9.1. Система внутреннего контроля организации должна обеспечивать выполнение организацией контрольных процедур, направленных на предупреждение или минимизацию рисков, влияющих на достижение целей организации.
9.2. В качестве контрольных процедур организации должны использоваться:
документальное оформление и подтверждение фактов хозяйственной жизни организации;
подтверждение соответствия документов требованиям законодательства Российской Федерации;
санкционирование (авторизация) операций, обеспечивающее подтверждение правомочности их совершения;
сверка данных путем проверки полноты, точности, непротиворечивости и корректности полученной информации;
разграничение полномочий, в том числе посредством исключения совмещения одним лицом функции инициирования, исполнения и контроля совершения хозяйственной операции;
контроль фактического наличия и состояния объектов, в том числе охрана, ограничение доступа, инвентаризация;
надзор, обеспечивающий оценку достижения поставленных целей или показателей;
процедуры, связанные с компьютерной обработкой информации и информационными системами, осуществляющие контроль доступа, целостности данных и внесения изменений в информационные системы;
разграничение доступа должностных лиц организации к блокам учета в информационной системе в целях исключения несанкционированного доступа и возникновения риска искажения бухгалтерской (финансовой), налоговой и иной отчетности.
9.3. Разработка и описание контрольных процедур организации должны осуществляться организацией на основе анализа причин возникновения рисков и оценки их последствий.
9.4. Контрольные процедуры организации должны быть направлены на предотвращение или минимизацию рисков ошибок (искажений) налогового учета и налоговой отчетности организации, рисков несвоевременной и (или) неполной уплаты (перечисления) налогов, сборов и страховых взносов.
9.5. Для разработки организацией контрольных процедур организации должны использоваться следующие документы (информация):
реестр выявленных рисков;
информация об организационной структуре организации;
карта (реестр) бизнес-процессов компании;
организационно-распорядительные документы, содержащие описание бизнес-процессов и операций, выполняемых сотрудниками.
9.6. Организация должна определить порядок документального оформления результатов выполнения контрольных процедур организации.
9.7. Организация должна осуществлять анализ результатов выполнения контрольных процедур организации и оценку эффективности их выполнения.
9.8. Анализ организацией результатов выполнения контрольных процедур организации должен включать:
определение степени предотвращения или минимизации рисков посредством выполнения контрольных процедур организации;
проверку наличия документов, подтверждающих выполнение организацией контрольной процедуры организации и их соответствие порядку выполнения контрольной процедуры организации и виду контроля;
проверку соответствия описания контрольной процедуры организации порядку и способу ее выполнения;
проверку соблюдения принципа распределения полномочий при отражении организацией в учете операций (групп операций) и выполнении контроля в отношении этих операций (групп операций);
определение порядка и способов устранения выявленных ошибок и отклонений;
доведение информации до руководства о результатах выполнения контрольных процедур организации.
Контрольные процедуры — совокупность методов и приемов контроля, используемых администрацией и сотрудниками аудируемого лица для достижения указанных целей. К процедурам контроля, принятым руководством аудируемого лица, относятся:
— подотчетность одних работников другим;
— внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;
— сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (инвентаризация);
— сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
— проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;
— осуществление контроля прикладных программ и компьютерных информационных систем, в том числе посредством установления контроля изменений компьютерных программ и доступа к файлам данных, права доступа при вводе и выводе информации из системы;
— ограничение доступа к активам и записям;
— сравнение и анализ финансовых результатов с плановыми показателями.
Перечисленные процедуры контроля направлены на предотвращение, выявление и исправление ошибок и искажений информации в системе бухгалтерского учета.
Эффективная организационная структура аудируемого лица предполагает оправданное разделение ответственности и полномочий сотрудников. Данная структура должна по возможности препятствовать попыткам отдельных лиц нарушать требования контроля и обеспечивать разделение несовместимых функций. Функции конкретного сотрудника являются несовместимыми, если их сосредоточение у одного лица может способствовать совершению случайных или умышленных ошибок и нарушений и затруднять обнаружение таких ошибок и нарушений. Обычно подлежат распределению между различными лицами следующие функции:
— непосредственный доступ к активам экономического субъекта;
— разрешение на осуществление операций с активами;
— отражение хозяйственных операций в бухгалтерском учете.
Надлежащее функционирование системы внутреннего контроля зависит также от сотрудников, которым поручена соответствующая деятельность. Система отбора, найма, продвижения по службе, обучения и подготовки кадров должна обеспечивать высокую квалификацию и честность соответствующего персонала.
Все хозяйственные операции, отражаемые в системе бухгалтерского учета, должны контролироваться руководством и сотрудниками аудируемого лица по следующим направлениям:
Реальность хозяйственных операций. Поданному направлению применяется процедура контроля для того, чтобы убедиться, что хозяйственная операция, которая не должна быть зарегистрирована, действительно не отражена в журнале хозяйственных операций (например, сверка накладной па отгрузку со счетом-фактурой до того, как продажа будет зарегистрирована в журнале хозяйственных операций, предотвратит запись не подтверждаемой документами продажи
Разрешение (санкционирование). Первичная процедура осуществляется ответственным работником в виде проставления своей подписи на первичном документе. Впоследствии в процессе движения документов, совершения хозяйственных операций и ведения учетных записей другими сотрудниками проверяется, санкционировались ли хозяйственные операции до того, как они были отражены в учетных регистрах, т.е. проверяется наличие подписи ответственного лица на документах. В организации должен быть установлен четкий порядок документирования определенных операций определенным кругом должностных лиц.
Точность (оценка). Применяются процедуры, направленные на проверку правильности исчисления записанных сумм
Классификация. Применяются контрольные процедуры, направленные на проверку правильности отношения сумм на соответствующие счета бухгалтерского учета
Учет. Включает контрольные процедуры, направленные на проверку завершенности в учете хозяйственных операций в соответствии с учетной политикой и действующим учетным законодательством.
Периодизация — направление контроля, связанное с вопросом реальности и полноты отражения учетной информации после даты составления баланса. Аспект периодизации контролируется теми же процедурами, что и реальность, и полнота, в отношении отгрузки продукции, формирования выручки, дебиторской и кредиторской задолженности и других хозяйственных операций.
Представим направления внутреннего контроля хозяйственных операций в общем виде и на конкретном примере — операциях по отгрузке и по продажам.
Как построить в компании систему внутреннего контроля
Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов
Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.
Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.
Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)
Что такое операционный риск
Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.
Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:
Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.
Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.
По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX
Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.
И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.
Процесс оценки контрольных процедур заключается в определении значительности влияния определенных недостатков в контроле на финансовую отчетность Группы компаний. Данный процесс состоит из следующих этапов:
Индивидуальная оценка выявленного недостатка определяется с учетом всех контролирующих процедур. Методика определения индивидуальной оценки недостатка одинакова для недостатков дизайна и операционной эффективности контрольных процедур бизнес-процессов и включает три этапа:
Индивидуальная оценка недостатков контроля корпоративного уровня осуществляется только по качественным факторам. Данные для расчета индивидуальной количественной оценки определяются на основании финансовой отчетности за вычетом сумм по внутригрупповым операциям предприятий, которые не оказывают влияние на формирование консолидированной финансовой отчетности. Способ расчета необходимых для определения количественной индивидуальной оценки недостатка финансовых данных должен быть избран из двух возможных вариантов:
Индивидуальной количественной оценкой выявленного недостатка является величина потенциального искажения данных финансовой отчетности, возникающего в результате недостатка конкретного контроля.
Сумма потенциального искажения рассчитывается по формуле
Качественная оценка недостатка так же, как и количественная, может принимать одно из трех значений: незначительный, значительный, существенный. Для каждого недостатка необходимо проанализировать наличие факторов, определяющих качественную оценку. Обязательным является рассмотрение следующих факторов, которые являются индикатором того, что недостаток должен быть оценен как «существенный»:
Индивидуальная оценка недостатка определяется как максимальное значение из выявленных качественной и количественной индивидуальной оценок. Недостатки общего компьютерного контроля, как правило, не могут непосредственно привести к искажению финансовой отчетности, однако они влияют на функционирование автоматических и ИТ-зависимых контрольных процедур, делают возможным манипуляцию данными в системе либо несут в себе риски системных сбоев.
Оценка таких недостатков определяется не ниже, чем для тех автоматических и ИТ-зависимых контрольных процедур на уровне процессов, которые являются неэффективными из-за недостатка общего компьютерного контроля.
Недостатки общего компьютерного контроля, которые невозможно связать с контрольными процедурами бизнес-процессов, подлежат качественной оценке исходя из их возможного влияния на финансовую отчетность.
При качественной оценке недостатков необходимо учитывать следующие факторы:
Настоящий методический документ устанавливает единые требования к процессу тестирования эффективности контрольных процедур.
Тестирование контрольных процедур включает в себя следующие этапы:
Порядок формирования плана тестирования
Планы тестирования должны разрабатываться для контрольных процедур с учетом данных, собранных в ходе документирования контрольных процедур, и результатов сквозного тестирования.
Период тестирования
Период тестирования должен быть выбран таким образом, чтобы иметь возможность подтвердить эффективность контрольных процедур в течение периода, в котором осуществляются финансово-хозяйственные операции, включаемые в отчетность, и подготавливается отчетность, при этом период тестирования должен захватывать только операции текущего финансового года.
По новым или измененным контрольным процедурам период тестирования должен быть равен периоду действия этой контрольной процедуры в новом или обновленном дизайне. При этом необходимо оценить необходимость тестирования нового или измененного контроля в текущем финансовом году либо перенос тестирования на следующий год, когда период тестирования будет более представительным и показательным.
В случае, если контрольная процедура была изменена в рамках тестируемого периода, необходимо провести тестирование операционной эффективности предыдущей контрольной процедур с начала периода по дату изменения дизайна.
Выбор метода тестирования
Существует несколько методов тестирования, предполагающих различную степень гарантии того, что контрольная процедура выполняется эффективно:
Одновременное использование двух и более методов тестирования позволяет получить более высокую степень уверенности, чем использование только одного из них. Чем более существенной является контрольная процедура (сумма операций, вероятность возникновения ошибки), тем важнее обеспечить получение доказательств ее эффективности несколькими метода тестирования.
Формирование выборки
Выборка должна соответствовать следующим требованиям:
Для обеспечения репрезентативности выборки целесообразно распределить ее элементы по следующим признакам:
При этом выборка должна производиться самим сотрудником, проводящим тестирование, а не владельцем контрольной процедуры. При выборе из разных кварталов или месяцев внутри периода рекомендуется выбирать декабрь или месяц конца квартала.
Выборка должна соответствовать тестируемым утверждениям финансовой отчетности
В зависимости от утверждений финансовой отчетности компании (в первую очередь таких, как полнота и существование) выборка может осуществляться из различных источников. В случае, когда контрольная процедура направлена на утверждение «существование или возникновение»,выборку следует строить от данных учета / отчетности к первичным документам, являющимися доказательствами контрольной процедуры. При тестировании процедуры, направленной на утверждение «полнота», следует строить выборку от первичных документов к данным учета / отчетности.
Размер выборки зависит от следующих факторов:
При тестировании ключевых контрольных процедур основных бизнес-процессов необходимо использовать подход, не противоречащий требованиям и стандартам, применимым внешним аудитором финансовой отчетности. Размер выборки для таких контрольных процедур рассчитывается таким образом, чтобы предоставить разумную гарантию в том, что контрольная процедура является эффективной и фактически выполнялась в течение всего проверяемого периода.
На основании профессионального суждения сотрудника, ответственного за тестирование, может быть принято решение об увеличении либо уменьшении размера выборки. Если контрольная процедура, направлена на покрытие существенного риска, размер выборки для данной контрольной процедуры может быть увеличен.
Факторы существенного риска:
Если риск, покрываемый контрольной процедурой, является низким, контрольная процедура была протестирована, используя стандартный размер выборки, хотя бы один раз за последние три года и дизайн контрольной процедуры с момента последнего тестирования не менялся, может быть принято решение о снижение размера выборки. Одним из факторов, способствующих снижение риска, является наличие эффективных для бизнес-процесса ККУ.
Методы формирования выборки
Допускается применение одного из следующих методов формирования выборки:
Обоснование выборки и применения профессионального суждения должно быть задокументировано в результате теста.
