Стадии бизнес процесса внутреннего контроля технология

В настоящее время вопросам совершенствования управления информационными технологиями в компаниях уделяется все больше внимания. Причина этого явления вполне понятна и объяснима – информационные технологии становятся неотъемлемой частью любого современного бизнеса, и очень часто основой, обеспечивающей конкурентные преимущества этого бизнеса. Однако оборотной стороной такого влияния информационных технологий на бизнес является растущая зависимость надежности бизнес-процессов, и бизнеса в целом, от надежности информационных систем и процессов самого ИТ-подразделения.

Финансовые скандалы, растущая угроза терроризма, факты недобросовестного использования персональных данных вызвали на Западе принятие ряда законов, выполнение требований которых является обязательным для компаний, желающих остаться на рынке.

Законы, регламентирующие системы внутреннего контроля

• Sarbanes-Oxley Act (SOX) – определяет требования к системе внутреннего контроля и прозрачности финансовой отчетности компаний
• Graham-Leech-Bliley(GLBA) – обязывает финансовые институты защищать неприкосновенность частной информации клиентов
• USA Patriot Act (USAPA) – расширяет законодательство США и определяет дополнительные меры по борьбе с терроризмом в США и за пределами
• Basel II – предлагает единые международных стандарты ведения банковской деятельности, направленные на снижение рисков
• Health Insurance Portability and Accountability Act (HIPАA) — направлен на защиту личных данных пациентов медицинских учреждений и информации о состоянии их здоровья

Для большинства крупных международных компаний уже сейчас актуальны требования закона SOX, а для банков – требования Basel II. При этом, несмотря на то, что формально ИТ является только одной из областей повышенного интереса этих законов, на практике, 80% всех вопросов к другим подразделениям прямо или косвенно касаются вопросов автоматизации с помощью ИТ, поскольку ИТ поддерживают большинство основных бизнес-процессов компании.

Основные направления взаимодействия внутреннего контроля, внутреннего аудита и управления рисками

Этот факт ужесточает требования к системе внутреннего контроля в ИТ-подразделении и многие ИТ- директора уже почувствовали на себе строгость внешнего аудита в данной области и озадачены вопросом организации работы ИТ в новых условиях. При этом необходимо решать вопрос — как совместить повседневную деятельность с постоянной подготовкой к аудитам и их прохождением?

С другой стороны, интерес к SOX и другим регулирующим актам проявляют компании формально не подпадающие под требования данного законодательства. И это не случайно, поскольку соответствие данным требованиям выводит компанию на качественно иной уровень управления и инвестиционной привлекательности.

Системы внутреннего контроля в ИТ

На сегодня существуют признанные в мировой практике подходы к построению процессов ИТ-подразделения, оформленные в виде стандартов. Для аудита и совершенствования деятельности ИТ – подразделения можно использовать стандарт COBIT, однако большинство практических вопросов остаются за границей данного стандарта и требуют дополнительной самостоятельной проработки. При этом, в рамках совершенствования деятельности ИТ невозможно оставить в стороне вопросы информационной безопасности описанные в соответствующем стандарте ISO 27000, поскольку информационная безопасность является одним из основных тем внутреннего контроля.

Система Внутреннего Контроля в организациях

Другим стандартом, с помощью которого сертифицируется качество работы сервис — ориентированного ИТ- подразделения, является недавно принятый ISO 20000, имеющий в своей основе библиотеку ITIL. Использование данных стандартов при совершенствовании процессов ИТ — подразделения является обязательным, однако некоторые вопросы внутреннего контроля регламентированы требованиями сформированными на основании подзаконных актов SOX.

При этом, в новой ситуации, когда ключевые процессы компании, и в частности ИТ-процессы, должны соответствовать требованиям регулирующих актов и законов, принципиальное значение имеет не только каноническая правильность построения системы управления процессами, с точки зрения того или иного стандарта, но, в первую очередь, наличие органично встроенной системы внутреннего контроля. Для руководителя ИТ-департамента это означает внедрение нового процесса, призванного обеспечить требуемый уровень прозрачности и качества ИТ-услуг, и ,желательно, без значительного повышения их стоимости. Таким образом, становится очевидным, что задача построения системы внутреннего контроля, базируется не только на методологии управления процессами, но еще и на методологии управления операционными рисками.

Система внутреннего контроля — определения

• Процесс (Process) – определенная последовательность повторяющихся действий направленная на достижение определенного результата
• Риск (Risk) – потенциально существующая вероятность потери ресурсов или неполучения доходов
• Контроль (контрольная процедура)(Control) – специальные требования при выполнения процесса, направленные на исключение или минимизацию риска
• Подтверждение (Evidence) – документальное подтверждение выполнения требований контроля
• Процедура тестирования (Test procedure)–периодическая процедура проверки эффективности выполнения контролей

Подходы к внедрению системы внутреннего контроля в ИТ

Внедрение процесса внутреннего контроля в компании и, в частности в ИТ, — серьезный проект, включающий следующие стадии:

• анализ применимости требований регулирующих актов;
• идентификация критических областей и процессов;
• описание процессов «как есть»;
• определение рисков в процессах;
• оценка рисков;
• разработка контрольных процедур;
• тестирование контрольных процедур;
• автоматизация процессов ИТ – подразделения;
• управление внутренним контролем.

Рассмотрим эти этапы последовательно в следующих главах.

Анализ применимости требований регулирующих актов и идентификация критических областей и процессов

Как правило, для российских представительств западных компаний требования внутреннего контроля «спускаются сверху». Обычно они формируются централизованно на уровне корпорации, что очень часто не всегда соответствует реальным процессам компании и реалиям российской действительности. В этой связи, задачей данной стадии является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.

Для компаний, рассматривающих SOX только как ориентир для повышения эффективности своих процессов, изучение методологических материалов SOX немаловажно, поскольку позволяет выбрать для себя правильные управленческие решения и ранжировать работы по совершенствованию процессов по важности. Поэтому, для начала следует определить, какие из требований регулирующих законов применимы для компании, определить критичные области в бизнес-процессах и информационной инфраструктуре. При этом для ИТ – определяются информационные ресурсы и системы компании, отвечающие за поддержку основных процессов компании.

Описание процессов « как есть»

На данной стадии проводится описание существующих процессов ИТ — подразделения для понимания и фиксации имеющихся в компании основных направлений деятельности ИТ. Для решения данной задачи целесообразно за основу взять процессы верхнего уровня, перечисленные в двух стандартах COBIT и ISO 20 000. Фактически, на этой стадии, формируется целевые процессы, которые должны существовать в ИТ- подразделении в соответствии с требованиями стандартов.

Далее необходимо проанализировать насколько существующие процессы соответствуют целевой модели процессов ИТ, при этом очень часто многих из них вообще нет в ИТ- подразделении, и это повод задуматься о необходимости их организации. Далее существующие процессы описываются и детализируются до уровня рабочих мест, с четким описанием действий каждого участника, а также входящей и исходящей информации. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур.

Определение рисков в процессах

На этом этапе, необходимо определить, насколько существующие процессы рискованны с точки зрения выполнения требований регулирующих законов. Так, например, для выполнения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также мошенничеству.

К основным группам рисков в ИТ — процессах относятся неавторизованный физический и логический доступ к ИТ — инфраструктуре (корпоративная сеть, базы данных, приложения), внесение неавторизованных или не одобренных должным образом изменений в ИТ -инфраструктуру, системное или прикладное программное обеспечение и т.д.

Определение рисков проводится на основании анализа детального описания процессов. Целью данной операции является получение ответа на вопрос – что может случиться в данной операции с точки зрения вышеперечисленных категорий рисков. В результате – формируется перечень рисков, привязанных к соответствующим процессам и операциям, где они были обнаружены. Экспертная процедура формирования рисков без анализа процессов, как правило, не позволяет достичь полноты и при внешнем аудите обнаруживается множество неучтенных рисков.

Оценка рисков

Данная стадия необходима для выработки эффективной стратегии компенсации рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и приоритезировать мероприятия по их устранению. В данном случае применяется метод качественных экспертных оценок, позволяющий ранжировать риски по критериям вероятность и убытки. (Метод количественных оценок, основанный на точном расчете вероятного ущерба и вероятности риска, в данном случае сложен в применении).

Выделяют четыре стратегии управления операционными рисками:

• Принимать: низкая вероятность – низкие убытки. Данная стратегия наиболее простая – риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно.
• Страховать: низкая вероятность — высокие убытки. Данная стратегия требует страхования данных рисков с помощью страховых компаний
• Избегать: высокая вероятность – высокие убытки. Данная стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании
• Предотвращать: высокая вероятность – низкие убытки. Данная стратегия требует построения контрольных процедур направленных на минимизацию рисков.

Таким образом, в рассматриваемом случае применимы две последние стратегии: «Избегать» и «Предотвращать». На их достижение направлены две деятельности: оптимизация процессов и внедрение контрольных процедур.
Наиболее простым способом оценки рисков может являться оценка рисков методом качественных оценок (3 на 3) и дальнейшая минимизация рисков, не имеющих в оценке низких значений.

Разработка контрольных процедур

Вообще говоря, деятельность по оптимизации процессов всегда присутствует, скрыто или явно, в любой компании, и в ИТ — подразделении в частности. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность.

Появление же внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения этого направления деятельности в компании. Целью и критерием успешности оптимизации процессов в этой связи является исключение или минимизация найденных рисков путем создания контрольных процедур. Наиболее эффективными являются превентивные контрольные процедуры, которые минимизируют саму вероятность появления риска, однако, для повышения надежности процесса, часто, превентивные процедуры применяют в паре с периодическими проверочными. Например, наряду с процедурой удаления прав доступа к информационным системам при увольнении сотрудника, должна существовать контрольная периодическая процедура сверки списка активных пользователей информационных систем со списком уволенных за период.

Другими примерами контрольных процедур могут являться следующие:
o Периодическая проверка восстановления резервных копий файл-серверов, баз данных, приложений;
o Проверка наличия документированных и одобренных руководством запросов на изменение:
— прав доступа пользователя,
— конфигурации сетевого, аппаратного или системного программного обеспечения,
— функциональности приложений.
Для последующей оценки эффективности контролей внутренним или внешним аудитом, крайне необходимо чтобы при выполнении ИТ-процессов вручную или автоматически создавались документальные подтверждения работоспособности каждой контрольной процедуры.

Тестирование контрольных процедур

Для того чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо периодически проверять, как выполняются контрольные процедуры и эта проверка выполняется с помощью набора тестов

Тесты состоят из нескольких последовательных шагов, первым из которых, как правило, является проверка наличия базового документа (политики, процедуры, регламента), в котором определяется порядок и правила выполнения данного процесса. Далее по шагам проверяется выполнение на практике требований, описанных в базовом документе, и документируются конкретные примеры выполнения с приложением документального подтверждения.

По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры, причем это касается, как эффективности алгоритма процедуры, так и правильности его выполнения. Количество тестов определяется количеством экземпляров процессов проходящих через контрольную процедуру. Обычно тестированию подлежит от 2 до 10% от числа выполненных экземпляров процессов. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьироваться от ежемесячной до годовой. Дополнительной сложностью в организации процесса тестирования может быть требование, что тестирование должно проводится сотрудниками, не участвующими в проверяемых процессах.

Автоматизация процессов ИТ- подразделения

В современных условиях, когда количество бизнес- транзакций достигает сотен тысяч в секунду, количество обращений в ИТ — сотен в день, а среднее количество контрольных процедур для ИТ- процессов колеблется от 50 до 100, наивно надеяться на возможность обеспечить эффективность выполнения контролей «на ручном уровне». Поэтому, единственным эффективным путем является автоматизация ИТ-процессов.

В настоящее время существует достаточное количество программных продуктов импортного и отечественного производства, решающих эту задачу и построенных на принципах ITIL. Другим возможным подходом является применение систем класса Workflow , в рамках которых производится автоматизация всех операций процесса, сбор и каталогизация необходимой информации.

Помимо этого, вслед за автоматизацией процессов необходимо автоматизировать систему тестирования для обеспечения регулярного тестирования контрольных процедур, сбора и архивации результатов.

Управление внутренним контролем

После всего вышесказанного становится понятно, что внутренний контроль должен быть регулярным и, следовательно, должен быть процессом. Как процесс, внутренний контроль требует правильного планирования, выполнения, проведения и совершенствования. При этом наиболее рационально организовать этот процесс на уровне компании и сделать владельцем процесса отдел внутреннего контроля или аудита.

Основными задачами владельца процесса внутреннего контроля являются назначение собственников контролей, разработка графика тестирования, оповещение тестеров и собственников контроля о сроках проведения очередного тестирования, сбор и архивация результатов тестирования и получение отчетности для руководства и проверяющих. Эти задачи так же можно и нужно автоматизировать.

Для этого можно применять различные ИТ- решения, от разработанных самостоятельно, до серьезных.

Заключение

В связи с появлением требований регулирующих законов, одной из основных задач ИТ- директора становится построение системы управления ИТ- и связанными бизнес-процессами, в которой органично присутствует система внутреннего контроля за рисками.

Основной ошибкой является отношение к этой деятельности как к проекту, результаты которого нужны внутреннему или внешнему аудитору. Необходимо изменить отношение к данной деятельности и организовывать ее как процесс, выполняемый на регулярной основе.

Наличие процесса внутреннего контроля в ИТ является отличительным признаком зрелости процессов компании и ИТ- подразделения, что повышает надежность и прозрачность бизнеса, инвестиционную привлекательность компании, и, что немаловажно, позволяет ИТ – директору заниматься планомерным развитием ИТ и бизнеса, а не скоропостижным устранением списка недостатков в ожидании аудиторов.

Голубев Виктор Филиппович, Директор департамента продаж ИТ — решений
Коптелов Андрей Константинович, Директор департамента ИТ – консалтинга
Консалтинговая компания IDS Scheer Россия и страны СНГ

Источник: koptelov.info

9. Этапы внутреннего контроля

целей, укреплению ее позиций на рынке. Такими документами дол­жны быть положения о финансовой, производственно-технологи­ческой, инновационной, снабженческой, сбытовой, инвестицион­ной, учетной и кадровой политике. Данные положения должны разрабатываться на основе глубокого анализа каждого элемента по­литики и выбора из имеющихся альтернатив наиболее приемлемых для данной организации. Документальное закрепление политики организации в различных сферах ее финансово-хозяйственной дея­тельности позволит осуществлять предварительный, текущий и по­следующий контроль всех аспектов ее функционирования.

1. Анализ эффективности существующей структуры управле­ния, ее корректировка. Необходимо разработать положение об организационной структуре, в котором должны быть описаны все организационные звенья с указанием административной, функ­циональной, методической подчиненности, направления их дея­тельности, функции, которые они выполняют, установлен регла­мент их взаимоотношений, права и ответственность, показано распределение видов продуктов, ресурсов, функций управления по этим звеньям. То же относится и к положениям о различных структурных подразделениях (отделах, бюро, группах и т. д.), к планам организации труда их работников. Необходимо разра­ботать (уточнить) план документации и документооборота, штатное расписание, должностные инструкции с указанием прав, обязанностей и ответственности каждой структурной еди­ницы. Без такого строгого подхода невозможно осуществлять четкую координацию функционирования всех звеньев системы внутреннего контроля организации.
2. Разработка формальных типовых процедур контроля конк­ретных финансовых и хозяйственных операций. Это позволит упорядочить взаимоотношения работников по поводу контроля финансово-хозяйственной деятельности, эффективно управлять ресурсами, оценивать уровень достоверности (качества) инфор­мации для принятия управленческих решений.
3. Организация отдела внутреннего аудита (или другого спе­циализированного контрольного подразделения).

При организации такого отдела необходимо учитывать основ­ные требования к эффективности его функционирования.

Может быть и большее количество этапов оценки системы контроля в зависимости от индивидуальных особенностей эконо­мического субъекта, подвергнутого проверке.

Общее знакомство с системой внутреннего контроля вклю­чает получение информации о специфике и масштабах дея­тельности субъекта, представление о системе его бухгалтер­ского учета. Итоги первоначального знакомства позволяют принять решение о возможности использования в проверке системы внутреннего контроля. Если контролер-ревизор не может полагаться на систему внутреннего контроля, он должен спланировать свою проверку, таким образом, чтоб выводы его не основывались на доверии к этой системе. Низкая эффектив­ность системы внутреннего контроля должна быть отражена в заключении о проверке субъекта.

Источник: studfile.net

Методика внедрения эффективной системы внутреннего контроля на предприятии

Зарипова, Д. И. Методика внедрения эффективной системы внутреннего контроля на предприятии / Д. И. Зарипова. — Текст : непосредственный // Молодой ученый. — 2015. — № 3 (83). — С. 421-424. — URL: https://moluch.ru/archive/83/15337/ (дата обращения: 01.06.2023).

В действующей системе развивающихся рыночных отношений, а также в условиях постепенного усложнения структуры и разнообразия организационно-правовых форм предприятий как никогда остро стоит вопрос о внедрении службы, позволяющей предупреждать, выявлять и контролировать отклонения в действиях должностных лиц, а также в совершаемых ими операциях. Именно данные направления являются основными задачами внутреннего контроля, внедрение которого должно быть приоритетной миссией всякой организации, желающей эффективно функционировать на рынке. Основная цель данной статьи заключается в рассмотрении этапов внедрения системы внутреннего контроля в компании с подробным раскрытием процедур, производимых на каждом этапе.

Итак, система внутреннего контроля — это совокупность процедур, используемых заинтересованными в успешной работе менеджерами организации для упорядоченного ведения финансово-хозяйственной деятельности. В общем случае основные направления работы данной системы можно классифицировать следующим образом:

— Контроль над обеспечением сохранности активов организации;

— Контроль соблюдения законодательства;

— Контроль над своевременной подготовкой достоверной финансовой отчетности;

— Контроль соответствия операций, выполняемых работниками организации, должностным инструкциям.

Впервые об обязательном внедрении системы внутреннего контроля на предприятии заговорили после скандального случая, связанного с компанией «Enron» — руководство предоставляло искаженную финансовую отчетность, завышая показатели выручки, тем самым добиваясь инвестиционной привлекательности; результатом стало банкротство крупнейшей энергетической компании Америки. Основными из причин краха данного предприятия называют отсутствие налаженной системы внутреннего контроля, а также противостояние интересов менеджеров высшего звена, получающих вознаграждения в виде процентов с указанной в отчетности прибыли, и корпорации в целом. Следствием действий компании Enron явилось принятие в 2002 году закона Сарбейнса-Оксли (SOX), который предъявил жесткие требования к отчетности публичных компаний с целью повышения их достоверности, потребовал проведения систематических независимых проверок, а также наличия внутреннего и внешнего контроля.

Что касается России, то некоторые изменения в данном вопросе коснулись и наших компаний: так, ст. 19 Федерального закона № 402 указывает на то, что любой экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Более строгие требования предъявляются к предприятиям, отчетность которых подлежит обязательному аудиту: такие организации должны осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности [2]. На практике компании зачастую внедряют систему внутреннего контроля в рамках функций, выполняемых службой внутреннего аудита, однако формально эти понятия не тождественны друг другу. Сущность и основные различия данных служб можно представить следующим образом:

Сущность и различия службы внутреннего аудита и службы внутреннего контроля

Линии сравнения

Служба внутреннего аудита

Служба внутреннего контроля

Повышение эффективности работы предприятия, выявление неиспользованных резервов

1) Изучение и оценка работы службы внутреннего контроля

2) Подготовка информации относительно эффективности функционирования предприятия высшему руководству

3) Оценка достоверности финансовой отчетности

1) Проверка наличия и сохранности активов

2) Контроль соответствия выполняемых операций законодательству

3) Проверка подготовки достоверной финансовой отчетности

4) Выявление отклонений и нарушений в работе персонала

Совет директоров и высшее исполнительное руководство

Результат работы службы

Констатация выявленных отклонений

Выбор оптимального решения для устранения отклонений; разработка алгоритмов действий персонала, позволяющих предотвратить нарушения

Как видно из данной таблицы, конечные цели служб внутреннего аудита и внутреннего контроля все же аналогичны: они созданы для того, чтобы выявить резервы повышения эффективности предприятия. Однако методика работы данных подразделений различаются: служба внутреннего аудита создается высшим руководством, которому докладывается о нарушениях в деятельности того или иного подразделения, несовершенствах системы внутреннего контроля, недостатках финансовой отчетности.

На основании информации о выявленных отклонениях руководство может принимать управленческие решения относительно устранения негативных факторов. Служба внутреннего контроля же образована линейными менеджерами и интегрирована в общую структуру управления организации: так, осуществляется фактический и документальный контроль всех бизнес-процессов на различных этапах их функционирования, выявляются проблемные зоны, и, что характерно, предлагаются пути и рекомендации устранения недостатков. Повышению эффективности работы службы внутреннего контроля способствует и то, что менеджеры, ответственные за результаты работы своих подразделений, могут предложить максимально эффективные решения в силу того, что они компетентны в своих областях деятельности и видят работу отделов «изнутри». Но в этом же и недостаток такого построения системы контроля, ведь исключать возможность сговора между менеджерами подразделений, а также линейными работниками нельзя — зачастую собственные цели стоят выше интересов корпорации, поэтому недостатки будут тщательно скрываться, что, безусловно, не лучшим образом скажется на работе предприятия. Для оценки же подобных несовершенств внутреннего контроля необходима эффективно построенная служба внутреннего аудита.

Далее необходимо рассмотреть особенности внедрения системы внутреннего контроля в компании. Обобщенно этапы построения эффективной системы можно представить следующим образом:

Этапы внедрения системы внутреннего контроля

Этап 1. Определение подразделений, в которые необходимо внедрение контроля

Определение ответственных лиц

Этап 2. Оценка рисков

Выявление рисков в ведении хозяйственной деятельности

Прогнозирование возможных последствий

Устранение, минимизация рисков

Этап 3. Внедрение контрольных процедур

Утверждение положения о службе внутреннего контроля

Закрепление контрольных функций в должностных инструкциях, трудовых договорах работников

Определение санкций (поощрений) за нарушение (добросовестное исполнение) должностных обязанностей

Этап 4. Мониторинг исполнения

Выявление отклонений, не устраненных системой внутреннего контроля

Оценка качества исполнения контрольных процедур

На первом этапе необходимо определить те подразделения, в которых наблюдаются необоснованно низкие показатели деятельности, ведь именно в таких службах риск выявления нарушений высок. Для более наглядного представления о внедрении системы внутреннего контроля рассмотрим этапы, указанные в таблице 2, на примере отдела сбыта, результаты продаж которого существенно ниже запланированных в условиях роста рынка. В первую очередь нужно определить функции, которые реализуются данным подразделением, а также ответственные за их выполнение лица:

Основные функции отдела сбыта

Ответственные лица

Осуществление поиска потенциальных клиентов

Ведение переговоров о поставке продукции с потенциальными клиентами

Организация хранения материально-производственных запасов на складе

Заведующий складом отдела сбыта

Контроль оплаты продукции покупателями

Составление плана поставок

Руководитель отдела сбыта

Принятие решения относительно скидок покупателям и отсрочек платежей

Рассмотрение поступающих от покупателей претензий

Заместитель руководителя/ старший менеджер

Данная таблица наглядно демонстрирует основные зоны ответственности в отделе сбыта, что соответствует первому этапу внедрения системы внутреннего контроля на предприятии. В рамках следующего шага необходимо выявить риски, которые могут возникнуть при выполнении вышеуказанных функций.

Основным риском, вытекающим из таблицы 3, является недобросовестная работа начальника отдела сбыта: данное должностное лицо подписывает контракты на реализацию с клиентом, после чего санкционирует отгрузку продукции этому покупателю, а также самостоятельно принимает решения относительно предоставляемых скидок. Таким образом, нельзя исключать риск того, что начальник отдела продаж будет предлагать покупателю необоснованно большие объемы скидок, после чего санкционировать отгрузку; при этом цена продажи никем не контролируется и находятся в ведении исключительно руководителя данного отдела, что не лучшим образом скажется на работе предприятия. В целях снижения данного риска рекомендуется передать одну из вышеуказанных функций другому должностному лицу, например, формирование политики скидок и бонусов можно поручить финансовому отделу, сотрудники которого, на основании анализа платежеспособности и деловой репутации клиента, будут принимать решения, а также контролировать оплату. Начальнику отдела сбыта достанутся функции по подписанию контрактов по цене, определенной финансовым отделом, а также санкционирование отгрузок. Таким образом, минимизируется риск предоставления необоснованного количества скидок, бонусов, отсрочек платежей недобросовестным начальником.

На третьем этапе внедрения системы внутреннего контроля необходимо утвердить положение о службе внутреннего контроля, в котором будут прописаны количество сотрудников, методы проверок, а также основные функции службы. Кроме того, наиболее эффективным способом обеспечения контроля являются должностные инструкции, в которых указаны обязанности сотрудников и трудовые договора, где определены санкции за недобросовестное их выполнение. Так, указав в трудовом договоре начальника того же финансового отдела пункт о премировании в случае устойчивого снижения уровня дебиторской задолженности, возрастает вероятность того, что руководитель финансового отдела будет более тщательно проверять своих подчиненных на предмет объективности расчета платежеспособности клиента. Ведь в случае продажи товара покупателю с низкой финансовой устойчивостью риск неоплаты возрастает, а дебиторская задолженность увеличивается, что, в свою очередь замедляет оборачиваемость средств в организации. Таким образом, обеспечивается повсеместное введение контрольных процедур во всех подразделениях предприятия.

На четвертом этапе внедрения системы внутреннего контроля необходимо наблюдение за результатами и фиксация основных показателей каждого подразделения. В разрезе отдела сбыта необходимо проанализировать динамику таких показателей, как объем продаж, соотношение стоимости оплаченной продукции к отгруженной, количество жалоб клиентов, уровень просроченной дебиторской задолженности, объем продаж на одного клиента, количество недостач продукции на складе и другие. Количество показателей и их «вес» выбираются исходя из компетентного суждения сотрудников службы внутреннего контроля. Если наблюдается качественное улучшение данных показателей, можно говорить об эффективном внедрении контрольных действий в организации, следует выявлять новые резервы роста с целью их использования. Однако в случае качественного ухудшения основных показателей принимаются решения о внедрении дополнительных контрольных процедур, вносятся предложения о замене недобросовестных сотрудников, а также о необходимых структурных изменениях в компании.

Таким образом, внутренний контроль осуществляется всеми сотрудниками организации на непрерывной основе и направлен на достижение текущих и стратегических целей предприятия [1, с. 37]. Организация системы внутреннего контроля включает в себя четыре этапа и требует значительных усилий руководства и менеджеров в силу того, что работа по внедрению подобной системы трудоемка, но, вместе с тем, и действенна. Рассмотренная в данной статье схема внедрения контрольных процедур подходит для предприятия любой отраслевой принадлежности и любого масштаба. Кроме того, для более продуктивной деятельности предприятия необходима параллельная работа службы внутреннего контроля и службы внутреннего аудита, так как эти подразделения выполняют основную цель по повышению эффективности предприятия различными методами.

1. Одегова Н. А. Общие принципы организации системы внутреннего контроля/ Н. А. Одегова // Аудитор. — 2013. — № 12.

2. Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете» (с изм. и доп., вступившими в силу с 02.11.2013).

Основные термины (генерируются автоматически): внутренний контроль, внутренний аудит, служба, финансовый отдел, этап внедрения системы, этап, высшее руководство, дебиторская задолженность, должностное лицо, достоверная финансовая отчетность.

Источник: moluch.ru