В настоящее время особую актуальность приобретают вопросы организации и осуществления внутреннего контроля. Так, в ст. 19 «Внутренний контроль» Федерального закона от 6 декабря 2011 г. №402-ФЗ «О бухгалтерском учете» указано что:
- Экономический субъект обязан организовывать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
- Экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовывать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя) [1].
Также отметим перечень случаев обязательного аудита, так как Федеральный закон от 30.12.2008 №307-ФЗ «Об аудиторской деятельности» подчеркивает, что именно эти организации обязаны осуществлять контроль ведения учета и составления отчетности. Случаи обязательного аудита отмечены, прежде всего, в ст. 5 307-ФЗ, согласно которой обязательный аудит проводится в следующих случаях:
Внутренний контроль как важная часть бизнес процесса
- если организация имеет организационно-правовую форму открытого акционерного общества;
- если ценные бумаги организации допущены к обращению на организованных торгах;
- если организация является кредитной организацией, бюро кредитных историй, профессиональным участником рынка ценных бумаг, страховой организацией, клиринговой организацией, обществом взаимного страхования, организатором торговли, негосударственным пенсионным или иным фондом, акционерным инвестиционным фондом, управляющей компанией акционерного инвестиционного фонда, паевого инвестиционного фонда или негосударственного пенсионного фонда (за исключением государственных внебюджетных фондов);
- если объем выручки от продажи продукции (продажи товаров, выполнения работ, оказания услуг) организации (за исключением органов государственной власти, органов местного самоуправления, государственных и муниципальных учреждений, государственных и муниципальных унитарных предприятий, сельскохозяйственных кооперативов, союзов этих кооперативов) за предшествовавший отчетному год превышает четыреста миллионов рублей или сумма активов бухгалтерского баланса по состоянию на конец предшествовавшего отчетному года превышает шестьдесят миллионов рублей;
- если организация (за исключением органа государственной власти, органа местного самоуправления, государственного внебюджетного фонда, а также государственного и муниципального учреждения) представляет и/или публикует сводную (консолидированную) бухгалтерскую (финансовую) отчетность;
- в иных случаях, установленных федеральными законами [2].
Следовательно, данные организации обязаны осуществлять внутренний контроль ведения учета и составления отчетности.
Кроме того, на сайте Министерства финансов РФ ежегодно публикуется информация с перечнем случаев обязательного аудита, в которой содержится указание на нормативно-правовой акт, согласно которому необходимо проводить обязательный аудит, вид отчетности, подлежащий аудиту и субъектов проверки. Информацию о случаях обязательного аудита также можно почерпнуть в Письмах ФНС [7].
Система Внутреннего Контроля в организациях
Необходимость проведения и организации внутреннего контроля по «особым» правилам отмечает Федеральный закон №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма», ст. 7 которого отмечает, что организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны в целях предотвращения легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма разрабатывать правила внутреннего контроля, назначать специальных должностных лиц, ответственных за реализацию правил внутреннего контроля, а также принимать иные внутренние организационные меры в указанных целях [3].
Конкретные действия по организации и проведению внутреннего контроля отражены в Информации Минфина России №ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» [6].
Так, в данной Информации отмечено, что внутренний контроль – это процесс, направленный на получение достаточной уверенности в том, что экономический субъект обеспечивает:
- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
- достоверность и своевременность бухгалтерской (финансовой) и иной отчетности;
- соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.
В рекомендациях Минфина также сформированы основные элементы внутреннего контроля, к которым относятся:
- контрольная среда;
- оценка рисков;
- процедуры внутреннего контроля;
- информация и коммуникация;
- оценка внутреннего контроля.
Исходя из изученного материала по внутреннему контролю, становится очевидным, что рекомендации Минфина России построены на основе системы COSO. Данная система была разработана Комиссией Тредуэя (спонсорским комитетом Тредуэя), образованной несколькими организациями: Американским институтом дипломированных общественных бухгалтеров (America№Institute of Certified Public Accountants), Американской ассоциацией бухгалтеров (America№Accounting Association), Институтом внутренних аудиторов (Institute of Internal Auditors), Международной ассоциацией финансовых руководителей (Financial Executives International), Институтом бухгалтеров по управленческому учету (Institute of Management Accountants).
Согласно системе COSO внутренний контроль – это процесс, осуществляемый высшим органом организации, определяющим его политику, его управленческим персоналом высшего уровня и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием следующих целей: целесообразности и финансовой эффективности деятельности; достоверности финансовой отчетности; соблюдения применимого законодательства и требований регулирующих органов.
Элементы внутреннего контроля согласно системе COSO включают в себя:
- контрольную среду;
- оценку риска;
- мероприятия контроля;
- сбор и анализ информации, а также передачу ее по назначению;
- мониторинг и исправление ошибок.
Если обратиться к федеральным стандартам аудиторской деятельности, то можно констатировать, что косвенное руководство по организации внутреннего контроля над экономическим субъектом содержится во ФПСАД №8. Указанный Стандарт предназначен в качестве руководства внешнему аудитору для понимания деятельности экономического субъекта, в том числе системы его внутреннего контроля [8].
В одном из приложений к данному Стандарту приведена характеристика следующих элементов системы внутреннего контроля, которые должен оценить внешний аудитор в ходе проверки, а именно:
- контрольной среды;
- процесса оценки рисков аудируемым лицом;
- информационной системы, связанной с подготовкой финансовой (бухгалтерской) отчетности;
- контрольных действий;
- мониторинга средств контроля.
Организация внутреннего контроля
Ключевыми моментами в определении внутреннего контроля являются контроль эффективности, достижения запланированных операционных и финансовых показателей, ведения учета и составления отчетности, а также соблюдения законодательства экономическим субъектом. Представим организационно-методические особенности данных этапов и направлений контроля.
В общем виде организацию внутреннего контроля исходя из его определения можно представить следующим образом (рис. 1).
Рисунок 1. Внутренний контроль эффективности деятельности, достижения операционных и финансовых показателей
В первую очередь при проведении внутреннего контроля необходимо определить его объекты – показатели эффекта (результата) и эффективности (результативности).
Эффект – это результат деятельности экономического субъекта, формирующийся в абсолютном выражении (выручка, прибыль, маржинальный доход и т.д.), эффективность – относительный показатель деятельности (рентабельность, фондоотдача, оборачиваемость, производительность труда и т.д.). Кроме выбора самих показателей внутреннего контроля, необходимо определиться с методикой их расчета.
Так, при расчете показателей эффективности использования тех или иных ресурсов должны использоваться различные виды продукции:
- при расчете фондоотдачи, фондоемкости – товарная продукция;
- при расчете количества оборотов оборотных средств – реализуемая продукция;
- при расчете выработки – валовая продукция.
Ввиду этих особенностей рассчитанные на основе выручки от реализации показатели эффективности использования основных, оборотных фондов и трудовых ресурсов являются не совсем корректными и далекими от реальной оценки.
Внутренний контроль эффективности и результативности деятельности
Внутренний контроль эффективности и результативности деятельности, в том числе достижения финансовых и операционных показателей, представляется возможным организовать при помощи методов экономического анализа, виды которого представлены на следующем рисунке.
Рисунок 2. Классификация видов экономического анализа
Управленческий анализ позволит осуществить в рамках внутреннего контроля оценку эффективности использования ресурсного потенциала экономического субъекта (по основным фондам: фондоотдачи, фондоемкости, фондорентабельности; по оборотным фондам – оборачиваемости, в оборотах и днях; по трудовым ресурсам – производительности труда, трудоемкости продукции, работ, услуг) и достигнутого эффекта от осуществления деятельности (прибыль, выручку, маржинальный доход, экономию себестоимости). Финансовый анализ позволит дать оценку финансового состояния экономического субъекта.
Используемый в аудиторской деятельности ФПСАД №20 [10] также построен на применении экономического анализа для выполнения контрольных процедур. Так, ФПСАД №20 отмечает, что при применении аналитических процедур аудитор осуществляет анализ соотношений и закономерностей, основанных на сведениях о деятельности аудируемого лица, а также изучает связь этих соотношений и закономерностей с другой имеющейся в распоряжении аудитора информацией или причины возможных отклонений от нее.
На основании изложенного, применение аналитических процедур при осуществлении внутреннего контроля может быть обозначено следующей последовательностью.
Рисунок 3. Возможное применение аналитических процедур в рамках организации внутреннего контроля
Аналитические процедуры в рамках внутреннего контроля могут быть осуществлены разными способами (простым сравнением, комплексным анализом с применением сложных статистических методов и др.). Выбор аудитором процедур, способов и уровня их применения является предметом профессионального суждения.
Методом горизонтального анализа можно осуществить рассмотрение финансовой и другой информации о рассматриваемой организации в сравнении:
- с сопоставимой информацией за предыдущие периоды;
- с ожидаемыми результатами деятельности аудируемого лица, например сметами или прогнозами, а также предположениями аудитора;
- с информацией об организациях, ведущих аналогичную деятельность (например, сравнение отношения выручки от продаж аудируемого лица к сумме дебиторской задолженности со средними отраслевыми показателями или с показателями других организаций сопоставимого размера в той же отрасли экономики).
Методами факторного анализа проводится оценка влияния факторов на выявленное отклонение, в результате чего осуществляются поиск путей эффективного использования ресурсов организации, а также рассмотрение взаимосвязей:
- между элементами информации, которые предположительно должны соответствовать прогнозируемому образцу, исходя из опыта экономического субъекта;
- между финансовой информацией и другой информацией (например, между расходами на оплату труда и численностью работников).
При помощи методов сравнения выявляется общая тенденция изменения показателей, анализ углубляется применением методов факторного анализа (они рассматриваются в курсе экономического анализа). Основными методами факторного анализа являются способы абсолютных и относительных разниц, метод цепных подстановок, метод логарифмирования, пропорционального деления, интегральный метод и т.д.
Кроме того, внутренний контроль эффективности деятельности можно проводить с учетом оценки допущения непрерывности деятельности экономического субъекта (ФПСАД №11) [9], одной из действенных методик оценки которого, по мнению автора является применение CVP-анализа [14].
Также на экономическом субъекте необходимо осуществлять внутренний контроль эффективности долгосрочных решений, основой которого являются расчет и оценка статических и динамических показателей. При этом наиболее актуальными являются методы, учитывающие временную ценность денег – динамические (дисконтированные) методы (табл. 1).
Таблица 1. Статические и динамические методы оценки инвестиционных проектов
| Критерии оценки инвестиционных проектов | Основанные на учетных оценках («статистические», традиционные методы): PP, ARR |
| Основанные на дисконтированных оценках («динамические» методы): PV, NPV, PI, IRR, DPP |
Внутренний контроль достижения операционных и финансовых показателей
Для организации внутреннего контроля достижения операционных и финансовых показателей необходимо проводить сравнение с запланированными показателями бюджета организации в разрезе операционного и финансового бюджетов (рис. 4).
Рисунок 4. Система бюджетов для внутреннего контроля достижения показателей
Анализ необходимо проводить методами сравнения, перечисленными выше, а также методами факторного анализа путем поиска причин выявленных отклонений от запланированных показателей.
Внутренний контроль ведения учета и составления отчетности
Общая последовательность внутреннего контроля ведения учета, составления отчетности, по мнению автора, «технически» и методически не отличается от принципов осуществления внешнего контроля и может быть представлена последовательностью, приведенной на рисунке 5.
Рисунок 5. Внутренний контроль ведения учета, составления отчетности
Как и при проведении внешней проверки, при осуществлении внутреннего контроля проверку необходимо тщательно спланировать, сформировать массив информации, подлежащий проверке (осуществлять проверку сплошным порядком экономически нецелесообразно). Для разных целей необходимо сформировать предельно допустимую величину ошибки для разных групп пользователей в виде существенности.
При осуществлении проверки необходимо провести тестирование средств внутреннего контроля и процедуры проверки по существу в отношении каждой предпосылки составления финансовой отчетности.
Формирование отчетов (состав, структура, периодичность представления) должно регламентироваться внутренними документами экономического субъекта. Более подробно на формировании процедур контроля мы остановимся при описании элементов системы внутреннего контроля.
Внутренний контроль соблюдения законодательства
Внутренний контроль соблюдения законодательства, заключающийся в контроле соблюдения нормативно-правовых актов, нельзя рассматривать отдельно от контроля ведения бухгалтерского учета экономического субъекта, так как практически все хозяйственные операции находят в нем свое отражение.
Поэтому при осуществлении данного направления контроля необходимо проверить, соблюдается ли в организации четырехуровневая система ведения учета и составления отчетности экономического субъекта, законы, кодексы, ПБУ, план счетов, методические рекомендации, разъяснения, локальные нормативно-правовые акты.
- Федеральный закон от 06.12.2011 №402-ФЗ «О бухгалтерском учете».
- Федеральный закон от 30.12.2008 №307-ФЗ «Об аудиторской деятельности».
- Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
- Постановление Правительства РФ от 30.06.2012 №667 «Об утверждении требований к правилам внутреннего контроля, разрабатываемым организациями, осуществляющими операции с денежными средствами или иным имуществом (за исключением кредитных организаций), и индивидуальными предпринимателями, и о признании утратившими силу некоторых актов Правительства Российской Федерации».
- Информация Минфина России №ПЗ-10/2012 «О вступлении в силу с 1 января 2013 г. Федерального закона от 6 декабря 2011 г. №402-ФЗ «О бухгалтерском учете».
- Информация Минфина России №ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности».
- Письмо ФНС России от 16.07.2013 №АС-4-2/12705 «О рекомендациях по проведению камеральных налоговых проверок».
- ФПСАД №8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности».
- ФПСАД №11 «Применимость допущения непрерывности деятельности аудируемого лица».
- ФПСАД №20 «Аналитические процедуры».
- ФСАД 5/2010 «Обязанности аудитора по рассмотрению недобросовестных действий в ходе аудита».
- Бахрушина М.А. Бухгалтерский управленческий учет. Учеб. для студентов вузов, обучающихся по экономическим специальностям. 8-е изд., испр. М.: Омега-Л, 2010.
- Егорова И.С. Особенности формирования профессионального языка в аудиторской деятельности / И. Егорова // Аудиторские ведомости. 2014. №4.
- Егорова И.С. Применение CVP-анализа для оценки непрерывности деятельности аудируемого лица // Международный бухгалтерский учет. 2014. №12.
- «КонсультантПлюс».
Источник: afdanalyse.ru
Как построить в компании систему внутреннего контроля
Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.
Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.
Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)
Что такое операционный риск
Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.
Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.
По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.
Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.
Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.
Оценка операционных рисков
Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.
Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.
Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.
После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.
Построение системы внутреннего контроля
Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.
Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.
Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:
- Когда и как часто выполняются процедуры контроля?
- Кто выполняет контрольную процедуру?
- Что необходимо выполнить в процедуре контроля?
- Как понять, что процедура контроля выполнена правильно?
- Как процедура контроля документирована?
- Какие свидетельства выполнения процедуры контроля существуют?
- Где расположены контрольные точки в бизнес-процессах?
При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.
При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.
Тестирование эффективности системы внутреннего контроля
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:
Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.
Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.
По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.
Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.
В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.
Почему нужно равняться на методологию SOX
Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.
При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.
И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.
Источник: www.e-xecutive.ru
Презентация на тему Бизнес-процессы и внутренний контроль
Содержание программы Внутренний контроль: концептуальные основы Документирование и оценка СВК Бизнес-процесс: определения и характеристики Описание бизнес-процессов Определение контрольных точек и оценка контрольных процедур
- Главная
- Бизнес и предпринимательство
- Бизнес-процессы и внутренний контроль
Слайды и текст этой презентации
Слайд 1Бизнес-процессы и внутренний контроль
6 апреля 2010 года
Москва
Слайд 2Содержание программы
Внутренний контроль: концептуальные основы
Документирование и оценка
СВК
Бизнес-процесс: определения и характеристики
Описание бизнес-процессов
Определение контрольных точек
и оценка контрольных процедур
Слайд 31.
Внутренний контроль:
концептуальные основы
Слайд 4Подумаем вместе
Как часто мы осуществляем контроль в
своей жизни?
Что такое контроль?
Слайд 5Определение внутреннего контроля
Эффективность и экономичность операций —
операционная цель
Соответствие законодательству — цель соответствия
Достоверность финансовой
отчетности – финансовая цель
Внутренний контроль – это процесс,
осуществляемый Советом директоров,
руководством и прочим персоналом
для обеспечения обоснованной гарантии
того, что цели компании будут
достигнуты (COSO)
Слайд 6Преимущества компании в результате внедрения СУР и
СВК
.
Выявление возможностей в новых областях бизнеса
достижения целей бизнеса
Увеличение
вероятности
достижения инициатив изменений
Рост стоимости
акций в долгосрочной перспективе
Лучшие основы для разработки стратегии
Достижение конкурентного преимущества
Личная мотивация
делать правильные
вещи
Уменьшение времени руководителей на «тушение пожаров»
Меньше внезапных ситуаций и неприятных сюрпризов
Уменьшение стоимости капитала
Слайд 7
Внутренний контроль
Задокументированные, «прозрачные» процессы
Стандартизация, оптимизация КП
Разделение
обязанностей
Контроли доступа в системы
Компания без внутреннего
Компания
с внутренним контролем
Что дает компании наличие системы внутреннего контроля?
Слайд 8Система внутреннего контроля. Концептуальная база
В основу Методологии
по усовершенствованию системы внутреннего контроля (CВК) заложен
концептуальный подход COSO.
COSO – добровольная организация, созданная для улучшения качества финансовой отчетности через деловую этику, эффективный внутренний контроль и корпоративное управление.
Internal Control – Integrated Framework (1992) – результат изучения, исследования и обсуждения проблемы внутреннего контроля COSO c корпоративными лидерами, законодателями, аудиторами, внешними директорами, юристами, консультантами.
определение внутреннего контроля
основы внутреннего контроля, которые позволят компаниям создать и улучшить свои системы внутреннего контроля
Слайд 9Система внутреннего контроля (СВК). Модель COSO
Мониторинг
Оценка
систем контроля с течением времени
Сочетание постоянно и
периодически проводящихся оценок систем
Деятельность по руководству и надзору
Деятельность по внутреннему аудиту
Контрольная среда
Устанавливает общий тон в организации, влияющий на осознание людьми их роли в системе внутреннего контроля
Факторы включают честность, этические нормы, компетентность, полномочия, ответственность
Фундамент для всех других компонентов контроля
Информация и коммуникации
Нужная информация идентифицирована, обработана и представлена своевременно
Доступ к внутренней и внешней информации
Поток информации о контрольных действиях: от инструкций по персоналу до отчета руководству об обнаруженных нарушениях
Оценка рисков
Идентификация и анализ рисков, связанных с достижением целей организации
Формирует основу для определения контрольных действий
Контрольные процедуры
Политики / процедуры, которые гарантируют, что директивы руководства выполняются
Действия по рассмотрению, авторизации, сверке, предоставлению рекомендаций, оценке исполнения, сохранности активов и разделению полномочий
Слайд 10СВК. Контрольная среда
Контрольная среда – это осознание
необходимости контроля в организации.
Контрольная среда включает осязаемые
и неосязаемые элементы:
честность персонала и его этические ценности;
приверженность идее компетентного выполнения обязанностей;
управление и организационная структура компании;
философия управления и стиль руководства;
распределение полномочий и ответственности;
работа с персоналом.
Слайд 11Риск — это событие (стечение обстоятельств), которое,
в случае реализации, оказало бы существенное положительное
или негативное влияние на достижение Компанией своих долгосрочных и краткосрочных целей.
СВК. Оценка рисков. Определение риска
Слайд 12СВК. Оценка рисков. Карта рисков
Главная цель –
ранжирование рисков — распределение ресурсов для реагирования
на наиболее существенные риски.
Значимость риска измеряется по двум параметрам:
Вероятность возникновения
Величина влияния
Слайд 13Карта рисков «Базэл»
Слайд 14СВК. Контрольные процедуры
Контрольные процедуры (КП) — действия,
осуществляемые руководством и сотрудниками компании, ведущие к
выполнению задач контроля и позволяющие снижать риски.
По уровню значимости: ключевые (ККП) и неключевые.
Слайд 15СВК. Типы контрольных процедур
Типы контрольных процедур:
и верификация (т.е. делегирование
ответственности)
обзор исполнения (напр., КПИ)
защита
активов (т.е. физический контроль, инвентаризация)
разделение обязанностей (хранение – авторизация – учет)
сверки
Слайд 16Операции и контрольные процедуры
Чувствуете разницу в своих
действиях?
Слайд 17СВК. Контрольные процедуры. Виды контрольных процедур
По моменту
выполнения
По способу выполнения
Предупредительные
Выявляющие
Ручные
Автоматизированные
Пример: Финансовый директор
подписывает
реестр платежных поручений
перед отправкой в банк
Пример: Система не позволяет
принять заказ к исполнению
сверх кредитного лимита
Пример: Сотрудник экономического отдела
ежемесячно проводит
анализ фактической
себестоимости
Пример: Ежемесячно осуществляется
сверка реестра
дебиторской задолженности
с главной книгой
Пример: Сотрудник заносит в систему учетные данные с первичных документов, сверяя их с электронным списком возможных проводок
Слайд 18СВК. Контрольные процедуры. Что такое ККП?
ПРОЦЕДУРА (ККП)
Критичны для достижения задачи контроля
операций и исключений
Контроль областей, подверженных риску мошенничества
Контроль ручного ввода данных
Не имеют
компенсирующих контролей
Закрывают большее число задач контроля
Первостепенны
для достижения задачи контроля
Слайд 19СВК. Контрольные процедуры. Выявление ККП
Требования к ККП:
Порядок выполнения предусмотрен внутренними нормативными документами;
Остается доказательство
Что могло случиться, если бы эти контрольные процедуры не работали?
Ошибки были бы идентифицированы другими средствами контроля?
да – НЕКЛЮЧЕВАЯ КП
нет – КЛЮЧЕВАЯ КП
Слайд 20
Эффективность
СВК. Контрольные процедуры. Характеристики
Экономичность
Дизайн
Слайд 21СВК. Контрольные процедуры. Модель риск-контроль-риск
Целью является достижение
приемлемого уровня риска, который лежит в пределах
определенного риск-аппетита компании.
Определение стратегии реагирования
Оценка эффективности внутреннего контроля
Источник: thepresentation.ru
