных компаний.
2. Например, в ОАО «УМЗ» — предприятии, входящем в состав ОАО «Концерн ПВО «Алмаз-Антей», крупнейшего военно-ориентированного предприятия РФ; ОАО «ПОЛАИР» — крупнейшем в России и Европе предприятии-производителе торгового холодильного оборудования и др.
3. Перечень уполномоченных лиц, по решению которых СВА проводит аудиторские проверки, как правило, закреплен в «Положении о СВА компании» и зависит от уровня подчиненности СВА (в основном это Комитет по аудиту при Совете Директоров, Ревизионная комиссия, Генеральный директор либо Финансовый директор компании).
4. Оценка рисков определяется как произведение коэффициентов вероятности реализации риска и значимости последствий от его реализации.
5. Анализ эффективности контрольной процедуры проводится на предмет обеспечения разумной гарантии достижения соответствующих целей изучаемого бизнес-процесса.
6. Досье аудита – полный пакет рабочих документов, аудиторских доказательств и др. документации аудитора по конкретной внутренней аудиторской проверке.

Приложение 1.

Оценка дизайна контроля бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства»

СВА ОАО «Наименование компании»

Название аудита

Аудит закупок ТМЦ для основного производства

Код бизнес-процесса

ОП-3 (из утвержденного в компании классификатора бизнес-процессов)

№ аудита

2006/01

№

Бизнес-цель подпроцесса или операции

№

Риск, препятствующий достижению цели

Цель контроля данного риска

Тест 11

Контрольная процедура (из ВНД)

Тест 2

Контрольная процедура (факт)

Тест 3

Тест 4

Тест 5

Оценка СВК

1

2

3

4

5

6

7

8

9

10

11

12

13

1

Поиск, оценка и выбор поставщика ТМЦ для основного производства.

1.1

Потенциальный поставщик не знает о том, что компания нуждается в поставке ТМЦ, которыми он располагает.

Убедиться в том, что информация о закупаемых ресурсах (их количестве, номенклатуре, сроках поставки и пр.) известна максимально широкому кругу поставщиков.

нет

Процедура оповещения потенциальных поставщиков о потребностях компании в ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

да

Специалист по закупкам отправляет заявки (оферты) всем потенциальным поставщикам необходимых ТМЦ из базы данных, отмечая в электронном документе номер отправленной заявки каждому поставщику.

нет

нет

нет

Ненадежная

1.2

Рассмотрены не все поступившие коммерческие предложения потенциальных поставщиков.

Убедиться в том, что все ответы поставщиков приняты к рассмотрению

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных (п.2.1 Регламента «Выбор поставщика продукции и услуг производственного назначения»)

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных.

да

да

да

Надежная

1.3

В сводную таблицу оценки поставщиков внесена не полная или искаженная информация о потенциальных поставщиках необходимых ТМЦ.

Убедиться в том, что получена достаточная информация о поставщике и условиях работы с ним.

нет

Процедура аккумулирования достоверной информации о потенциальных поставщиках ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

нет

Фактически управление данным риском отсутствует.

нет

нет

нет

Ненадежная

1. Тест 1 — убедиться в том, что в ВНД предусмотрена контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 2 — убедиться в том, что фактически существует контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 3 — убедиться в том, что контрольные процедуры из ВНД и фактически исполняемая идентичны.
   Тест 4 — убедиться в том, что регламентированная контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели.
   Тест 5 — убедиться в том, что фактически исполняемая контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели (тест по последствиям).

Приложение N 1

к документу ПЗ-11/2013

«Организация и осуществление

экономическим субъектом

внутреннего контроля совершаемых

фактов хозяйственной жизни,

ведения бухгалтерского учета

и составления бухгалтерской

(финансовой) отчетности»

ОЦЕНКА ВНУТРЕННЕГО КОНТРОЛЯ ЭКОНОМИЧЕСКОГО СУБЪЕКТА

1. Объем и характер способов и методов оценки внутреннего контроля определяются руководителем соответствующего подразделения или руководителем экономического субъекта.

2. Оценка внутреннего контроля включает оценку эффективности дизайна внутреннего контроля и оценку операционной эффективности внутреннего контроля.

3. Эффективный дизайн внутреннего контроля представляет собой такую организацию внутреннего контроля, при которой внутренний контроль достигает своей цели. Оценка эффективности дизайна внутреннего контроля позволяет выявить неэффективные, недостающие и дублирующие процедуры внутреннего контроля.

4. Оценка эффективности дизайна внутреннего контроля включает проверку описания дизайна внутреннего контроля и подтверждение дизайна внутреннего контроля.

4.1. Для проверки описания дизайна внутреннего контроля выполняются следующие действия:

а) ознакомление с матрицей рисков и процедур внутреннего контроля и проверка наличия процедур внутреннего контроля, направленных на минимизацию каждого риска;

б) формирование мнения о том, насколько принятые процедуры внутреннего контроля достаточны для минимизации риска;

в) проверка того, насколько описание процедур внутреннего контроля правильно и понятно;

г) подготовка списка вопросов и требуемой информации для проведения подтверждения дизайна внутреннего контроля.

4.2. Подтверждение дизайна внутреннего контроля представляет собой ознакомление с практикой осуществления внутреннего контроля, которое доказывает наличие внутреннего контроля, подтверждает полноту и правильность описания внутреннего контроля, результативность внутреннего контроля, а также полноту покрытия внутренним контролем рисков экономического субъекта.

5. Операционная эффективность внутреннего контроля означает, что внутренний контроль осуществляется в течение всего отчетного периода постоянно (без пропусков) в полном соответствии с утвержденным дизайном. Подтверждение операционной эффективности предполагает тестирование определенного объема доказательств осуществления внутреннего контроля в течение периода или выполнение определенного количества повторений процедур внутреннего контроля.

5.1. Выборку операций для тестирования операционной эффективности внутреннего контроля определяют обоснованным методом. На размер выборки могут повлиять следующие обстоятельства и особенности внутреннего контроля:

а) частота выполнения ручного внутреннего контроля — чем чаще работает ручной внутренний контроль, тем больше операций подлежат тестированию;

б) существенность внутреннего контроля — процедуры внутреннего контроля, являющиеся относительно более важными, подлежат более обширному тестированию. Например, чем больше типов искажений бухгалтерской (финансовой) отчетности призван предотвратить внутренний контроль, тем более важным он является для тестирования;

в) риск сбоя тестируемой процедуры внутреннего контроля — изменения в объемах или видах сделок и операций, в дизайне внутреннего контроля, а также численности и квалификации ключевого персонала экономического субъекта, ответственного за осуществление и оценку внутреннего контроля, произошедшие в течение проверяемого периода, могут потребовать увеличения размера выборки. Кроме того, на риск сбоя тестируемой процедуры внутреннего контроля влияют степень зависимости данной процедуры от других процедур внутреннего контроля, сложность и уровень субъективности, присущие процедуре внутреннего контролю, зависимость процедуры внутреннего контроля от человеческого фактора;

г) уровень автоматизации процедуры внутреннего контроля. Для того чтобы протестировать автоматическую процедуру внутреннего контроля, достаточно выполнить единственное ее повторение в информационной системе, т.е. создавать выборку не требуется. При этом также необходимо подтвердить эффективность процедур общего компьютерного контроля в течение периода.

5.2. Для проведения тестирования операционной эффективности внутреннего контроля составляется план тестирования с определением в нем способов, процедур, объема и периода тестирования.

6. Для оценки эффективности дизайна и оценки операционной эффективности внутреннего контроля могут быть применены следующие способы:

а) опрос персонала экономического субъекта. Опрос проводится для того, чтобы оценить знания и квалификацию персонала, а также получить информацию о фактическом порядке совершения сделок и операций и осуществления внутреннего контроля. Опрос может проводиться как среди персонала, непосредственно осуществляющего сделки и операции и внутренний контроль, так и среди персонала, чья роль позволяет обладать информацией об эффективности внутреннего контроля;

б) наблюдение за совершением сделок и операций и осуществлением внутреннего контроля. Данный способ позволяет подтвердить факт осуществления внутреннего контроля;

в) проверка доказательств осуществления внутреннего контроля и его результатов. Данный способ применяется, когда осуществление внутреннего контроля и информация о выявленных ошибках с мерами по их устранению документируется;

г) повторное осуществление процедуры внутреннего контроля. Данный способ применяется, когда все остальные способы не обеспечивают достаточного доказательства эффективности внутреннего контроля, отсутствует его документальное оформление, а также когда внутренний контроль является автоматическим.

7. Обособленное применение большинства приведенных способов оценки внутреннего контроля не может обеспечить достаточную уверенность в эффективности дизайна внутреннего контроля или операционной эффективности внутреннего контроля. Например, при наблюдении существует риск того, что процедура внутреннего контроля осуществляется исключительно для наблюдателя. При опросе персонал может предоставлять информацию об утвержденном порядке осуществления внутреннего контроля, но на практике не следовать такому порядку. В связи с этим способы оценки внутреннего контроля должны комбинироваться в зависимости от особенностей тестируемых процедур внутреннего контроля.

8. Для того чтобы убедиться в надежности информации, используемой для осуществления внутреннего контроля, при проведении оценки внутреннего контроля используются те же документы и информационные системы, которые используются персоналом экономического субъекта.

9. Результаты оценки внутреннего контроля оформляются документально, обсуждаются с исполнителями процедур внутреннего контроля и представляются руководству экономического субъекта. Объем, состав и формы документации определяются потребностями экономического субъекта.

10. При выявлении недостатков дизайна или операционной эффективности внутреннего контроля осуществляются следующие действия:

а) анализ характера и причин выявленных недостатков;

б) проведение при необходимости дополнительной проверки или тестирования;

в) определение приоритетов и составление плана устранения выявленных недостатков.

10.1. В плане устранения выявленных недостатков приводится:

а) описание недостатка внутреннего контроля и сопутствующего ему риска;

б) подробное описание действий, которые необходимо предпринять для устранения недостатка;

в) лицо, ответственное за устранение недостатка;

г) сроки устранения недостатка.

11. По истечении разумного срока после исправления недостатка проводится повторная оценка эффективности дизайна и операционной эффективности контроля, признанного ранее неэффективным.

08.08.2017

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

• Когда и как часто выполняются процедуры контроля?
• Кто выполняет контрольную процедуру?
• Что необходимо выполнить в процедуре контроля?
• Как понять, что процедура контроля выполнена правильно?
• Как процедура контроля документирована?
• Какие свидетельства выполнения процедуры контроля существуют?
• Где расположены контрольные точки в бизнес-процессах?

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Статья  http://www.e-xecutive.ru/management/practices/1985953-kak-postroit-sistemu-vnutrennego-kontrolya

Приглашаем вас на обучение по программе профессиональной переподготовки «Операционная эффективность бизнеса и совершенствование бизнес-процессов». ← Назад к списку

Система внутреннего контроля компании (СВК) состоит из системы внутреннего финансового контроля, системы внутреннего контроля бухгалтерского учета и др. подсистем. СВК помогает предупреждать хищения и отслеживать товарно-денежные потоки. Но зачастую СВК воспринимается как излишняя бюрократия и функционирует неэффективно. Разберемся как ее усилить.

Тест-вопросник
для оценки системы внутреннего контроля
представлен в таблице 14.

Таблица 14 – Тест
— вопросник

Перечень вопросов	Руководитель	Главн. бухгалтер	Бухгалтер
Контрольная среда
1.Соблюдают ли работники организации принципы честности других этических ценностей?	Нет	Нет	Нет
2. Соответствует ли уровень профессионализма работников уровню, требуемому для выполнения их обязанностей?	Да	Да	Да
3 Соответствует ли организационная структура предприятия масштабам и характеру деятельности?	Да	Да	Да
4. Предусмотрено ли делегирование полномочий руководства организации в случае его отсутствия?	Да	Да	—
5. Предусматривает ли кадровая политика повышение квалификации персонала?	Да	—	—
6. Разработана и утверждена система отбора, найма сотрудников	Да	—	—
Процесс оценки рисков аудируемого лица
7.Ознакамливают ли новых сотрудников с системой внутреннего контроля и иными приоритетами организации?	Нет	Нет	Нет
8. За последний год не осуществлялось ни каких нововведений в области производства, информационных систем	Нет, осуществлялись	нет	нет
9.Стабильна ли структура и содержание принципов, стандартов, положений, инструкции в области ведения бухгалтерского учета и подготовки отчетности?	Да	Да	Да
10. На предприятия применяются формализованные методы оценки рисков?	Да	Да	Да
11. Применяются ли новые технологии для устранения или изменения риска	Нет	—	—
12. Развита ли система отслеживания макроэкономических рисков	Нет	—	—
Информационная система, связанная с подготовкой финансовой (бухгалтерской) отчетности
13. Автоматизирована ли система сбора и обработки информации?	Да	Да	Да
14. Доведение информации до работников осуществляется электронным путем?	—	Нет	—
15. Пользуется ли предприятие лицензионным программным обеспечением?	—	Да	Да
16. Соблюдается ли график предоставления информации для составления отчетности?	—	Да	Да
17.Существует ли орган, отвечающий за перебойную работу информационных служб?	—	Нет	—
18. Включается ли в отчетность информация об операциях организации, а также о событиях и условиях отчетности, либо обобщение другой полезной информации, которая может быть использована при оценке хозяйственной деятельности организации в управленческих или иных целях?	—	Нет	Нет
Контрольные действия
19.Имеется ли защита от несанкционированного проникновения?	Нет	Нет	Нет
20.Имеется ли контроль за реализацией новых версий прикладных пакетов программного обеспечения?	Нет	—	—
21. Осуществляется ли проверка арифметической точности бухгалтерских записей?	Да	Да	Да
22.Отсутствуют случаи утаивания ошибки или недобросовестного действия в процессе обычного выполнения персоналом своих обязанностей?	Нет	Нет	Нет
23. Применяются меры предосторожности, ограничивающие доступ к активам или бухгалтерским записям?	Да	Да	Да
24. Существуют ли сроки сдачи внутренней отчетности в бухгалтерию предприятия?	Да	Да	Да
Мониторинг средств контроля
25.Осуществляется ли мониторинг за своевременностью и точностью выверки расчетов с банками.	Да	Да	Да
26. Имеется ли в организации система внутреннего аудита?	Нет	Нет	Нет
27. Проводятся ли регулярная оценка качества работы персонала?	Нет	Нет	Нет
28.Проводился ли анализ о достоинствах и недостатках системы внутреннего контроля, а также рекомендации по ее улучшению?	—	Да	Да
29. Своевременно ли осуществляются расчеты с бюджетом по налогам и сборам?	Да	Да	Да
30.Осуществлеятся ли анализ финансового состояния сторонней организации при заключении договора с ней?	Да	Да	Да
Итого (положительных ответов): Итого (заданных вопросов):	14 30	14 30	14 30

Далее необходимо
произвести оценку системы СВК. По каждому
разделу путем отношения положительных
ответов к общему числу вопросов
определяется процент положительных
ответов и если он менее 40% ставится
низкая оценка, если от 40% до 60% то средняя
и если больше 60% то высокая.

Таблица 15 –
Результаты оценки системы внутреннего
контроля

Должность	Кол-во тестов участвующих в опросе	Кол-во положительных ответов	Оценка системы внутреннего контроля, %
1. Руководитель	24	14	58
2. Главный бухгалтер	25	14	56
3. Бухгалтер	22	14	63

По результатам
таблицы 15 видно, что оценка
эффективности и надежности системы
внутреннего контроля на ОАО «АК «Корвет»
находится на среднем уровне.
Таким образом, аудиторская организация
при планировании аудиторской проверки
может в достаточной степени довериться
системе внутреннего контроля предприятия
по результатам проверки.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #
• #
• #
• #
• #

Приложение N 14 к Требованиям
к организации системы
внутреннего контроля, утвержденным
приказом от 25.05.2021
N ЕД-7-23/518@ Форма по КНД
1125313 В (наименование налогового органа)

Код
налогового органа

Период налогового мониторинга¹

Код периода документа²

Порядковый номер редакции³

ОЦЕНКА УРОВНЯ
ОРГАНИЗАЦИИ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ ОРГАНИЗАЦИИ (полное и
сокращенное наименование организации — налогоплательщика (плательщика сбора,
плательщика страховых взносов, налогового агента))

ИНН

КПП⁴

N п/п

Компонент
системы внутреннего контроля организации

Критерии
оценки уровня организации системы внутреннего контроля организации

Максимальное
количество баллов по компоненту

Фактическое
количество баллов, набранное организацией

1

2

3

4

5

1.

Контрольная среда
организации

Соблюдение
профессиональных, этических и поведенческих стандартов (стандарты
поведения)

Участие руководителя организации

Организационная структура, распределение
(разграничение) полномочий и обязанностей

Компетенции и развитие персонала

2.

Система управления рисками
организации

Выявление
организацией рисков, связанных с искажением бухгалтерской (финансовой),
налоговой и иной отчетности организации, в целях налогового мониторинга

Оценка организацией рисков, связанных с
искажением бухгалтерской (финансовой), налоговой и иной отчетности
организации, в целях налогового мониторинга

Документирование рисков, связанных с искажением
бухгалтерской (финансовой), налоговой и иной отчетности организации, в целях
налогового мониторинга

3.

Контрольные процедуры
организации

Описание
контрольных процедур организации

Документирование выполнения контрольных
процедур организации

Оценка эффективности контрольных процедур
организации

Наличие автоматизированных контрольных процедур
организации

Соотношение автоматизированных и ручных
контрольных процедур организации

4.

Информационные системы
организации

Внутренний
и внешний аудит информационных систем организации

Наличие защиты от несанкционированного доступа
к исходным данным

Информационные системы организации для
организации бухгалтерского и налогового учета

Информационные системы организации,
используемые для контроля за правильностью исчисления (удержания) налогов,
сборов, страховых взносов и для подготовки бухгалтерской (финансовой),
налоговой и иной отчетности

Наличие контролей, выполняемых превентивно

5.

Мониторинг организацией средств
контроля

Мониторинг
и оценка организацией системы внутреннего контроля организации

Мероприятия по совершенствованию системы
внутреннего контроля организации

Внутренний и внешний аудит

ИТОГО количество баллов

Уровень организации
системы внутреннего контроля организации⁵

(должность, Ф.И.О.⁶ руководителя организации (представителя организации) (наименование
и реквизиты документа, подтверждающего полномочия представителя организации) (дата) (подпись) ¹ Указывается период проведения налогового мониторинга. ² Указывается код периода документа: при первичном
представлении в год, предшествующий году проведения налогового мониторинга,
указывается код периода «29», далее указывается код периода
«34» — год, следующий за периодом проведения налогового
мониторинга. ³ Указывается порядковый номер редакции, при представлении
первичного документа — «00», в последующем (уточненном) документе —
указывается порядковый номер редакции — «01», «02» и т.д. ⁴ Указывается КПП, присвоенный организации при постановке
на учет в налоговом органе по месту ее нахождения. Для организации,
отнесенной в соответствии со статьей 83 Налогового кодекса Российской
Федерации к категории крупнейших налогоплательщиков, указывается КПП,
присвоенный при постановке на учет в налоговом органе в качестве крупнейшего
налогоплательщика. ⁵ Уровень организации системы внутреннего контроля
организации определяется в соответствии с пунктом 15.5 настоящих Требований к
организации системы внутреннего контроля: «1» — начальный,
«2» — определенный, «3» — контролируемый, «4» —
управляемый, «5» — совершенствуемый. ⁶ Отчество указывается при наличии.

Некоторые руководители считают, что организация финансового контроля является внутренним делом компании и не стоит отвлекать дополнительные ресурсы на проверку корректности учета хозяйственных операций и достоверности всех видов отчетности.

Между тем в п. 1 ст. 19 Федерального закона от 06.12.2011 № 402-ФЗ (в ред. от 26.07.2019) «О бухгалтерском учете» прямо указано, что экономический субъект обязан организовать и осуществлять внутренний контроль всех совершаемых фактов хозяйственной деятельности. Поэтому по завершении каждого отчетного квартала необходимо документально зафиксировать, что достоверность показателей финансовой отчетности компании подтверждена в ходе проведения мероприятий внутреннего финансового контроля.

Другое дело, что перечень компонентов, процедур и отчетности системы внутреннего контроля будет зависеть от масштабов бизнеса, организационной и управленческой структуры компании, объема хозяйственных операций.

ЦЕЛЬ, ЗАДАЧИ И КОМПОНЕНТЫ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ ПРЕДПРИЯТИЯ

Поскольку действующее законодательство в области бухгалтерского учета требует наличия в компании системы внутреннего контроля (СВК), при ее построении нужно определиться, какие цели и задачи будет решать система, из каких компонентов она будет состоять.

Основная цель построения системы внутреннего контроля — обеспечить:

• эффективность финансово-хозяйственной деятельности компании;
• экономическую целесообразность хозяйственных операций компании;
• достоверность показателей всех видов отчетности компании;
• соответствие деятельности требованиям действующего законодательства и внутренних регламентов компании.

Чтобы система внутреннего контроля могла успешно достигать поставленной цели, она должна решать три ключевые задачи:

1. осуществление контрольных процедур с учетом особенностей бизнес-процессов компании и присущих ее деятельности рисков;
2. организация надежной системы сбора, обработки и передачи информации о финансово-хозяйственной деятельности компании;
3. своевременное предоставление руководству информации об отклонениях от утвержденного порядка функционирования бизнес-процессов для выработки управленческих решений по корректирующим действиям.

Качественная система внутреннего контроля состоит из нескольких компонентов (рис. 1).

Контрольная среда — основа системы внутреннего контроля. Факторы контрольной среды:

• стратегия и стиль руководства компанией;
• организационная структура и бизнес-процессы компании;
• распределение полномочий и ответственности между руководством и менеджментом компании;
• порядок формирования бухгалтерской (финансовой) и управленческой отчетности компании;
• требования по соблюдению норм действующего законодательства и внутренних регламентов компании.

Оценка рисков подразумевает совокупность мер, направленных на выявление и анализ рисков, влияющих на деятельность и достижение целей компании. Она является основой для определения контрольных процедур и мероприятий по управлению рисками.

Средства контроля представляют собой применяемые в компании методы и контрольные процедуры, направленные на выявление негативных отклонений и снижение рисков в процессе деятельности компании.

Информационный обмен осуществляется посредством использования средств обмена информацией и информационных технологий, которые создают условия для эффективной реализации управленческих функций, позволяют менеджменту принимать своевременные и обоснованные решения, выполнять свои должностные обязанности.

Мониторинг предусматривает постоянную и периодическую оценку качества работы системы внутреннего контроля путем составления отчетности в области внутреннего контроля.

Пример критериев оценки качества работы системы внутреннего контроля в области формирования финансовой отчетности показан в табл. 1.

Таблица 1. Оценка качества внутреннего контроля над финансовой отчетностью
Объекты контроля	Критерии эффективности контроля
Формирование финансовой отчетности в отношении групп однотипных хозяйственных операций, событий и иных фактов деятельности компании	Отраженные в учете хозяйственные операции, события и иные факты действительно имели место и относятся к деятельности компании
Все хозяйственные операции, события и иные факты деятельности компании, подлежащие отражению в учете, отражены в нем
Суммовые и натуральные показатели, относящиеся к отраженным в учете хозяйственным операциям, событиям и иным фактам деятельности компании, соответствуют первичной документации
Хозяйственные операции, события и иные факты деятельности компании отражены в учете в отчетных периодах их совершения
Хозяйственные операции, события и иные факты деятельности компании корректно отражены на счетах учета
Формирование финансовой отчетности в отношении остатков по счетам учета на конец отчетного периода	Отраженные в учете активы, обязательства и капитал фактически существуют
Компания обладает правами или контролирует права на отраженные в учете активы, а отраженные в учете обязательства представляют собой обязательства компании
Все активы, обязательства и капитал компании, которые подлежат отражению в учете, отражены в нем
Активы, обязательства и капитал компании включены в финансовую отчетность в соответствующих суммах. Любые результирующие оценки и корректировки по распределению их стоимости отражены в отчетности правильно
Состав финансовой отчетности в отношении представления и раскрытия информации	Отраженные в бухгалтерской отчетности хозяйственные операции, события и иные факты хозяйственной жизни фактически имели место и относятся к деятельности компании
Информация в финансовой отчетности представлена в соответствии с требованиями действующего законодательства
Финансовая информация представлена и описана правильно, а раскрываемые в ней хозяйственные операции, события и иные факты деятельности компании отражены в понятной форме
Финансовая и прочая информация раскрыта в отчетности достоверно и в надлежащих суммах

КАК ОРГАНИЗОВАТЬ ПРОЦЕСС ВНУТРЕННЕГО КОНТРОЛЯ НАД ФОРМИРОВАНИЕМ ФИНАНСОВОЙ ОТЧЕТНОСТИ

Процесс внутреннего контроля над формированием финансовой отчетности включает три последовательных этапа.

ЭТАП 1. Предварительный контроль.

Предварительный контроль, осуществляемый перед совершением хозяйственных операций, позволяет определить, насколько целесообразной и правомочной будет та или иная документация.

Контрольные мероприятия, которые относятся к предварительному контролю:

• анализ соответствия заключаемых договоров утвержденному плану финансово-хозяйственной деятельности;
• проверка финансовой, статистической, налоговой и управленческой отчетности до ее утверждения/подписания и т. д.

В рамках предварительного контроля можно проводить следующие действия:

• контроль за составлением финансово-плановых документов (расчетов потребности в финансовых средствах, плана финансово-хозяйственной деятельности и др.) со стороны директора и руководителя финансовой службы компании;
• проверка и визирование проектов договоров специалистами юридической службы и главным бухгалтером;
• предварительная экспертиза документов или решений, связанных с расходованием финансовых и материальных средств, руководителями подразделений, главным бухгалтером и внутренним аудитором компании.

Предварительный контроль осуществляют при каждом факте хозяйственной деятельности, который подлежит финансовому контролю согласно регламентам компании.

ЭТАП 2. Текущий контроль.

Данный контроль предусматривает повседневный анализ соблюдения внутренних регламентов, составления финансовой отчетности, ведения бухгалтерского (управленческого) учета. Оценивают эффективность и результативность расходования денежных средств для достижения целей, задач и прогнозных показателей подразделениями компании.

В ходе текущего контроля проверяют:

• расходные денежные документы (расчетно-платежные ведомости, платежные поручения, счета и т. д.) до их оплаты;
• наличие денежных средств в кассе;
• полноту оприходования полученных в банке наличных денежных средств;
• наличие у подотчетных лиц полученных под отчет денежных средств и (или) оправдательных документов;
• соответствие данных аналитического и синтетического учета;
• соответствие фактического наличия материальных средств учетным данным.

На данном этапе контролируют взыскание дебиторской задолженности, погашение кредиторской задолженности.

Текущий контроль проводят с периодичностью, установленной регламентами компании (табл. 2).

Таблица 2.  График мероприятий текущего финансового контроля
Наименование объекта проверки	Период	Срок проведения	Ответственное лицо
Проверка сохранности денежных средств и бланков строгой отчетности	Месяц	Ежемесячно в последний рабочий день месяца	Главный бухгалтер
Проверка правильности расчетов с бюджетом/внебюджетными фондами и контрагентами	Месяц	Ежемесячно в последний рабочий день месяца	Внутренний аудитор
Соблюдение установленного порядка выдачи авансов под отчет	Квартал	Ежеквартально в последний рабочий день месяца	Внутренний аудитор
Проверка наличия актов сверки с поставщиками и подрядчиками	Полугодие	Раз в полугодие по состоянию на 1 января и 1 июля	Внутренний аудитор
Инвентаризация активов	Год	Ежегодно перед составлением годовых отчетных форм	Главный бухгалтер

ЭТАП 3. Последующий контроль.

Осуществляют по итогам совершения хозяйственных операций путем анализа и проверки финансовой документации и отчетности, проведения инвентаризаций и иных необходимых контрольных процедур. На данном этапе проверяют следующие моменты:

• соблюдение требований законодательства Российской Федерации, регулирующего порядок ведения финансово-хозяйственной деятельности;
• точность и полноту составления документов, регистров учета хозяйственных операций;
• исполнение приказов и распоряжений руководства;
• обеспечение сохранности финансовых и нефинансовых активов компании.

В функциональном аспекте эффективность СВК обеспечивается разграничением зоны полномочий и ответственности субъектов, участвующих в процессе контроля над формированием финансовой отчетности компании.