Планирование на предприятии необходимо для того, чтобы сформировать основные цели и определить пути их достижения. Чтобы организация могла оптимально распределить работу среди подчинённых, руководство должно создать условия и желания у людей для совместной работы по достижению целей компании, а контроль обязан оценить реальность поставленных целей и выяснить, каких результатов предприятие смогло достичь.
Усложнение бизнес-процессов предприятий, рост подвижности внешней среды, повышение роли человеческого фактора – вот основные причины повышения роли и многообразия функций контроля в современных условиях.
Контроль – это критически важная и сложная функция управления. Его цель – повышение общей эффективности деятельности и обеспечение её безопасности на предприятиях, предотвращение возможных конфликтов с внешней и внутренней средой.
Виды контроля чрезвычайно разнообразны. На микроэкономическом уровне, то есть на уровне управления экономической единицей (предприятием), различают внешний контроль, осуществляемый внешними по отношению к организации субъектами управления, и внутренний контроль, осуществляемый субъектами самой организации. В данной статье речь пойдет о внутреннем контроле [2].
Система качества 3P: персонал, процессы, процедуры
В настоящий момент остро стоит проблема оценки адекватности внутреннего контроля на предприятии.
Теоретически данный вопрос недостаточно освещён.
Практики чувствуют нехватку методик, позволяющих оценить достаточность и адекватность осуществляемого на предприятии контроля.
Прежде чем перейти непосредственно к оценке адекватности контроля на отдельном предприятии, вернёмся к мысли, что контроль способен предотвращать конфликты с внешней и внутренней средой. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие, называть «рисками», а события, которые могут оказать позитивное воздействие, звать «возможностями» [3].
В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности изначально связаны специфические (свойственные) риски, и избежать их возможно только одним способом – не вступать в эту деятельность.
Однако можно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Внутренний контроль в данном случае – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного) риска [3].
Сам по себе контроль на предприятии представляет собой процесс выявления отклонений между фактическими значениями контролируемых показателей и плановыми или нормативными значениями. Другими словами, контроль выступает в качестве инструмента менеджмента для выявления отклонений контролируемых показателей от нормативных значений. При выявлении отклонений менеджмент осуществляет какое-то управляющее воздействие, фактическое значение становится равным или стремится к нормативному, риск снижается до приемлемого уровня.
48 Виды контроля
– Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь?
– Неизвестно. Вроде бы с ней надежней…
Переформулируем вопрос.
– Уменьшится ли риск ограбления, если металлическую дверь поставить, а на замок не закрывать?
– Нет.
– Может ли установка металлической двери уменьшить риск ограбления?
– Нет, если дверь останется открытой; да – если дверь закрыта.
– Является ли контролем ежедневная проверка состояния двери перед уходом?
– Да.
– Усиливает ли установка металлической двери уровень контроля при условии ежедневной проверки перед уходом состояния двери?
– Конечно да [3].
Этот пример показывает важную характеристику внутреннего контроля: только с точки зрения целей процесса можно оценить адекватность включённых в него элементов контроля. Если цель – предотвратить взлом квартиры рядовым грабителем, то, возможно, будет достаточно установки металлической двери и ежедневной проверки перед уходом её состояния. Если же цель – остановить профессионального грабителя, то кроме двери может быть нужно установить дополнительно сигнализацию. С другой стороны, если мы уверены, что металлической двери достаточно, чтобы предотвратить ограбление (в городе нет профессиональных грабителей), нет смысла ставить сигнализацию, так как контроль будет избыточен (неадекватен).
Контроль будет адекватен тогда, когда по результатам деятельности (или отдельно взятого бизнес-процесса) отклонение фактического значения контролируемого показателя от нормативного будет стремиться к нулю. Математически это можно записать следующим образом:
где – адекватность контроля;
– контролируемый показатель;
– фактическое значение контролируемого показателя;
– нормативное значение контролируемого показателя.
В данном случае мы говорим, что контроль эффективен, так как позволяет своевременно обнаружить недостатки в деятельности предприятия и вовремя принять меры к их устранению (осуществить управляющее воздействие).
Контрольные процедуры, их назначение и виды.
Контрольные процедуры — совокупность методов и приемов контроля, используемых администрацией и сотрудниками аудируемого лица для достижения указанных целей. К процедурам контроля, принятым руководством аудируемого лица, относятся:
— подотчетность одних работников другим;
— внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;
— сравнение результатов подсчета денежных средств, ценных бумаг и товарно-материальных запасов с бухгалтерскими записями (инвентаризация);
— сравнение данных, полученных из внутренних источников, с данными внешних источников информации;
— проверка аналитических счетов и оборотных ведомостей и арифметической точности записей;
— осуществление контроля прикладных программ и компьютерных информационных систем, в том числе посредством установления контроля изменений компьютерных программ и доступа к файлам данных, права доступа при вводе и выводе информации из системы;
— ограничение доступа к активам и записям;
— сравнение и анализ финансовых результатов с плановыми показателями.
Перечисленные процедуры контроля направлены на предотвращение, выявление и исправление ошибок и искажений информации в системе бухгалтерского учета.
Эффективная организационная структура аудируемого лица предполагает оправданное разделение ответственности и полномочий сотрудников. Данная структура должна по возможности препятствовать попыткам отдельных лиц нарушать требования контроля и обеспечивать разделение несовместимых функций. Функции конкретного сотрудника являются несовместимыми, если их сосредоточение у одного лица может способствовать совершению случайных или умышленных ошибок и нарушений и затруднять обнаружение таких ошибок и нарушений. Обычно подлежат распределению между различными лицами следующие функции:
— непосредственный доступ к активам экономического субъекта;
— разрешение на осуществление операций с активами;
— непосредственное осуществление хозяйственных операций;
— отражение хозяйственных операций в бухгалтерском учете.
Надлежащее функционирование системы внутреннего контроля зависит также от сотрудников, которым поручена соответствующая деятельность. Система отбора, найма, продвижения по службе, обучения и подготовки кадров должна обеспечивать высокую квалификацию и честность соответствующего персонала.
Все хозяйственные операции, отражаемые в системе бухгалтерского учета, должны контролироваться руководством и сотрудниками аудируемого лица по следующим направлениям:
Реальность хозяйственных операций. Поданному направлению применяется процедура контроля для того, чтобы убедиться, что хозяйственная операция, которая не должна быть зарегистрирована, действительно не отражена в журнале хозяйственных операций (например, сверка накладной па отгрузку со счетом-фактурой до того, как продажа будет зарегистрирована в журнале хозяйственных операций, предотвратит запись не подтверждаемой документами продажи
Полнота. Процедуры контроля направлены на то, чтобы проверить, не пропущены ли при регистрации фактически совершившиеся хозяйственные операции. Выполняемая контрольная процедура — учет последовательности номеров документов.
Разрешение (санкционирование). Первичная процедура осуществляется ответственным работником в виде проставления своей подписи на первичном документе. Впоследствии в процессе движения документов, совершения хозяйственных операций и ведения учетных записей другими сотрудниками проверяется, санкционировались ли хозяйственные операции до того, как они были отражены в учетных регистрах, т.е. проверяется наличие подписи ответственного лица на документах. В организации должен быть установлен четкий порядок документирования определенных операций определенным кругом должностных лиц.
Точность (оценка). Применяются процедуры, направленные на проверку правильности исчисления записанных сумм
Классификация. Применяются контрольные процедуры, направленные на проверку правильности отношения сумм на соответствующие счета бухгалтерского учета
Учет. Включает контрольные процедуры, направленные на проверку завершенности в учете хозяйственных операций в соответствии с учетной политикой и действующим учетным законодательством.
Периодизация — направление контроля, связанное с вопросом реальности и полноты отражения учетной информации после даты составления баланса. Аспект периодизации контролируется теми же процедурами, что и реальность, и полнота, в отношении отгрузки продукции, формирования выручки, дебиторской и кредиторской задолженности и других хозяйственных операций.
Представим направления внутреннего контроля хозяйственных операций в общем виде и на конкретном примере — операциях по отгрузке и по продажам.
Контрольные процедуры — это совокупность методов и приемов контроля использ. администрацией и сотрудниками для достиж. установлен целей. К ним относятся: 1.Арифметическая проверка правильности бух. записей; 2.Проверки сверок расчетов; 3.Поверка правил осущ-я документооборота и наличие разрешительных описей руководящего персонала; 4. Проведение в соответствии с установленным порядком периодичности, планов и внезапной инвентаризации кассовой наличности и товарно-материальных ценностей на предмет выяснений соответ. данных бух. учета фактическое наличие ценностей; 5. Осуществление мер, направленных на физич. ограничение доступа несанкционирован. лиц к активам орг-ии к сис-ме ведения документации и записей по бух. счетам; 6. Исследование динамики хоз-ых показателей, сравнение план. и смет показателей с фактич. имеющ. место и выявление причин существенных расхождений..
Все хоз. операции отраж. в сис-ме бух. уч. должны контрол. по след. направ. внутр. контроля:1. Реальность хоз. опер. По этому направлен. применяется процедура сверки документов для того, чтобы убедиться, что хоз. операции кот. не должна быть зарегистр. действит. не отраж. в журнале хоз.опер..
Например: сверка отгрузочной накладной со сч-фактуры до момента регистрации продажи в журнале хоз. опер. предотвратит запись не подтвержден. документами продажи. 2. Полнота. Процедура контр. направлена на то чтобы проверить не пропущена ли при регистрации фактически совершив. хоз. операц. Выполнение контр. процедуры — учет последовательных номеров документов.
3. Разрешение (санкционирование). Проверяется санкционирование хоз. опер. до того, как они были отражены в учете регистрации. Для этого проверяется наличие подписи ответ. лица на соответствующих документах. 4. Точность или оценка. Примен. процедуры направ. на проверку правильности исчисление записанных сумм.
Напр.: провер. правил. расчет. выручки от продаж путем умножения цены за ед. на кол-во отчет. прод. 5. Классификация. Примен. контрол. процедуры направлен. на проверку правил отнесен. сумм на соответ. счета бух.уч. 6. Учет включ. контрол. процедуры направл. на проверку завершенности учета хоз.опер. в соответ. с учетной политики организации и действующ. учет. законад. 7. Периодизация.
Это направ. контрол. связан. с вопросом реальности и полноты отражении учетной информации в соответ. периоде. В том случае если аудит. убежд., что сис-ма внутрен. контрол. надежна и у него есть возможность опереться на соответ. средства контр. в организации аудит. может поводить аудит. процедуры проверки по существу менее детальной или более выборочно, чем он делал бы в противном случае. Так же аудитор может внести изменения в программу проведения проверки изменить суть применяемой аудиторской процедуры и предполагать затраты времени на их осуществление. При оценке эф-ти над-ти системы внутр контроля и отдельных средств конт-ля ауд-ры обязаны исп-ть как минимум 3 группы: 1) высокая, 2) средняя, 3) низкая.
Источник: infopedia.su
Подходы к построению систем внутреннего контроля (СВК)
Система внутреннего контроля на основе SOX
Сегодня для большинства крупных международных компаний актуальной задачей является обеспечение соответствия требованиям внешнего законодательства разных стран с помощью системы внутреннего контроля. Наиболее жесткими считаются требования, которые вступили в силу в марте 2005 г. в США с принятием закона Сарбейнса-Оксли. Данным законом руководству компаний была вменена обязанность подтверждать правильность финансовой отчетности лично, а также свою ответственность за эффективность системы внутреннего контроля и в первую очередь при подготовке финансовой отчетности. Помимо этого для соответствия закону необходимо получить заключение внешнего аудитора об эффективности системы внутреннего контроля компании.
Законодательство подобного рода существует во многих странах, например в Великобритании, Канаде и др. В России также предпринимаются меры в данном направлении. Примером является постановление Федеральной службы по финансовым рынкам от 15.12.04 г. N 04-1245/пз-н «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг», предусматривающее наличие в компаниях-эмитентах положения о внутреннем контроле, утвержденного советом директоров. Кроме того, в компании необходимо создать отдельное подразделение, которое должно контролировать выполнение этого положения и докладывать о результатах комитету по аудиту.
Основные документы в области создания системы внутреннего контроля
В настоящее время сообщества аудиторов, менеджеров, бухгалтеров и ИТ-специалистов активно работают над совершенствованием систем внутреннего контроля. В результате этой работы были созданы следующие документы:
стандарт «Цели контроля при использовании информационных технологий» (COBIT) — (the Information Systems Audit and Control Foundation»s Control Objectives for Information and related Technology) — обеспечивает решение вопросов о соответствии применяемых информационных технологий существующим бизнес-процессам и является основой для создания общих правил надежности и механизма контроля за эффективностью использования информационных систем. COBIT позволяет применять лучшую практику в области управления ИТ, определить «зрелость» ИТ-процессов и адекватный уровень надежности и контроля при использовании информационных технологий. Аудиторам в области ИТ он помогает сформировать мнение об эффективности внутреннего контроля;
документ «Внутренний контроль: интегрированный подход» (COSO) — (the Committee of Sponsoring Organizations of the Treadway Commission»s Internal control — Integrated Framework) — содержит основные принципы организации системы внутреннего контроля в компании и является верхнеуровневым руководством для ее создания и совершенствования;
документ «Контроль и аудит систем» (SAC) — (the Institute of Internal Auditors Research Foundation»s Systems Auditability and Control) — предлагает поддержку внутренним аудиторам в вопросах контроля и аудита информационных систем. В документе дается определение системы внутреннего контроля и описывается ее состав, а также приводятся классификации средств контроля, его цели и риски;
Указание о рассмотрении структуры внутреннего контроля при аудите финансовой отчетности (SAS 55, 78) — (the American Institute of Certified Public Accountants» Consideration of the Internal Control Structure in a Financial Statement Audit) — является руководством для внешних аудиторов в части анализа эффективности системы внутреннего контроля, необходимой для обеспечения корректности финансовой отчетности.
Перечисленные документы включают общие концепции внутреннего контроля, при этом более поздние документы построены на принципах, разработанных в более ранних. В связи с этим они применяются разными группами сотрудников и внешних специалистов. Так, COBIT ориентирован на руководство, ИТ-специалистов и аудиторов в области ИТ, COSO — на топ-менеджмент компании, SAC — на внутренних аудиторов, а SAS 55 и 78 — на внешних аудиторов.
Если говорить о практике использования данных документов, то в большинстве случаев они содержат лишь основные принципы системы внутреннего контроля, что требует уточнений для каждого предприятия и привлечения специалистов с опытом работы в этой области. Однако необходимо отметить, что в основе системы внутреннего контроля заложена система управления операционными рисками. Это методологически упрощает работу по ее созданию и совершенствованию.
На основании требований к системе внутреннего контроля можно определить основные принципы ее построения:
- организация внутренней/управленческой среды в компании;
- установление целей развития компании;
- определение методов идентификации рисков и методов их оценки;
- выбор методов управления рисками (уклонение от риска, сокращение, перераспределение или принятие);
- установление основных принципов организации контрольных процедур;
- определение средств коммуникации и обмена информацией, а также средств тестирования системы внутреннего контроля.
Создание системы внутреннего контроля
Для определения основных точек контроля внутри компании используется методология управления процессами и рисками. Главный этап — анализ бизнес-процессов и выявление операционных рисков на основании описания процессов и взаимодействия с экспертами.
В любой деятельности присутствуют риски, и задачей сотрудников является управление этими рисками, однако не все могут и хотят этим заниматься. Цель внутреннего контроля при построении системы управления рисками — это внедрение в текущие процессы контрольных процедур, что позволяют минимизировать вероятность наступления риска либо его последствия, т. е. фактически система внутреннего контроля «заставляет» сотрудников управлять рисками. Для обеспечения возможности проверки эффективности существующих и создаваемых контрольных процедур в процессах предусматривается формирование документального подтверждения выполнения всех требований контрольной процедуры. В дальнейшем с помощью тестирования проверяется эффективность выполнения контроля через анализ существующих подтверждений правильности выполнения контрольной процедуры.
Что касается построения системы внутреннего контроля над формированием финансовой отчетности (SOX), то этому процессу можно дать следующее определение — процесс, инициируемый советом директоров, руководством и иными сотрудниками, направленный на получение достаточной степени уверенности относительно достоверности финансовой отчетности в соответствии с общепринятыми принципами ее формирования для внешних пользователей, включая политики и процедуры в следующих областях:
- все операции и сделки компании соответствующим образом авторизованы;
- активы компании защищены от несанкционированного использования;
- все операции нашли соответствующее отражение в учетных регистрах и финансовой отчетности.
Исходя из данного определения можно сделать вывод, что для создания системы внутреннего контроля в целом для компании необходимо построить процесс, направленный на формирование норм, процедур, приемов и организационных структур, разработанных для обеспечения разумной гарантии того, что бизнес-цели будут достигнуты, а нежелательные события — предотвращены или обнаружены и исправлены (COBIT).
На рисунке представлены основные этапы проекта по внедрению системы внутреннего контроля, направленной на обеспечение достоверности финансовой отчетности.
(Рисунок)
В общем случае внедрение системы внутреннего контроля в компании включает следующие этапы:
- идентификация критических процессов;
- формализация процессов;
- идентификация рисков в процессах;
- оценка рисков;
- разработка контрольных процедур;
- тестирование контрольных процедур.
Идентификация критических процессов
Необходимо определить перечень внешних нормативных актов, которым нужно соответствовать, а также требования регулирующих законов, которые должны быть выполнены в данном случае. Далее следует установить критичные области в информационном окружении, бизнес-процессах и инфраструктуре.
Часто для российских представительств западных компаний требования внутреннего контроля «спускаются сверху», где они формируются централизованно на уровне корпорации, что не всегда соответствует реальным бизнес-процессам компании и реалиям российской действительности. В связи с этим задачей данного этапа является определение того, что именно из «спущенного сверху» имеет отношение к реально существующим процессам.
Формализация процессов
Проводится описание существующих процессов компании, критичных с точки зрения системы внутреннего контроля, что дает основу для идентификации рисков. Для решения данной задачи целесообразно двигаться «сверху-вниз», формализуя деятельность с верхнего уровня до уровня рабочих мест, описывая поток работ между исполнителями, а также входящую и исходящую информацию. Такой уровень детализации требуется для дальнейшего анализа рисков в процессах и формирования контрольных процедур. На данном этапе можно использовать инструментальные системы для описания бизнес-процессов: ARIS или, в более простых случаях, VISIO.
Идентификация рисков в процессах
Следует определить, насколько существующие процессы в компании рискованны с точки зрения невыполнения требований регулирующих законов. Так, для удовлетворения требований SOX необходимо принимать во внимание все риски, способные привести к умышленному или случайному искажению финансовых данных и соответственно финансовой отчетности, а также к мошенничеству. Если сравнивать общее число критичных рисков и рисков, влияющих на финансовую отчетность, то можно сделать вывод, что риски в области финансовой отчетности составляют, как минимум, четверть от всех операционных рисков компании. Число рисков может превышать тысячу, что обусловливает объем проекта по построению системы внутреннего контроля.
Идентификация рисков проводится на основании анализа детального описания процессов. По его результатам формируется список рисков, привязанных к процессам и функциям, где они были обнаружены. Процедура формирования этого списка на основании только опроса экспертов и без анализа процессов, как правило, не позволяет достичь его полноты. Это приводит к тому, что при внешнем аудите обнаруживается множество неучтенных рисков, и система внутреннего контроля признается неэффективной.
Оценка рисков
Определяется эффективная стратегия минимизации и предотвращения рисков, при этом оценка рисков позволяет ранжировать их по степени критичности и исключить не опасные для компании риски. Управление всеми рисками экономически невыгодно для компании, поскольку для части рисков проще согласиться с убытками, чем создавать и внедрять контрольную процедуру. В данном случае чаще всего применяется метод качественных оценок, позволяющий ранжировать риски по критериям «вероятность» и «убытки» на основании экспертного мнения. Он используется для составления перечня (с использованием рейтинговых оценок) всех идентифицированных операционных рисков, которые актуальны для системы внутреннего контроля.
В дальнейшем уточнение качественных оценок операционных рисков проводится уже в рамках их количественной (стоимостной) оценки, требующей больших временных затрат. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их минимизацию или не влияют на критичную информацию. Метод количественных оценок, основанный на расчете ущерба и вероятности риска, в данном случае сложен в применении.
Разработка контрольных процедур
Деятельность по оптимизации процессов всегда присутствует (скрыто или явно) в любой компании. Но обычно она вызвана внутренними побуждениями: стремлением повысить эффективность работы, снизить трудозатраты, контролировать деятельность. Появление внешних требований, обязательных для выполнения, является с этой точки зрения мощным дополнительным импульсом для развития или расширения данного направления деятельности в компании.
Существуют четыре стратегии управления операционными рисками:
- принимать: низкая вероятность — низкие убытки. Эта стратегия наиболее простая — риски принимаются к сведению, но какие-либо действия по их компенсации принимать нерентабельно;
- страховать: низкая вероятность — высокие убытки. Для данной стратегии требуется страхование рисков с помощью страховых компаний;
- избегать: высокая вероятность — высокие убытки. Стратегия предлагает отказаться от рискованных процессов или сосредоточить максимальные усилия на их совершенствовании;
- предотвращать: высокая вероятность — низкие убытки. Для этой стратегии требуется построение контрольных процедур, направленных на минимизацию рисков.
Таким образом, в рассматриваемом случае применимы две последние стратегии, и на их достижение направлены такие виды деятельности, как оптимизация процессов, внедрение контрольных процедур и тестирование.
Наиболее простой способ — оценка рисков с помощью метода качественных оценок и их дальнейшая минимизация.
Целью и критерием успешного совершенствования процессов в части организации системы внутреннего контроля является минимизация обнаруженных операционных рисков путем создания и внедрения в процессы контрольных процедур.
Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события, однако для повышения надежности процесса их часто применяют одновременно с проверочными процедурами. Например, наряду с процедурой удаления карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, обладающих карточкой-пропуском, со списком уволенных за определенный период.
Риск можно определить через понятие контрольного действия: недостаток системы контроля существует тогда, когда дизайн или выполнение контроля не позволяют руководству или сотрудникам компании предотвратить или своевременно обнаружить искажение финансовой отчетности в рамках реализации своих повседневных обязанностей.
В зависимости от обнаруженного недостатка необходимо воздействовать либо на процесс, либо на сотрудника, его выполняющего, поэтому для обеспечения оценки эффективности контрольных процедур должны создаваться документальные подтверждения работоспособности каждой контрольной процедуры — так называемые свидетельства контроля.
Тестирование контрольных процедур
Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, насколько хорошо выполняются существующие контрольные процедуры.
Данная проверка осуществляется с помощью набора тестов, которые состоят из нескольких последовательных шагов:
устанавливается наличие основного документа (политики, регламента), где определяются порядок и правила выполнения данного процесса;
проверяется выполнение на практике требований, описанных в основном документе, и документируются конкретные примеры выполнения.
По результатам теста принимается решение об эффективности или неэффективности данной контрольной процедуры. Число тестов зависит от числа процессов, проходящих через проверяемую контрольную процедуру. Периодичность проведения тестирования устанавливается в зависимости от критичности процесса и может варьировать.
Дополнительной сложностью в организации процесса тестирования может быть требование, чтобы тестирование проводилось сотрудниками, не участвующими в проверяемых процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. Понятно, что всем этим многообразием нужно управлять и документировать эту работу. Для данной задачи может быть использован продукт ARIS Audit Manager, который позволяет автоматизировать процедуры тестирования и создания отчетности для внешних аудиторов.
В существующих условиях количество трансакций в деятельности компании достигает сотен тысяч в секунду, а число рисков превышает тысячу, при этом достаточно сложно обеспечить эффективность выполнения контрольных процедур «на ручном уровне», поэтому единственным эффективным путем является автоматизация как процессов, так и контрольных процедур.
В настоящее время существует достаточное количество программных продуктов импортного производства (ERP, DMS и т. д.), обеспечивающих решение этой задачи в части внедрения контрольных процедур в функционал информационных систем. Однако, даже внедрив решение определенного поставщика, можно не получить эффективную систему внутреннего контроля, поскольку для большинства контрольных процедур все еще будут требоваться ручное исполнение и фиксация, что оставляет большой потенциал для совершенствования разработчиками своих ИТ-решений в данной области.
В заключение хочется отметить, что внутренний контроль должен быть регулярным процессом. Как всякий процесс, он требует правильного планирования, выполнения, проведения и совершенствования.
А. КОПТЕЛОВ, директор департамента ИТ консалтинга компании «IDS Scheer Россия и страны СНГ»
Источник: koptelov.info