ФОНД «НАЦИОНАЛЬНЫЙ НЕГОСУДАРСТВЕННЫЙ
РЕГУЛЯТОР БУХГАЛТЕРСКОГО УЧЕТА
«БУХГАЛТЕРСКИЙ МЕТОДОЛОГИЧЕСКИЙ ЦЕНТР»
(ФОНД «НРБУ «БМЦ»)
Разработана
Некоммерческой организацией
ФОНД «НРБУ «БМЦ»
Принята Комитетом по рекомендациям 2013-08-09
РЕКОМЕНДАЦИЯ Р-44/2013-КпР
«МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ ПО ОРГАНИЗАЦИИ И ОСУЩЕСТВЛЕНИЮ ВНУТРЕННЕГО КОНТРОЛЯ»
Скачать Р-44-2013-КпР_СВКФО.doc
1. Основные положения
2. Основные понятия и определения
3. Общие требования к системе внутреннего контроля
3.1 Цели и задачи системы внутреннего контроля
3.2 Компоненты системы внутреннего контроля
3.3 Система органов внутреннего контроля и функции субъектов внутреннего контроля
3.4. Ограничения системы внутреннего контроля
4. Особенности построения системы внутреннего контроля над процессом подготовки финансовой отчетности
4.1 Общие принципы построения системы внутреннего контроля над процессом подготовки финансовой отчетности
4.2 Порядок построения системы внутреннего контроля над процессом подготовки финансовой отчетности
4.3 Описание существенных бизнес-процессов
4.4 Выявление и оценка рисков на уровне бизнес-процессов
4.5 Описание контрольных процедур бизнес-процессов
4.6 Описание контрольных процедур корпоративного уровня
4.7 Описание общих ИТ контролей
4.8 Актуализация описания системы внутреннего контроля
4.9 Мониторинг эффективности системы внутреннего контроля
4.10 Отчетность в области системы внутреннего контроля над процессом подготовки финансовой отчетности
5. Приложения
5.1. Пример политики по внутреннему контролю ... 22
5.2 Уровни зрелости системы внутреннего контроля
5.3 Пример матрицы рисков и контролей
5.4 Роли субъектов СВК в рамках «трех линий защиты
1. ОСНОВНЫЕ ПОЛОЖЕНИЯ
1.1 В соответствии с п.1 статьи 19 Федерального закона «О бухгалтерском учете» №402-ФЗ (далее - Закон) экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
1.2 Кроме того, согласно п. 2 вышеуказанной статьи экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
1.3 Методические рекомендации определяют цели и задачи системы внутреннего контроля в целом, основные принципы ее функционирования на основе риск-ориентированного подхода к осуществлению процедур внутреннего контроля и структуру системы внутреннего контроля (далее – СВК), характер взаимодействия субъектов внутреннего контроля, а также описывает особенности построения системы внутреннего контроля над подготовкой финансовой отчетности (далее – СВКФО).
1.4 Настоящие Методические рекомендации также устанавливают порядок организации и осуществления внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (далее - внутреннего контроля над процессом подготовки финансовой отчетности),
1.5 Принципы построения СВК, описанные в данном документе, рекомендуются к применению и в отношении других видов отчетности организации (например, налоговой, управленческой и пр.).
1.6 Действие настоящих Методических рекомендаций распространяется на лица (экономические субъекты), указанные в пп. 1-5 статьи 2 Федерального закона от 6 декабря 2011 года №402-ФЗ «О бухгалтерском учете».
1.7 При этом организации, на которые распространяется пункт 1 статьи 19 Закона (включая организации, не подлежащие обязательному аудиту, а также организации, в которых руководитель принял обязанность ведения бухгалтерского учета на себя), должны организовать и осуществлять внутренний контроль с учетом положений раздела 3 настоящих Методических рекомендаций в той степени, насколько это применимо с учетом особенностей организационной структуры, размеров организации, объема операций, наличия органов управления и т.д.
1.8 Организации, отчетность которых подлежит обязательному аудиту, и на которые распространяется пункт 2 статьи 19 Закона, должны учитывать требования к формализации системы внутреннего контроля над подготовкой финансовой отчетности, указанные в разделе 4 настоящих Методических рекомендаций.
1.9 Степень формализации вышеперечисленных элементов зависит от уровня зрелости СВК в организации. Уровень зрелости СВК можно определить, исходя из характеристик, присущих тому или иному элементу, перечисленному в Приложении 5.2 (критерии оценки уровня зрелости являются ориентировочными). При необходимости организация должна продемонстрировать наличие СВК в рамках выбранного уровня зрелости.
1.10 Для организаций, подлежащих обязательному аудиту, ожидаемым минимальным уровнем зрелости является «Устоявшийся», для прочих организаций – «Развивающийся».
1.11 Организациям необходимо самостоятельно утвердить и ввести в действие используемые критерии оценки уровней зрелости СВК и разработать план повышения уровня зрелости СВК до целевого уровня.
2. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Автоматизированная (автоматическая) контрольная процедура - контрольная процедура, выполняемая автоматически в информационной системе. Примерами автоматизированных контрольных процедур являются: ограничения на ввод данных (например, отрицательных значений), автоматические сверки, расчеты, маршруты согласования и пр.
ИТ-зависимая ручная контрольная процедура – контрольная процедура, выполняемая вручную, но с использованием результатов автоматической обработки данных, проведенной соответствующей информационной системой. Примером ИТ-зависимой ручной контрольной процедуры является разбор специалистом ошибок на основании отчета, автоматически сформированного из системы.
Ручная контрольная процедура – контрольная процедура, выполняемая вручную без использования информационных систем. Например, ручная авторизация заказа на закупку, сверка счета с приходными документами или инвентаризация.
Контроль корпоративного уровня (ККУ) - управленческие механизмы, которые устанавливаются на уровне организации или подразделений и способствуют достижению целей организации, прямо или косвенно воздействуя на риски, присущие ее деятельности, позволяют более эффективно структурировать СВК за счет влияния на контрольную среду в целом и на эффективность и количество контрольных процедур процессного уровня.
Мониторинг – деятельность по оценке качества работы и эффективности системы внутреннего контроля.
Общие ИТ контроли - средства контроля, относящиеся ко всем компонентам ИТ-системы, процессам и данным, и включающие в себя разработку и внедрение программного обеспечения, внесение изменений в программное обеспечение, эксплуатацию ИТ-систем и доступ к программному обеспечению и базам данных.
Рациональная СВК – система внутреннего контроля с оптимальным соотношением затрат на ее поддержание и ожидаемых результатов.
Риск - событие, которое в случае его наступления негативно отразится на достижении целей организации. Риск представляет собой сочетание вероятности события и влияния его последствий.
Риск финансовой отчетности - событие, которое может привести к существенному искажению финансовой отчетности организации и/или несоответствию законодательству в области бухгалтерского учета.
Система внутреннего контроля – это совокупность организационных структур, политик, процедур и действий работников организации, направленных на минимизацию рисков, путем осуществления внутреннего контроля ее деятельности в соответствии с принятыми внутренними документами (методиками, регламентами, процедурами) для обеспечения достижения ее целей.
Факты хозяйственной жизни - сделка, событие, операция, которые оказывают или способны оказать влияние на финансовое положение экономического субъекта, финансовый результат его деятельности и (или) движение денежных средств.
Финансово-хозяйственная деятельность - совокупность совершаемых фактов хозяйственной жизни в рамках бизнес-процессов организации.
Эффективный контроль - контроль, имеющий эффективный дизайн и операционную эффективность, при этом:
- эффективность дизайна - потенциальная способность контроля при его выполнении согласно дизайну достичь цели и обеспечить достаточное покрытие риска;
- операционная эффективность - достижение цели контроля и обеспечение покрытия риска при выполнении контрольной процедуры согласно установленному дизайну.
3. ОБЩИЕ ТРЕБОВАНИЯ К СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ
3.1 Цели и задачи системы внутреннего контроля
3.1.1 Целью функционирования системы внутреннего контроля является обеспечение достижения организацией целей по следующим категориям:
− Эффективность и рациональность финансово-хозяйственной деятельности (включая сохранность активов);
− Достоверность финансовой и нефинансовой отчетности;
− Соответствие действующему законодательству и нормам.
3.1.2 При этом обеспечение достоверности финансовой отчетности является основной целью системы внутреннего контроля над подготовкой финансовой отчетности.
3.1.3 Для достижения поставленных целей система внутреннего контроля призвана решать следующие ключевые задачи:
− разработка и внедрение контрольных процедур с учетом особенностей бизнес-процессов и присущих рисков;
− обеспечение надежной системы сбора, обработки и передачи информации;
− обеспечение руководства организации необходимой информацией об отклонениях от ожидаемого порядка функционирования процесса для принятия необходимых корректирующих мер.
3.1.4 Эффективная система внутреннего контроля – это такое состояние СВК, которое обеспечивает разумную уверенность в том, что цели организации будут достигнуты, а остаточные риски несущественны.
3.1.5 Система внутреннего контроля представляет собой многоуровневую структуру, субъектами которой являются все органы управления, структурные подразделения и работники организации, деятельность которых связана с рисками, способными оказать влияние на достижение целей. Эффективность системы внутреннего контроля обеспечивается всеми руководителями и работниками организации в рамках управления соответствующими направлениями деятельности и исполнения служебных обязанностей.
3.1.6 Основные принципы организации внутреннего контроля должны быть формализованы в виде политики по внутреннему контролю (см. пример в Приложении 5.1).
3.2 Компоненты системы внутреннего контроля
3.2.1 Основой организации и функционирования системы внутреннего контроля являются следующие компоненты:
− контрольная среда
− оценка рисков
− средства контроля
− информационный обмен
− мониторинг
3.2.2 Контрольная среда создает атмосферу в отношении внутреннего контроля и определяет восприятие работниками организации системы внутреннего контроля. Контрольная среда является основой для всех остальных элементов внутреннего контроля.
К факторам, влияющим на контрольную среду, относятся:
− философия и стиль руководства;
− организационная структура;
− распределение ответственности и полномочий;
− политика и практика управления персоналом;
− порядок подготовки бухгалтерской (финансовой) отчетности;
− процедуры, устанавливающие требования по соблюдению организацией и ее работниками применимого законодательства, а также установленных этических норм и принципов.
3.2.3 Оценка рисков представляет собой совокупность действий, направленных на определение и анализ рисков, возникающих в процессе достижения целей организации, и являются основой для определения контрольных процедур и мероприятий по управлению рисками.
3.2.4 Средства контроля – это принятые в организации политики и действующие контрольные процедуры, направленные на снижение рисков.
Контрольные процедуры разрабатываются и осуществляются с учетом рисков конкретных бизнес-процессов всеми подразделениями организации в соответствии с ее нормативными документами.
В организации должен быть определен порядок документирования, регулярного пересмотра, совершенствования и обновления контрольных процедур с учетом изменений деятельности и внешней среды. В основе разработки контрольных процедур лежат следующие принципы:
− адекватное разделение обязанностей, разграничение прав доступа – при разработке контрольных процедур следует избегать совмещения одним лицом функций по инициированию, исполнению и контролю за совершением операций;
− распределение полномочий – в организации должен быть определен порядок принятия решений по конкретным направлениям деятельности/при выполнении каждой контрольной процедуры;
− сохранность активов – контрольные процедуры должны обеспечивать сохранность активов организации;
− авторизация (согласование, утверждение документов, операций) – контрольные процедур должны однозначно определять работника, которому предоставлено право на выполнение конкретных действий;
− сверка данных, сравнительный анализ показателей – контрольные процедуры должны предусматривать проверку точности, полноты и авторизации операций;
− мониторинг показателей деятельности – в рамках контрольных процедур руководство подразделений проводит процедуры мониторинга, в том числе анализ фактических показателей деятельности в сравнении с бюджетными, прогнозными, показателями прошлых лет и показателями организаций-конкурентов, мониторинг реализации планов и пр.
3.2.5 Информационный обмен – это средства обмена информацией и информационные технологии, которые создают условия для эффективной реализации управленческих функций, позволяют руководству и работникам организации принимать своевременные и обоснованные решения, выполнять свои должностные обязанности.
С целью осуществления эффективного обмена информацией организация:
− создает эффективные каналы обмена информации
− внедряет информационные системы, охватывающие все области деятельности и процессы, в том числе процессы подготовки финансовой отчетности
− внедряет контрольные процедуры с целью обеспечения информационной безопасности.
3.2.6 Мониторинг предусматривает оценку качества работы системы внутреннего контроля в организации, как периодическую, так и постоянную.
3.3 Система органов внутреннего контроля и функции субъектов внутреннего контроля
3.3.1 В состав субъектов внутреннего контроля входят:
− Совет директоров (Комитет по аудиту Совета директоров или Наблюдательный совет);
− Высшее руководство организации;
− Руководители структурных подразделений организации;
− Работники структурных подразделений организации.
3.3.2 Субъекты системы внутреннего контроля обеспечивают ее функционирование и несут ответственность за ее эффективность.
3.3.3 Общая схема взаимодействия субъектов системы внутреннего контроля представлена в Приложении 5.4.
3.3.4 В уставе организации должны содержаться сведения о системе органов внутреннего контроля, порядке их образования и полномочиях.
3.3.5 Состав субъектов внутреннего контроля определяется организационной структурой организации. Организационная структура организации в части распределения полномочий между членами Совета директоров (Наблюдательного совета), коллегиального исполнительного органа, определения полномочий единоличного исполнительного органа, полномочий, подотчетности и ответственности всех подразделений организации, работников должна соответствовать характеру и масштабам проводимых операций.
3.3.6 В нормативных документах организации должны быть зафиксированы функции и обязанности субъектов внутреннего контроля в процессе построения, оценки и совершенствования системы внутреннего контроля.
3.3.7 Совет директоров (Комитет по аудиту Совета директоров или Наблюдательный совет) в рамках организации системы внутреннего контроля:
− утверждает политику по внутреннему контролю;
− осуществляет общий мониторинг и направляет высшее руководство в построении системы внутреннего контроля, поддержании ее в актуальном состоянии и обеспечении ее эффективности.
− как минимум, один раз в год организовывает проведение анализа и оценки функционирования системы внутреннего контроля. Осуществление такого анализа и оценки может основываться на данных отчетов, регулярно получаемых от высшего руководства, от внутреннего аудита, от внешних аудиторов, на собственных наблюдениях и на информации, полученной из иных источников.
3.3.8 Высшее руководство отвечает перед Советом директоров за построение и функционирование эффективной системы внутреннего контроля:
− обеспечивает благоприятную среду и культуру внутреннего контроля, в том числе «тон сверху»;
− распределяет полномочия, обязанности и ответственность между находящимися в их ведении или курируемыми руководителями структурных подразделений за конкретные процедуры внутреннего контроля;
− организует разработку нормативных документов построения, оценки руководством и совершенствования системы внутреннего контроля и формирование иной нормативной и методологической документации, регламентирующей организацию и функционирование системы внутреннего контроля;
− осуществляет контроль за обеспечением целостности и непротиворечивости системы нормативных документов организации в области внутреннего контроля;
− организует процесс проведения диагностики (оценки) и совершенствования системы внутреннего контроля, в том числе:
− утверждает графики работ по проведению мониторинга (самооценки и независимой оценки) системы внутреннего контроля;
− осуществляет контроль за выполнением графика работ по диагностике (оценке) системы внутреннего контроля;
− рассматривает и утверждает результаты диагностики (оценки) системы внутреннего контроля;
− рассматривает и утверждает план мероприятий по совершенствованию системы внутреннего контроля, в том числе оценивают достаточность принятых мер;
− силами соответствующих подразделений проводит самооценку системы внутреннего контроля;
− осуществляет контроль за устранением нарушений и исправлением недостатков функционирования системы внутреннего контроля;
− утверждает программы обучения по вопросам организации и совершенствования системы внутреннего контроля для руководства и работников организации.
Высшее руководство может делегировать часть функций в области внутреннего контроля руководителям и работникам соответствующих подразделений.
3.3.9 Ответственность и обязанности за обеспечение функционирования и эффективности системы внутреннего контроля возложены на всех работников организации, однако, в первую очередь, ответственность несут руководители и работники структурных подразделений, которым делегируются соответствующие обязанности за поддержание эффективного внутреннего контроля на ежедневной основе. В целях оказания им поддержки на этапе формирования нормативной документации в области внутреннего контроля и внедрения эффективных процедур контроля может требоваться дополнительная координация процесса. Для этих целей организация может (но не обязана) создавать специализированное подразделение (например, подразделение по внутреннему контролю), в задачи которого может входить:
− разработка планов развития и совершенствования СВК и СВКФО;
− организация и общая координация работ по построению эффективной системы внутреннего контроля;
− поддержка и организация взаимодействия с владельцами и исполнителями контрольных процедур и другими субъектами внутреннего контроля;
− разработка нормативной документации в области проведения диагностики (самооценки) и совершенствования системы внутреннего и формирование иной нормативной и методологической документации, регламентирующей организацию и функционирование системы внутреннего контроля;
− контроль над обеспечением целостности и непротиворечивости системы организационно-распорядительных документов организации в области внутреннего контроля;
− организация процесса проведения мониторинга, самооценки и совершенствования СВК;
− другие функции.
3.3.10 Подразделение внутреннего аудита осуществляет независимую оценку системы внутреннего контроля и ее отдельных компонентов и разрабатывает рекомендации по ее совершенствованию.
Внутренний аудит играет важную роль в мониторинге системы внутреннего контроля, однако, не несет ответственности за построение СВК или поддержание ее эффективности.
Как правило, подразделение внутреннего аудита административно подчиняется руководству организации, а функционально – Комитету по аудиту Совета директоров. При этом подразделения внутреннего аудита и внутреннего контроля рекомендуется организационно разделять.
В процессе построения системы внутреннего контроля внутренний аудит может участвовать в части консультанта для высшего руководства, которое принимает окончательное решение о дизайне бизнес-процессов и контрольных процедур, а также проводить тестирование контрольных процедур по результатам внедрения.
3.3.11 К функциям руководителей структурных подразделений целесообразно отнести:
− разработку, документирование, внедрение, мониторинг и развитие системы внутреннего контроля во вверенных им функциональных областях деятельности, включая:
• организацию выявления рисков и контрольных процедур бизнес-процессов, контролей корпоративного уровня и общих ИТ контролей;
• проведение самооценки существующих контрольных процедур;
• ведение и актуализацию реестра контрольных процедур в подчиненном подразделении и подготовку иных документов, определяющих порядок организации, оценки и совершенствования системы внутреннего контроля;
− планирование, организацию и общий контроль процесса совершенствования системы внутреннего контроля, в том числе:
• разработку планов мероприятий по оценке и совершенствованию системы внутреннего контроля в подчиненном подразделении;
• определение исполнителей и сроков мероприятий по организации работ по оценке и совершенствования системы внутреннего контроля в подчиненном подразделении;
• организацию условий для реализации плана мероприятий по совершенствованию системы внутреннего контроля в пределах своих полномочий и контроль его выполнения, в том числе по устранению нарушений, выявленных подразделением по внутреннему аудиту;
• мониторинг статуса выполнения мероприятий по совершенствованию системы внутреннего контроля в подчиненном подразделении;
− организацию мониторинга соответствия нормативных документов, регламентирующих порядок осуществления финансово-хозяйственной деятельности подразделения положениям стратегии и иным нормативным документам организации, своевременности их обновления и наличия соответствующего согласования в порядке, установленном в организации.
3.3.12 Работники структурных подразделений должны выполнять следующие функции для обеспечения эффективности системы внутреннего контроля:
− выполнять контрольные процедуры в соответствии с должностными инструкциями, а также нормативными документами;
− принимать участие в процессе обновления документации о ключевых бизнес-процессах, пересмотра существующих контрольных процедур с учетом изменений в деятельности подразделения;
− участвовать в процессе выявления рисков и оценки эффективности контрольных процедур;
− формировать предложения по устранению недостатков системы внутреннего контроля в рамках своих компетенций;
− осуществлять внедрение контрольных процедур во вверенных им областях деятельности в соответствии со своими функциональными обязанностями.
3.4 Ограничения системы внутреннего контроля
Несмотря на то, что система внутреннего контроля существует для того, чтобы обеспечивать разумную уверенность руководства в том, что цели организации будут достигнуты и остаточные риски несущественны, существуют следующие ограничения, которые могут помешать системе внутреннего контроля выполнить свою основную задачу.
Неэффективная постановка целей может вызвать затруднение организации в идентификации плохо сформулированных, нереалистичных или неприемлемых целей, что может привести к тому, что не все важные для организации области будут включены в рамки СВК, что сделает систему неэффективной.
Ошибочные суждения. СВК не может защитить от ошибочных суждений, которые могут быть сделаны работниками или руководством организации при выполнении процедур или контролей, принятии решений или проведении оценки, что в будущем может привести к нежелательным для организации последствиям.
Влияние внешних факторов. СВК организации не может влиять на внешние факторы, которые при этом могут оказывать существенное влияние на деятельность организации. Например, существенные изменения политической обстановки в стране или законодательства.
Ошибки (человеческий фактор). Для любой системы, построенной на операциях, выполняемых вручную, характерны ошибки, которые могут быть совершены работниками умышленно или по неосторожности, от усталости, рассеянности и т.д.
Пренебрежение руководства. Руководители могут пренебрегать правилами СВК по многим причинам. Порой некоторые руководители организации пренебрегают правилами организации, считая, что они занимают высокий пост и не обязаны выполнять правила, написанные для всех работников организации. В других случаях, обходя контрольные процедуры, руководители организации пытаются добиться выгодных им результатов или скрыть факты, которые отрицательно скажутся на деловой активности организации.
Сговор. Даже самая эффективная СВК не сможет предотвратить нарушения, связанные со сговором работников друг с другом или с третьими лицами.
Каждая организация должна помнить об ограничениях, присущих системе внутреннего контроля, и создавать атмосферу и условия для своих работников, которые не позволят или не вынудят работников действовать неправомерно. Также руководство организации должно учитывать ограничения СВК при оценке рисков, делая поправку на вероятность и влияние отрицательных факторов, способных возникнуть в случае реализации неправомерных действий, и создавать план действий при совершении тех или иных нарушений.
4. ОСОБЕННОСТИ ПОСТРОЕНИЯ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ НАД ПРОЦЕССОМ ПОДГОТОВКИ ФИНАНСОВОЙ ОТЧЕТНОСТИ
4.1 Общие принципы построения системы внутреннего контроля над процессом подготовки финансовой отчетности
4.1.1 В целях соблюдения требований к организации в части осуществления внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности экономический субъект должен выстроить СВК с достаточным уровнем формализации.
4.1.2 В целях формализации системы внутреннего контроля над процессом подготовки финансовой отчетности организации следует:
− описать существенные бизнес-процессы, влияющие на подготовку финансовой отчетности;
− внедрить, разграничить ответственность за выполнение контрольных процедур и обеспечить их эффективное выполнение;
− проводить периодическую актуализацию элементов СВК;
− осуществлять постоянный мониторинг и регулярную оценку эффективности контрольных процедур.
4.1.3 В организации должны быть разработаны основные нормативные документы, регламентирующие порядок и принципы функционирования системы внутреннего контроля.
4.1.4 Нормативные документы в области внутреннего контроля организации должны определять:
− цели и принципы построения системы внутреннего контроля;
− распределение функций субъектов внутреннего контроля;
− основные шаги и процедуры процесса внутреннего контроля, ответственных и сроки их выполнения (функционирования, совершенствования и диагностики):
• выполнение контролей;
• обновление описания бизнес-процессов системы внутреннего контроля;
• планирование и проведение актуализации документации, содержащей описание системы внутреннего контроля;
• планирование и проведение диагностики (оценки эффективности) системы внутреннего контроля;
• подготовка и предоставление отчетности о состоянии системы внутреннего контроля.
4.1.5 Нормативные документы организации, к которым относятся регламенты взаимодействия подразделений и работников, положения о подразделениях, инструкции и прочие нормативные документы, должны разрабатываться в соответствии с высокоуровневыми нормативными документами (политиками, кодексами и другими документами, которые формируют контрольную среду организации). Нормативные документы, доводятся до сведения работников и последовательно применяются в рамках организации.
4.1.6 Нормативные документы детализируются таким образом, чтобы отражать компоненты системы внутреннего контроля, включая отдельные контрольные процедуры.
4.1.7 Нормативные документы разрабатываются с учетом требований, предъявляемых к организации и функционированию системы внутреннего контроля над процессом подготовки финансовой отчетности, пересматриваются и обновляются на регулярной основе с целью отражения изменений в деятельности организации в целом и ее подразделений.
4.1.8 Ключевым элементом для построения СВКФО является эффективное взаимодействие между подразделениями организации.
4.1.9 Исполнителями контрольных процедур в рамках СВКФО могут являться не только работники бухгалтерии, но и других структурных подразделений (например, коммерческого, капитального строительства, ИТ, материально-технического обеспечения), поскольку отдельные контроли, выполняемые в операционных бизнес-процессах могут, в том числе, прямо или косвенно покрывать риски финансовой отчетности.
4.1.10 В частности, для покрытия отдельных рисков финансовой отчетности может потребоваться информация от структурных подразделений для правильного отражения операций, основанных на суждении руководства (например, начисление резерва под обесценение активов, оценка сроков полезного использования основных средств, оценочных сроков погашения задолженности, деление по сегментам бизнеса), или ожидаемые (будущие) события, способные оказать влияние на финансовые результаты или раскрытия в отчетности текущего периода (например, события после отчетной даты, планируемые существенные операции по продаже части бизнеса, выплате дивидендов или заключению новых существенных договоров).
4.1.11 В организации должны быть определены и формализованы порядок и процедуры осуществления всех форм мониторинга системы внутреннего контроля над процессом подготовки финансовой отчетности, включая:
− цели, границы проведения мониторинга;
− виды мониторинга;
− порядок планирования и порядок осуществления всех видов мониторинга (техники и инструменты);
− способы и методы документирования результатов;
− порядок предоставления отчетности о текущем состоянии системе внутреннего контроля над процессом подготовки финансовой отчетности заинтересованным пользователям.
4.1.12 Мониторинг системы внутреннего контроля над процессом подготовки финансовой отчетности предусматривает:
− осуществление постоянного мониторинга за выполнением контрольных процедур руководством организации и руководителями подразделений;
− проведение самооценки системы внутреннего контроля над процессом подготовки финансовой отчетности структурными подразделениями;
− проведение на регулярной основе мониторинга и выборочного тестирования наиболее рискованных операций;
− проведение независимой оценки системы внутреннего контроля над процессом подготовки финансовой отчетности и отдельных ее компонент внутренним аудитом организации;
− своевременное доведение информации о выявленных недостатках системы внутреннего контроля над процессом подготовки финансовой отчетности до заинтересованных лиц.
4.1.13 Критериями достоверности финансовой отчетности являются:
− существование - транзакции и события, отраженные в финансовой отчетности, фактически произошли и имеют отношение к организации;
− полнота - все транзакции и события, все активы и обязательства, которые должны быть отражены в финансовой отчетности, отражены в ней; все расшифровки строк финансовой отчетности, которые должны быть включены в состав финансовой отчетности, включены в нее;
− оценка - элементы финансовой отчетности отражены в правильном стоимостном и количественном выражении;
− права и обязательства - организация имеет права на отраженные в финансовой отчетности активы и несет обязательства по отраженным в отчетности долгам;
− представление и раскрытие – порядок отражения информации в финансовой отчетности соответствует применяемым стандартам бухгалтерского учета (в том числе, операции отражены на правильных счетах и корректно классифицированы, все необходимые раскрытия сделаны).
4.2 Порядок построения системы внутреннего контроля над процессом подготовки финансовой отчетности
4.2.1 При построении системы внутреннего контроля над процессом подготовки финансовой отчетности организациям следует применять риск-ориентированный подход. Риск-ориентированный подход предусматривает внедрение элементов внутреннего контроля во всех существенных бизнес-процессах, оказывающих влияние на финансовую отчетность.
4.2.2 Границы СВКФО должны охватывать существенную часть активов и пассивов, доходов и расходов организации.
4.2.3 Основными этапами построения эффективной системы внутреннего контроля над процессом подготовки финансовой отчетности является:
− описание существенных бизнес-процессов подготовки финансовой отчетности;
− выявление и оценка рисков на уровне бизнес-процессов (влияющих на достоверность отчетности), а также разграничение ответственности за управление данными рисками;
− описание, оценка и внедрение контрольных процедур, направленных на снижение рисков на уровне бизнес-процессов;
− описание, оценка и внедрение контрольных процедур корпоративного уровня, а также разграничение ответственности за их выполнение;
− описание, оценка и внедрение общих ИТ контролей, а также разграничение ответственности за их выполнение.
4.3 Описание существенных бизнес-процессов
4.3.1 В состав существенных бизнес-процессов включаются бизнес-процессы, по результатам выполнения которых формируются обороты или остатки по существенным счетам, а также существенные раскрытия в финансовой отчетности.
4.3.2 Для целей определения состава существенных бизнес-процессов подготовки финансовой отчетности и их описания организации следует разработать и применять:
− методику расчета уровня существенности. Организации следует пересматривать уровень существенности не реже одного раза в год. Организации определяют базу и процент для расчета уровня существенности самостоятельно . (1)
− порядок определения существенных счетов и раскрытий.
4.3.3 При определении состава существенных счетов должны приниматься во внимание как количественные, так и качественные факторы.
4.3.4 Для каждого существенного бизнес-процесса необходимо определить следующую информацию:
− должность и имя владельца процесса;
− начинающие и завершающие события процесса, выбранные таким образом, чтобы четко определить границы процесса и обеспечить выявление всех существенных рисков;
− состав основных подпроцессов или шагов, которые должны быть проанализированы исходя из состава существенных счетов и существенных раскрытий.
4.3.5 Перечень существенных бизнес-процессов должен актуализироваться по мере возникновения необходимости и пересматриваться не реже одного раза в год.
4.3.6 Описания бизнес-процессов могут быть формализованы в виде текстовых описаний, блок-схем, графиков закрытия периода, инструкций и других нормативных документов, содержащих необходимую информацию о последовательности шагов процесса, участниках процесса, сроках осуществления шагов процесса, используемых ИТ-системах и первичных документах.
4.4 Выявление и оценка рисков на уровне бизнес-процессов
4.4.1 Для каждого существенного бизнес-процесса должны быть определены риски и контрольные процедуры по управлению данными рисками. Организации следует определить порядок документирования рисков и контрольных процедур бизнес-процессов.
Например, риски, связанные с выполнение бизнес-процесса, и контрольные процедуры могут документироваться в формате таблиц (матриц) рисков и контролей, для каждого бизнес-процесса формируется самостоятельная таблица, при этом в ней отражаются только существенные риски и контрольные процедуры, направленные на управление данными рисками. Примерный формат матрицы рисков и контролей приведен в Приложении 5.3. Организация вправе дополнять и изменять структуру матрицы при необходимости.
4.4.2 При выявлении рисков необходимо принять во внимание существенные факторы, оказывающие влияние на счета учета, остатки и обороты по которым формируются в рамках бизнес-процесса.
4.5.3 Оценка рисков должна учитывать потенциальный риск мошенничества в области финансовой отчетности.
4.5 Описание контрольных процедур бизнес-процессов
4.5.1 Для покрытия существенных рисков на уровне бизнес-процесса используются контрольные процедуры на уровне бизнес-процесса, а также контроли корпоративного уровня.
4.5.2 Контрольные процедуры на уровне бизнес-процесса включают: ручные, ИТ-зависимые ручные и автоматизированные контроли.
4.5.3 Владельцы бизнес-процессов могут самостоятельно определять оптимальную комбинацию контролей, которые адекватно покрывают выявленный риск, выбирая те виды контролей (выявляющие или предотвращающие, автоматизированные, ИТ-зависимые ручные или ручные) для которых доказательство работы контроля может быть получено наиболее эффективным образом.
4.5.4 Контрольные процедуры (по отдельности или в совокупности) должны обеспечивать адекватное покрытие риска, то есть остаточный риск, при условии эффективного выполнения контрольных процедур, должен оцениваться как несущественный.
4.5.5 Если отдельные контроли оказываются неэффективными или недостаточными для покрытия рисков, то владельцам бизнес-процессов необходимо внедрить альтернативные (компенсирующие) контроли для снижения рисков до приемлемого уровня.
4.5.6 При описании контрольных процедур бизнес-процесса целесообразно указывать следующую информацию:
− краткое наименование контрольной процедуры;
− срок выполнения;
− периодичность выполнения;
− входящие данные;
− порядок выполнения процедуры;
− исполнитель и его действия;
− результат выполнения процедуры;
− и пр.
4.5.7 Информация о выявленных рисках и мероприятиях по воздействию служит основанием для разработки новых и анализа эффективности существующих контрольных процедур в рамках системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.6 Описание контрольных процедур корпоративного уровня
4.6.1 Контроли корпоративного уровня (ККУ) - это управленческие механизмы, которые устанавливаются на уровне организации в целом или ее подразделений и способствуют достижению целей, исполнению поручений руководства, прямо или косвенно воздействуя на риски, присущие деятельности организации.
4.6.2 ККУ позволяют построить более эффективную структуру СВК за счет влияния на контрольную среду в целом, на эффективность и количество контрольных процедур, выполняемых на уровне отдельных бизнес-процессов.
4.6.3 Актуализацию состава ККУ организации необходимо проводить на основе анализа применимости контрольных процедур, применяемых в мировой практике и приводимых в актуальных стандартах аудита, для покрытия рисков верхнего уровня, присущих деятельности организации. (2)
4.6.4 Организации следует документировать результаты анализа контролей корпоративного уровня, например, в формате списка контрольных процедур, структурированных по компонентам системы внутреннего контроля(3) или в формате матрицы контролей корпоративного уровня.
4.6.5 Контроли корпоративного уровня могут быть прямыми, т.е. оказывающими непосредственное влияние на финансовую отчетность и функционирующими на достаточно детальном уровне, чтобы адекватно предотвращать или выявлять искажения финансовой отчетности.
Примерами контролей корпоративного уровня прямого действия являются:
- Соблюдение принципа разделения обязанностей в области бухгалтерского учета;
- Процесс разработки, подготовки к утверждению и обновления учетной политики;
- Выявление нестандартных операций и фактов хозяйственной деятельности, которые могут оказать влияние на финансовую отчетность;
- Отслеживание изменений в законодательстве в области финансовой отчетности;
- Анализ протоколов Совета директоров и комитетов для отражения ключевых решений в финансовой отчетности.
4.6.6 Контроли корпоративного уровня могут быть также непрямыми (косвенными), влияющими на контрольную среду в целом, но не являющимися достаточно детальными или специфичными, для того чтобы адекватно предотвращать или выявлять искажения финансовой отчетности.
Примерами контролей корпоративного уровня косвенного действия являются:
- Наличие разработанного и внедренного кодекса этических норм и принципов;
- Наличие положений о Совете Директоров, Комитетах при Совете Директоров, Аудиторском Комитете;
- Стандарты и процедуры;
- Организационная структура Компании;
- Разделение полномочий и обязанности сотрудников;
- Приверженность принципу компетентности руководства Компании;
- Политики и процедуры в области управления персоналом.
4.6.7 Например, наличие учетной политики и детально разработанной процедуры закрытия отчетного периода могут снизить риск ручных ошибок или неправильной трактовки учетных принципов, повышая достоверность финансовой отчетности. Аналогично, внедренный кодекс этических норм и принципов позволяет снизить риски намеренного искажения финансовой отчетности руководством в целях улучшения финансовых показателей.
Тем не менее, для снижения риска до приемлемого уровня необходима комбинация контролей корпоративного уровня и контролей на уровне бизнес-процессов.
4.7 Описание общих ИТ контролей
4.7.1 Общие ИТ контроли – это политики, процедуры и практики в области разработки, тестирования, внедрения, сопровождения и эксплуатации информационных систем, включая поддерживающие работу приложений аппаратное и системное обеспечение, необходимые для управления рисками.
4.7.2 В организации должен быть определен порядок и требования к документированию общих ИТ контролей. Например, они могут быть представлены в виде отдельной матрицы общих ИТ контролей. (4)
Целесообразно документировать общие ИТ контроли только для существенных информационных систем организации.
4.7.3 Существенные информационные системы – это программные решения и поддерживающие их функционирование системные и аппаратные платформы, используемые при выполнении существенных бизнес-процессов.
4.4.4 Организации следует определить порядок документирования перечня существенных информационных систем. Например, состав существенных информационных систем может быть представлен в виде реестра с указанием следующих атрибутов:
− должность и имя владельца информационной системы со стороны бизнеса;
− перечень существенных бизнес-процессов, для автоматизации которых применяется информационная система;
− должность и имя ответственного лица со стороны подразделений ИТ;
− перечень элементов существенной ИТ инфраструктуры.
4.7.5 Перечень существенных информационных систем должен актуализироваться по мере возникновения необходимости и пересматриваться не реже одного раза в год.
4.7.6 Для целей построения СВК в области финансовой отчетности должны быть определены информационные системы, влияющие на подготовку финансовой отчетности и соответствующие общие ИТ контроли.
4.8 Актуализация описания системы внутреннего контроля
4.8.1 В организации должен быть разработан порядок определения и изменения границ системы внутреннего контроля над процессом подготовки финансовой отчетности, а также порядок актуализации ее описания.
4.8.2 Границы системы внутреннего контроля над процессом подготовки финансовой отчетности первоначально определяются в организации на финансовый год. Необходимость изменения границ должна анализироваться не реже одного раза в год. В случае изменения границ соответствующая документация должна быть обновлена и доработана (описания новых существенных бизнес-процессов, перечень рисков и контрольных процедур и т.д.).
4.8.3 Вне зависимости от изменения границ системы внутреннего контроля над процессом подготовки финансовой отчетности в организации следует, как минимум, ежегодно проводить актуализацию описания системы внутреннего контроля над процессом подготовки финансовой отчетности или подтверждать отсутствие изменений.
4.8.4 Актуализация описания контролей корпоративного уровня, СВК по бизнес-процессам, общих ИТ контролей выполняется на основании информации от владельцев бизнес-процессов и исполнителей контрольных процедур, а также на основании нормативных документов (проектов/рабочих версий нормативных документов).
4.8.5 Ответственными за актуализацию описания системы внутреннего контроля над процессом подготовки финансовой отчетности являются все работники и руководство организации, деятельность которых связана с рисками финансовой отчетности. Руководству организации следует определить порядок проведения актуализации описания СВК, порядок взаимодействия работников в процессе актуализации, порядок предоставления информации, порядок документирования изменений и доведения до сведения работников обновленных версий документации.
4.9 Мониторинг эффективности системы внутреннего контроля
4.9.1 Организациям следует осуществлять мониторинг системы внутреннего контроля, в том числе системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.9.2 Целью мониторинга является определение состояния системы внутреннего контроля над процессом подготовки финансовой отчетности:
− оценить, насколько СВКФО обеспечивает выполнение поставленных перед ней целей и задач;
− определить уровень существенности недостатков СВКФО.
4.9.3 Мониторинг системы внутреннего контроля над процессом подготовки финансовой отчетности предусматривает: (5)
− осуществление руководством подразделений постоянного мониторинга выполнения контрольных процедур в подотчетных им подразделениях;
− проведение самооценки системы внутреннего контроля над процессом подготовки финансовой отчетности в подразделениях;
− проведение на регулярной основе мониторинга и выборочного тестирования наиболее рискованных операций работниками и руководством организации;
− осуществление периодических проверок выполнения контрольных процедур и проверок соответствия операций требованиям законодательства и положениям нормативных документов организации силами независимого подразделения (например, внутреннего аудита);
− своевременное доведение информации о выявленных недостатках системы внутреннего контроля над процессом подготовки финансовой отчетности высшего руководства и Совета директоров в рамках вертикали управления.
4.9.4 Организациям следует определить процессы и процедуры осуществления всех форм мониторинга системы внутреннего контроля над процессом подготовки финансовой отчетности, включая порядок проведения оценки, оформления результатов и представления их органам управления.
4.9.5 В процедуры мониторинга целесообразно включить такую информацию как цели, границы и техники проведения оценки, а также методы документирования результатов и регулярность предоставления отчетности о системе внутреннего контроля над процессом подготовки финансовой отчетности заинтересованным пользователям.
4.9.6 Высшее руководство несет ответственность перед Советом директоров за осуществление мониторинга системы внутреннего контроля над процессом подготовки финансовой отчетности и предоставление Совету директоров заключения в отношении осуществления контрольных процедур надлежащим образом.
4.9.7 Совет директоров, в свою очередь, несет ответственность за регулярное рассмотрение результатов мониторинга системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.9.8 В рамках оценки системы внутреннего контроля над процессом подготовки финансовой отчетности организациям следует оценивать как операционную эффективность, так и эффективность дизайна контрольных процедур. Например, руководителю структурных подразделений и их работники могут проводить оценку контрольных процедур по следующим критериям:
− позволяет ли контроль предотвратить / обнаружить негативные последствия от возможной реализации рисков, на которые направлен данный контроль;
− выполняется ли данный контроль в соответствие с описанием и в течение всего оцениваемого периода;
− имеются ли документальные свидетельства выполнения контроля;
− формализована ли данная процедура (если да, то каким образом: нормативные документы, должностные инструкции, устное распоряжение, не формализована).
4.9.9 В организации должен быть разработан механизм оценки и формирования вывода об эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.9.10 Организациям следует разрабатывать внутренние нормативные документы, регламентирующие порядок проведения оценки и устанавливающие критерии эффективности контрольных процедур, а также порядок документирования результатов оценки.
4.9.11 В рамках своей деятельности структурному подразделение по внутреннему аудиту может проводить, в том числе, оценку эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности на предмет ее соответствия поставленным целям, задачам и заданным критериям. Оценка эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности проводится путем выполнения аудиторских проверок в рамках утвержденного плана деятельности структурного подразделения по внутреннему аудиту, а также посредством проведения дополнительных проверок по инициативе Совета Директоров, Комитета по аудиту и высшего руководства организации.
4.9.12 Результаты оценки системы внутреннего контроля над процессом подготовки финансовой отчетности должны быть задокументированы надлежащим образом и могут быть использованы при подготовке годового отчета. Высшее руководство может включать в годовой отчет дополнительную информацию, касающуюся системы внутреннего контроля в организации, если сочтет ее значимой для целей раскрытия заинтересованным лицам.
Публичное раскрытие информации о состоянии системы внутреннего контроля организации и о системе внутреннего контроля над процессом подготовки финансовой отчетности является хорошей практикой ведения бизнеса и может способствовать повышению инвестиционной привлекательности организации.
4.9.13 По итогам проведенной оценки (на основании выявленных недостатков) руководители структурных подразделений должны разрабатывать план мероприятий по совершенствованию системы внутреннего контроля над процессом подготовки финансовой отчетности для тех областей, за которые они являются ответственными.
Например, формирование плана корректирующих мероприятий может осуществляться следующим образом:
− для каждого недостатка контрольной процедуры (выявленных по результатам оценки эффективности дизайна и операционной эффективности) разрабатываются мероприятия по их устранению.
− мероприятия могут разрабатываться для одного либо группы контролей и быть направлены как на совершенствования дизайна/операционной эффективности контроля, так и общей его эффективности бизнес-процесса.
− мероприятия агрегируются (если возможно) по структурному подразделению и ранжируются по приоритетности внедрения. Ранжирование осуществляется на основе критичности недостатков.
− определяются работники, ответственные за внедрение осуществление мероприятий по совершенствованию системы внутреннего контроля над процессом подготовки финансовой отчетности.
− определяются ресурсы, необходимые для внедрения осуществления мероприятий.
− определяются сроки внедрения реализации мероприятий по совершенствованию системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.9.14 В организации следует выстроить процесс мониторинга выполнения мероприятий и устранение недостатков, выявленных по итогам оценки системы внутреннего контроля над процессом подготовки финансовой отчетности.
Отслеживание статуса выполнения мероприятий может проводиться, например, посредством опроса ответственных работников подразделения и/или получения отчетов о внедрении мероприятий и на основании плана мероприятий, разработанного по итогам оценки, а также путем выборочной проверки устранения недостатков (на основании проверки документов или путем наблюдения за выполнением операций или пр.)
4.10 Отчетность в области системы внутреннего контроля над процессом подготовки финансовой отчетности
4.10.1 В организации следует определить процедуры подготовки и предоставления отчетности в области системы внутреннего контроля над процессом подготовки финансовой отчетности:
− руководители структурных подразделений несут ответственность за подготовку отчетности о состоянии системы внутреннего контроля над процессом подготовки финансовой отчетности;
− подразделение внутреннего аудита несет ответственность за подготовку отчетности по результатам независимой оценки эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности.
4.10.2 Отчетность руководителей структурных подразделений о состоянии системы внутреннего контроля может содержать:
− информацию о выполнении плана мероприятий по совершенствованию СВКФО структурного подразделения, в том числе:
• общую информацию об объектах СВК;
• статус выполнения плана мероприятий по совершенствованию СВК;
− результаты оценки эффективности контрольных процедур, в том числе:
• количество эффективных и неэффективных контрольных процедур по результатам самооценки структурными подразделениями;
• список основных недостатков контрольных процедур;
− план мероприятий по устранению недостатков;
− информация о выполнении плана по внедрению мероприятий по устранению недостатков за предыдущий отчетный период;
− заключение по оценке эффективности СВК структурного подразделения.
4.10.3 Целесообразно предоставлять отчетность руководства о состоянии СВКФО высшему руководству и Совету директоров, а также предоставлять данную информацию внутреннему аудиту организации.
4.10.4 Подразделение внутреннего аудита организации по результатам деятельности за отчетный период (например, год) может формировать вывод об эффективности СВК, в том числе об эффективности СВКФО. Вывод формируется по итогам аудиторских проверок, проведенных за отчетный период. В некоторых случаях, объем проведенных проверок внутренним аудитом не может давать базу для формирования мнения об эффективности СВКФО в целом.
4.10.5 Внутренний аудит подготавливает отчет и предоставляет его на рассмотрение Комитету по аудиту Совета директоров (или Совету директоров в случае, если Комитет по аудиту не сформирован), а также информирует руководство организации и руководителей структурных подразделений о состоянии СВК и СВКФО.
4.10.6 Отчетность о состоянии СВК и СВКФО (в том числе, перечень недостатков) является основой для определения направлений совершенствования СВК.
5. ПРИЛОЖЕНИЯ
5.1. Пример политики по внутреннему контролю
Утверждено
Распоряжением № ________
от _____________________
ПОЛИТИКА
ПО ОРГАНИЗАЦИИ И ОСУЩЕСТВЛЕНИЮ ВНУТРЕННЕГО КОНТРОЛЯ ПРИ ВЕДЕНИИ ХОЗЯЙСТВЕННОЙ ДЕЯТЕЛЬНОСТИ И ПРИ ФОРМИРОВАНИИ ФИНАНСОВОЙ ОТЧЕТНОСТИ
1. Общие положения
1.1 Настоящая Политика определяет порядок организации и функционирования системы внутреннего контроля (далее – СВК) в Обществе, в том числе описывает цель и задачи СВК, а также роли и ответственность ее субъектов.
1.2 Настоящая Политика разработана c учетом требований и рекомендаций:
• действующего законодательством Российской Федерации (в т.ч. ст.19 закона N 402-ФЗ «О бухгалтерском учете»);
• внутренних нормативных документов Общества;
• Кодекса корпоративного поведения ФСФР РФ;
• руководства Комитетом спонсорских организаций Комиссии Трэдуэя «Внутренний контроль. Интегрированная модель» (1992). (6)
2. Определение и цели внутреннего контроля
2.1 Внутренний контроль – это непрерывный процесс, осуществляемый всеми сотрудниками и руководством Общества на всех уровнях управления, направленный на обеспечение условий для достижения целей Общества в следующих областях:
• эффективность и результативность финансово-хозяйственной деятельности Общества;
• сохранность активов;
• соблюдение законодательных требований, нормативных актов, внутренних документов Общества и прочих применимых требований регуляторов;
• достоверность финансовой отчетности.
2.2 Система внутреннего контроля (СВК) – система организационных мер, политик, инструкций, а также контрольных процедур, норм корпоративной культуры и действий, предпринимаемых Советом директоров, руководством и работниками Общества для обеспечения надлежащего ведения хозяйственной деятельности: для обеспечения финансовой устойчивости Общества, достижения оптимального баланса между ростом его стоимости, прибыльностью и рисками, для упорядоченного и эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения нарушений, своевременной подготовки достоверной финансовой отчетности и, тем самым, повышения инвестиционной привлекательности.
2.3 В основе организации системы внутреннего контроля в Обществе лежит риск-ориентированный подход. Он означает тесную интеграцию системы внутреннего контроля с процессами управления рисками, в результате которой обеспечивается своевременное и эффективное применение методов по управлению рисками с использованием эффективных механизмов системы внутреннего контроля. При этом руководство Общества и его сотрудники концентрируют усилия по построению и совершенствованию системы внутреннего контроля, в первую очередь, в тех областях деятельности, которые характеризуются наиболее высоким уровнем рисков.
2.4 Система внутреннего контроля над процессом подготовки финансовой отчетности (СВКФО) - система организационных мер, политик, инструкций, а также контрольных процедур, норм корпоративной культуры и действий, предпринимаемых Советом директоров, руководством и работниками Общества для достижения целей в области подготовки достоверной финансовой отчетности.
2.5 Целями функционирования системы внутреннего контроля в Обществе являются:
• Содействие в защите интересов акционеров, инвесторов и клиентов, предотвращение и устранение конфликтов интересов, поддержка эффективного управления Обществом и достижения стратегических целей наиболее эффективным способом;
• Создание условий для защиты Общества от внутренних и внешних рисков, возникающих в процессе его деятельности, а также рисков подготовки финансовой отчетности Общества;
• Содействие в обеспечении соблюдения Обществом требований законодательства и нормативных документов Общества;
• Создание условий для своевременной подготовки и предоставления достоверной финансовой, бухгалтерской, статистической, управленческой и иной отчетности для внешних и внутренних пользователей;
• Содействие в обеспечении сохранности активов и эффективного использования ресурсов и потенциала Общества.
3. Принципы функционирования и компоненты СВК
3.1 Организация и функционирование СВК в Обществе строится на следующих ключевых принципах:
• Интегрированность – СВК является неотъемлемой частью корпоративного управления Общества и встраивается в его процессы и ежедневные операции. СВК включает процедуры по информированию руководства соответствующего уровня управления о любых существенных нарушениях финансово-хозяйственной деятельности, недостатках и слабых местах контроля, которые были обнаружены, вместе с анализом их причин, деталями корректирующих мероприятий, которые были предприняты или которые следует предпринять;
• Непрерывность – СВК действует на постоянной основе, непрерывно и на всех уровнях управления, что позволяет Обществу своевременно выявлять отклонения в системе внутреннего контроля и предупреждать их возникновение в будущем;
• Методологическое единство – процессы СВК реализуются на основе единых требований и подходов для всех подразделений Общества;
• Целостность/комплексность – СВК действует на всех уровнях и во всех подразделениях Общества, охватывает все субъекты внутреннего контроля и направления деятельности и, соответственно, все риски:
- Обязанность по построению и поддержанию надежной и эффективной СВК лежит на руководителях всех уровней управления Общества;
- Контрольные процедуры существуют во всех бизнес-процессах и на всех уровнях управления;
- Каждый работник Общества знает, понимает и выполняет свою роль в системе внутреннего контроля
• Ответственность – за функционирование СВК ответственны все работники и руководство на всех уровнях Общества в рамках своих полномочий;
• Ориентированность на риски – СВК в Обществе находится в тесном взаимодействии с системой управления рисками, что способствует своевременному и эффективному внедрению мероприятий по воздействию на риски. При анализе контрольных процедур следует оценивать величину и вероятность реализации рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей Общества, что позволяет сделать вывод о достаточности существующих контрольных процедур, либо о необходимости разработки и внедрения новых.
• Оптимальность – объем и сложность контрольных процедур, используемых в Обществе, являются необходимыми и достаточными для эффективного управления рисками и достижения целей Общества. Ресурсы и затраты на внедрение и последующее функционирование контрольных процедур не должны превышать последствия реализации рисков (соотношение «затраты – экономический эффект»), а совокупный уровень остаточного риска должен соответствовать риск-аппетиту Общества.
• Разделение обязанностей – в Обществе разграничиваются права и обязанности субъектов внутреннего контроля в зависимости от их отношения к процессам разработки, утверждения, применения и мониторинга СВК. Не допускается, чтобы на одного сотрудника/подразделение были одновременно возложены полномочия по:
- утверждению операций с активами;
- осуществлению операций с активами;
- учету/регистрации операций;
- проверке корректности, полноты и факта выполнения операции и обеспечению сохранности активов.
• Формализация – СВК должна быть формализована:
- описаны риски и контроли по всем существенным бизнес процессам, влияющим на достижение целей Общества;
- задокументированы и сохраняются результаты выполнения контрольных процедур (первичные документы, отчеты, журналы операций и др.);
3.2 Актуальность и развитие – вся документация по СВК (описание рисков, контролей и др. информация) должна своевременно актуализироваться, а также постоянно совершенствоваться в целях повышения эффективности управления рисками. Высшее руководство обеспечивает условия для постоянного развития системы внутреннего контроля с учетом необходимости решать новые задачи, возникающие в результате изменения внутренних и внешних условий функционирования. Основой организации и функционирования системы внутреннего контроля в Обществе являются следующие компоненты:
• Контрольная среда;
• Оценка рисков;
• Средства контроля;
• Информация и коммуникации;
• Мониторинг СВК.
Подробное описание компонентов СВК приведено в Приложении 1 настоящей Политики.
4. Субъекты внутреннего контроля и их функции
4.1 Система внутреннего контроля Общества определяется совокупностью объектов и субъектов. Объектами СВК является финансово-хозяйственная деятельность подразделений Общества. Субъекты внутреннего контроля определяются настоящей Политикой и другими нормативными документами Общества в области внутреннего контроля.
4.2 Состав субъектов внутреннего контроля определяется организационной структурой Общества и включает:
• Совет директоров;
• Комитет по аудиту;
• Генерального директора;
• Подразделение внутреннего контроля;
• Руководителей структурных подразделений и работников Общества.
4.3 Совет директоров – утверждает настоящую Политику, определяет общие направления организации системы внутреннего контроля в Обществе, анализирует общую эффективность и соответствие СВК характеру, масштабам и условиям деятельности Общества в случае их изменения – рассматривает результаты оценки эффективности СВК, выявленные существенные недостатки и рекомендации по их устранению. Утверждает политику в области внутреннего контроля и изменения к ней.
Функции и задачи Совета директоров в отношении системы внутреннего контроля закреплены в положении о Совете директоров Общества.
4.4 Комитет по аудиту Совета директоров – оценивает соблюдение принципов внутреннего контроля и управления рисками и общую эффективность СВК в Обществе (в т.ч. на основании отчетов подразделений внутреннего аудита и внутреннего контроля), дает рекомендации по совершенствованию СВК.
Функции и задачи Комитета по аудиту Совета директоров закреплены в соответствующем положении о Комитете по аудиту Общества.
4.5 Генеральный директор – является ответственным за организацию, поддержание функционирования эффективной системы внутреннего контроля в Обществе и осуществление мониторинга функционирования СВК, в том числе:
• Определяет направления развития и совершенствования СВК в Обществе;
• Утверждает Регламент проведения диагностики и совершенствования СВК и другие нормативные документы в области СВК;
• Рассматривает результаты работы структурного подразделения внутреннего контроля, в том числе результаты диагностики СВК;
• Устанавливает ответственность за выполнение решений высшего руководства в области внутреннего контроля;
• Рассматривает и утверждает план мероприятий по устранению недостатков СВК.
4.6 Подразделение внутреннего аудита – осуществляет независимую оценку эффективности отдельных компонентов СВК, отдельных объектов аудита и СВК Общества в целом, а также разрабатывает рекомендации по повышению ее надежности и эффективности, в том числе:
• Осуществляет проверку соответствия деятельности подразделений и сотрудников нормативным документам, определяющим порядок организации и функционирования СВК;
• Осуществляет оценку соответствия содержания нормативных документов, регламентирующих порядок организации и функционирования СВК, характеру и масштабам деятельности Общества;
• Выявляет факты нарушений, анализирует причины их совершения и разрабатывает рекомендации по улучшению существующих и/или внедрению новых контрольных процедур для недопущения повторяемости нарушений;
• Осуществляет контроль за своевременным и полным устранением выявленных нарушений и недостатков;
• Осуществляет контроль качества процесса диагностики системы внутреннего контроля в Обществе, проводимой руководством и сотрудниками;
• Консультирует по вопросам совершенствования внутреннего контроля.
4.7 Задачами Подразделения внутреннего контроля являются:
• Координация деятельности по формированию и поддержанию эффективности системы внутреннего контроля;
• Методологическое обеспечение СВК;
• Организация процесса диагностики СВК в Обществе:
• Подготовка планов развития и совершенствования СВК в Обществе;
• Ведение и поддержание в актуальном состоянии инфраструктуры СВК (реестры рисков, контрольных процедур и бизнес-процессов);
• Контроль выполнения плана мероприятий по устранению недостатков и совершенствованию СВК, в т.ч. контроль качества устранения недостатков;
• Информирование всех участников СВК об изменении в подходах, документации и прочих требований в области СВК;
• Организация подготовки программ обучения персонала вопросам организации и совершенствования системы внутреннего контроля.
Функции, задачи и полномочия структурного подразделения по координации СВК Общества определены в соответствующем Положении.
4.8 Руководители и работники структурных подразделений несут ответственность за формирование, поддержание и постоянный мониторинг системы внутреннего контроля по соответствующим функциональным направлениям деятельности подразделений по всей вертикали управления, а также осуществляют выполнение контрольных процедур в соответствии с возложенными на них должностными обязанностями, в том числе:
• своевременное выявление и анализ рисков финансово-хозяйственной деятельности Общества;
• разработку, формализацию, а также последующее исполнение и обеспечение эффективности и достаточности контрольных процедур в рамках своих бизнес процессов;
• актуализацию описания СВК и своевременное информирование об изменениях подразделения по внутреннему контролю;
• мониторинг функционирования СВК, а также самостоятельную оценку эффективности контрольных процедур, которые они выполняют;
• информирование руководства о любых совершенных или возможных ошибках/недостатках, которые привели или могут привести к потенциальным негативным событиям;
• прохождение обучения в области внутреннего контроля и управления рисками в соответствии с утвержденной программой обучения.
4.9 Общество обеспечивает создание эффективных каналов обмена информацией, включая, как вертикальные, так и горизонтальные связи, в целях формирования у всех субъектов внутреннего контроля понимания принятых в нормативных документов по организации и функционированию системы внутреннего контроля и обеспечения их исполнения.
4.10 Информация о работе системы внутреннего контроля, о найденных недостатках и других существенных обстоятельствах предоставляется Совету директоров, Комитету по аудиту Совета директоров, Генеральному директору, Правлению или другим органам в соответствии с существующими требованиями законодательства и нормативными документами Общества.
5. Роли
5.1 Для обеспечения эффективного функционирования СВК между руководителями и иными сотрудниками Общества распределяются следующие роли:
• Владелец процесса/ риска
• Координатор СВК
• Исполнитель контроля
5.2 Владелец процесса / риска – руководитель подразделения/отдела, который несет ответственность:
• за эффективное функционирование всех компонентов СВК (см. компоненты СВК в Приложении 1) в части покрытия рисков хозяйственной деятельности и подготовки финансовой отчетности в рамках своих бизнес процессов/рисков;
• за назначение исполнителей контролей и закрепление в должностных инструкциях соответствующих сотрудников ответственности за выполнение данных процедур;
• за обеспечение исполнения и документирования контролей исполнителями контролей в соответствии с документацией по СВК;
• за выполнение процедур по самооценке эффективности СВК;
• за выявление изменений в процессах, рисках либо контролях, требующего внесение изменений в документацию по СВК и информирование об этом сотрудников Подразделения внутреннего контроля / Координатора СВК в соответствующем подразделении;
• за своевременное согласование документации по СВК (детального описания рисков, унифицированных и адаптированных контролей и другой информации);
• за устранение недостатков в СВК, выявленных по результату тестирования либо мониторинга.
5.3 Исполнитель контроля – сотрудник любого уровня, который несет ответственность:
• за своевременное и качественное выполнение контрольных процедур в соответствии с документацией СВК;
• за уведомление, при необходимости, заместителя исполнителя контроля и сотрудника Подразделения внутреннего контроля о необходимости выполнения соответствующей контрольной процедуры вместо исполнителя;
• за своевременное согласование документации по СВК (детального описания рисков, контролей и другой информации);
• за выполнение процедур по самооценке эффективности СВК;
• за выявление изменений в процессах, рисках либо контролях, требующего внесение изменений в документацию по СВК и информирование об этом владельца риска/процесса, Координатора СВК в соответствующем подразделении и сотрудников Подразделения по внутреннему контролю;
• за устранение недостатков СВК, выявленных по результату тестирования и мониторинга.
5.4 Координатор СВК сотрудник в каждом подразделении, который несет ответственность:
• за организацию и координацию процесса функционирования СВК в рамках соответствующего подразделения;
• за проведение мониторинга качества выполнения и документирования контрольных процедур в части контролей, выполняемых в соответствующем подразделении;
• за актуальность документации по СВК в части соответствующего структурного подразделения;
• за информирование Подразделения по внутреннему контролю о необходимости изменения документации по СВК (изменение процессов, рисков либо контролей, вкл. предложение новых формулировок в части рисков, контролей и другой информации).
6. Требования и обязанности в области обеспечения эффективности СВК
6.1 Внутренний контроль является неотъемлемой частью функционирования любого подразделения Общества.
6.2 Все работники несут ответственность за функционирование и обеспечение эффективности СВК Общества.
6.3 Руководство Общества должно доводить до работников важность наличия и обеспечения эффективности функционирования СВК, а также роль каждого работника в данной системе, в том числе следующие основные требования:
• Ни один работник прямо или косвенно не может допускать либо являться причиной намеренного фальсифицирования данных бухгалтерской, управленческой либо иной отчетности.
• Никакие изменения не могут быть внесены в учетные данные, если заведомо известно, что эти изменения могут исказить суть соответствующих операций.
• Никакие денежные суммы/счета/операции не могут укрываться для цели их неполного отражения в отчетности.
• Все работники Общества обязаны сохранять активы Общества и обеспечивать их эффективное использование.
6.4 Если работник Общества обладает информацией о недостатке либо неэффективности процедур внутреннего контроля, он должен незамедлительно сообщить об этом своему непосредственному руководителю, а также руководителям подразделений внутреннего контроля и внутреннего аудита.
6.5 Если работник умышленно не соблюдает настоящую Политику и не выполняет контрольные процедуры, за которые он является ответственным, к данному работнику будет применено дисциплинарное взыскание вплоть до увольнения в соответствии с требованиями действующего законодательства.
7. Мониторинг эффективности СВК
7.1 Целью проведения мониторинга является оценка эффективности системы внутреннего контроля Общества, в том числе ее способности обеспечить выполнение поставленных перед ней целей и задач, а также выяснение существенности недостатков системы.
7.2 Мониторинг системы внутреннего контроля над финансовой отчетностью предусматривает:
• осуществление руководством подразделений постоянного контроля за выполнением контрольных процедур в подотчетных им подразделениях;
• проведение самооценки системы внутреннего контроля в Обществе;
• осуществление периодических проверок выполнения контрольных процедур и проверок соответствия операций требованиям законодательства и положениям нормативных документов организации силами подразделения по внутреннему аудиту;
• осуществление оценки эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности силами внешнего аудитора
• своевременное доведение информации о выявленных недостатках системы внутреннего контроля над финансовой отчетностью до заинтересованных лиц в рамках вертикали управления.
Рис.1 Виды оценки эффективности СВК
7.3 Самостоятельная оценка эффективности СВК (далее – самооценка СВК) проводится непосредственно силами субъектов СВК путем:
• Рассылка опросных листов – используется для сбора информации об эффективности функционирования СВК и изменениях в бизнес-процессах от работников и руководителей подразделений Общества.
• Мониторинг состояния СВК – это процесс проверки полноты, своевременности выполнения и правильности документирования КП.
• Оценка эффективности контрольных процедур – анализ эффективности описания и исполнения контроля, а также анализ достаточности контрольных процедур (оценка, насколько контроль, при условии его эффективного выполнения способен эффективно снижать соответствующие ему риски).
7.4 Регулярная оценка СВК способствует повышению ее эффективности посредством:
• своевременного выявления изменений в бизнес-процессах, дизайне или этапах выполнения контрольных процедур;
• повышения мотивации Исполнителей контролей и их Руководителей за счет непосредственного участия в совершенствовании СВК и постоянного контроля над качеством выполнения КП;
• предоставления информационной базы руководству Компании для подтверждения эффективности функционирования СВК.
7.5 Результаты оценки СВК должны быть задокументированы и представлены руководству Общества и Комитету по аудиту Совета директоров:
• Подразделения внутреннего аудита подготавливает отчет по результатам оценки СВК;
• Внешний аудитор формирует письмо руководству о существенных недостатках, выявленных по результатам внешней независимой оценки СВК;
• Подразделение по внутреннему контролю подготавливает отчет по результатам самооценки СВК, проведенной силами структурных подразделений Общества.
8. Внесение дополнений и изменений в Политику
8.1 При изменении и дополнении законодательных актов, требований регуляторов и нормативных документов Общества, регламентирующих функционирование системы внутреннего контроля, изменения и дополнения в настоящую Политику могут быть внесены только надлежащим образом оформленными решениями Совета директоров Общества. Совет директоров Общества может также принять решение об утверждении новой редакции Политики.
Приложение 1. Компоненты СВК согласно методологии COSO (7)
Внутренний контроль, согласно руководству COSO «Internal Control-Integrated Framework», состоит из пяти взаимосвязанных компонентов, которые включают в себя:
Контрольную среду: Контрольная среда создает атмосферу в организации, которая влияет на осознание персоналом важности выполнения контролей. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая упорядоченность и дисциплину. К факторам контрольной среды относятся целостность, этические ценности, стиль работы руководства, система распределения полномочий и обязанностей, а также процессы управления и развития персонала в организации. Также эффективность контрольной среды зависит от внимания к данному вопросу со стороны Совета директоров.
Оценку рисков: каждая организация сталкивается с различными внешними и внутренними рисками, которые необходимо оценивать. Необходимым условием для оценки рисков является определение целей, поэтому оценка рисков подразумевает выявление и анализ соответствующих рисков связанных с достижением установленных целей. Оценка рисков является необходимым условием управления рисками.
Средства контроля: Средства контроля представляют собой политики и процедуры, которые обеспечивают исполнение решений руководства. Они помогают обеспечить исполнение необходимых действий в отношении рисков, которые могут помешать организации в достижении её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, сохранению активов и разделению обязанностей.
Информацию и коммуникацию: Вся необходимая информация должна быть выявлена, сформулирована и своевременно доведена до соответствующих сотрудников так, чтобы обеспечить им возможность полноценно исполнять свои должностные обязанности. Информационные системы также играют важную роль в системе внутреннего контроля, поскольку они содержат финансовую информацию, а также информацию по операционной деятельности и соблюдению законодательства, что позволяет управлять и контролировать бизнесом. Вопрос состоит не только в части распространения внутренней информации компании, но также важно информировать сотрудников о внешних событиях и мероприятиях, которые необходимы для принятия различных решений. Эффективная коммуникация в более широком смысле должна обеспечить информационные потоки вниз и вверх, а также между подразделениями по всей организации. Важно, чтобы персонал компании получал от высшего руководства четко сформулированную позицию о важности исполнения обязанностей в части внутреннего контроля. Также важно, чтобы каждый сотрудник четко понимал свою роль в системе внутреннего контроля, и как результат его труда связан с деятельностью других сотрудников. Персонал должен осознавать необходимость сообщать всю важную информацию руководству компании. Эффективная коммуникация, по вопросам связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.
Мониторинг: Система внутреннего контроля, требует мониторинга — процесса периодической оценки качества ее работы. Это достигается путем постоянного мониторинга качества исполнения тех или иных операций, путем отдельных проверок по оценке эффективности того или иного процесса либо путем комбинации этих двух вариантов. Постоянный мониторинг осуществляется на ежедневной основе, вкл. деятельность по руководству и управлению соответствующими процессами, а также другие мероприятия в рамках исполнения персоналом их обязанностей. Объем и частота проведения отдельных проверок зависит от уровня оценки соответствующих рисков, а также от результатов проведения постоянного мониторинга по данным операциям. Недостатки внутреннего контроля, выявленные в ходе мониторинга, следует доводить до сведения руководства, а наиболее существенные замечания должны доводиться до высшего руководства и Совета директоров.
Тесная взаимосвязь данных компонентов обеспечивает формирование интегрированной системы, которая способна оперативно реагировать на возникающие вызовы. Система внутреннего контроля является неотъемлемой частью операционной деятельности. Наиболее эффективной СВК является, если контроли встроены в инфраструктуру организации и являются частью ее сущности. Встроенные контроли усиливают качество и результативность мероприятий, а также помогают избегать дополнительных затрат и позволяют быстрее реагировать на те или иные события.
5.2 Уровни зрелости системы внутреннего контроля (8)
№
|
Уровень
|
Базовый
|
Развивающийся
|
Устоявшийся
|
Продвинутый
|
Передовой
|
|
Характеристики
|
|
|
1
|
2
|
3
|
4
|
5
|
|
Общая характеристика
|
|
Типы организации
|
Организации, на которые распространяется пункт 1 статьи 19 Закона (включая организации, не подлежащие обязательному аудиту, а также организации, в которых руководитель принял обязанность ведения бухгалтерского учета на себя)
|
Организации, на которые распространяется пункт 2 статьи 19 Закона, бухгалтерская (финансовая) отчетность которых подлежит обязательному аудиту.
|
|
Как правило, недавно созданные или приобретенные организации с небольшой численностью, непубличные.
|
Как правило, непубличные организации, планирующие выход на рынки капитала или соответствие требованиям и практике корпоративного управления.
|
Организации, как правило, публичные или выходящие на рынки капитала, акционеры или участники которых ожидают соответствие требованиям и практике корпоративного управления.
|
Крупные организации, как правило, публичные, акционеры или участники которых ожидают соответствие СВК требованиям и практике корпоративного управления, а также ее частичное соответствие передовому отраслевому или международному опыту.
|
Крупные организации, как правило, публичные, поддерживающие эффективную и рациональную СВК в соответствии с передовым отраслевым и международным опытом.
|
|
Характеристика СВК в целом
|
СВК не формализована
|
СВК формализована частично, но функционирует непоследовательно.
|
СВК формализована, периодически оценивается на эффективность.
|
СВК регулярно оценивается на эффективность и проактивно совершенствуется с точки зрения рациональности.
|
СВК постоянно совершенствуется за счет регулярного мониторинга внутренних и внешних факторов.
|
|
Контрольная среда
|
1
|
Стиль руковод-ства и этические принципы
|
Внутренний контроль не является частью корпоративной культуры. Этические принципы не формализованы.
Иные методы доведения этических принципов до работников не используются.
|
Организация признает необходимость внутреннего контроля. Кодекс этики разработан, но не утвержден, не актуализирован, не доводится до сведения новых работников.
|
Кодекс этики разработан, утвержден, пересматривается раз в два-три года на необходимость изменений.
Все работники ознакомлены с Кодексом этики и требованиями в области внутреннего контроля.
|
Этические принципы четко определены в Кодексе этики, который ежегодно пересматривается на необходимость изменений.
В результате в организации формируется устойчивое поведение, основанное на этических ценностях.
|
Организация сформировала исключительные ценности, признаваемые как ее работниками, так и другими компаниями, и постоянно демонстрирует образцовое поведение.
Этические принципы, формализованные в Кодексе этики, детализированы в политиках и процедурах. Работники организации вносят вклад в совершенствование корпоративной культуры в части этических ценностей.
|
2
|
Роль Совета директоров
|
Совет директоров и Высшее руководство не уделяют существенного внимания вопросам внутреннего контроля.
|
Совет директоров и Высшее руководство понимают важность внутреннего контроля, однако, его мониторинг осуществляется несистемно и не проактивно.
|
Совет директоров демонстрирует независимость от высшего руководства (для публичных организаций требования к независимости определяются соответствующими нормативными актами) и значительное внимание к вопросам внутреннего контроля.
|
Совет директоров периодически оценивает эффективность внутреннего контроля (в основном, в области финансовой отчетности) и раскрывает его основные характеристики внешним пользователям
|
Совет директоров регулярно оценивает эффективность внутреннего контроля (по всем категориям) и раскрывает его основные характеристики внешним пользователям.
|
3
|
Организационная структура и разграни-чение полномочий
|
Организационная структура определена нечетко или не формализована.
Функции и обязанности распределяются не систематически и зачастую с нарушением принципа разделения обязанностей.
|
Верхнеуровневая организационная структура определена, однако, не утверждена официально и/или не детализирована.
Функции и обязанности распределены и понятны, но не оформлены документально и не доведены до сведения работников.
В отдельных процессах нарушается принцип разделения обязанностей.
|
Организационная структура определена, соответствуют стратегии и задачам организации, регулярно обновляется и в целом эффективно функционируют.
Во всех существенных процессах соблюдается принцип разделения обязанностей.
|
Организационная структура четко определена, соответствует стратегии и задачам организации, последовательно внедряется в рамках всей организации, способствует повышению эффективности процесса выявления рисков и выполнения контрольных процедур.
|
Четко формализованная организационная структура разработаны в соответствии со стратегией и задачами организации, регулярно пересматривается в условиях изменения бизнеса, последовательно внедряется в рамках всей организации.
Организационная структура позволяет осуществлять эффективный и действенный процесс обмена информацией, а также своевременно принимать решения в рамках всего бизнеса организации.
Работники демонстрируют приверженность делу и независимо от функций и обязанностей устанавливают взаимоотношения, направленные на достижение стратегических целей и задач.
|
4
|
Компетент-ность и развитие персонала
|
Ограниченное количество квалифицированных и опытных работников, недостаточное для обеспечения эффективной системы внутреннего контроля.
|
Организация понимает, какие специалисты ей необходимы для реализации своей стратегии, но не располагает достаточным количеством работников требуемой квалификации.
Существует высокая степень зависимости от небольшого числа ключевых специалистов.
|
Организация располагает работниками необходимой квалификации в количестве, достаточном для реализации текущих потребностей, которых может быть недостаточно для реализации долгосрочной стратегии.
|
Организация выявила и определила необходимость в специалистах соответствующей квалификации для обеспечения долгосрочных целей.
Организация включила необходимые требования в программу по подбору и обучению работников и приступила к ее реализации.
|
Организация выявила и определила необходимость в специалистах соответствующей квалификации и включила необходимые требования в процедуры подбора и непрерывного обучения персонала, которые были последовательно внедрены в рамках всей организации.
Наличие квалифицированного и опытного персонала дает организации конкурентное преимущество, позволяя превышать запланированные показатели и эффективно управлять рисками.
|
5
|
Ответственность в области внутреннего контроля
|
Ответственность за создание и поддержание системы внутреннего контроля не установлена, регулируется только внешними требованиями. Ключевые показатели деятельности не установлены.
|
Ответственность за создание и поддержание системы внутреннего контроля установлена только на уровне высшего руководства. Ключевые показатели деятельности установлены для отдельных групп работников.
|
Ответственность за создание и поддержание системы внутреннего контроля установлена на всех уровнях управления.
Организация установила ключевые показатели эффективности для работников большинства подразделений для обеспечения соответствия их уровня квалификации установленным стандартам и периодически проводит их мониторинг.
|
Ответственность за создание и поддержание системы внутреннего контроля установлена на всех уровнях управления и связана с показателями деятельности организации.
Ключевые показатели деятельности определены на достаточно детальном уровне и адаптированы для всех подразделений организации, регулярно оцениваются и учитываются в рамках программы развития персонала.
|
Ответственность за поддержание эффективной системы внутреннего контроля является неотъемлемой частью корпоративной культуры и распространяется на все бизнес-процессы организации.
Для постоянного отслеживания выполнения ключевых показателей деятельности используется автоматизированная информационная система.
|
|
Оценка рисков
|
6
|
Целеполагание
|
Цели и задачи организации не определены, не доведены до сведения работников и не реализуются.
|
Цели и задачи определены на общекорпоративном уровне, но не детализированы, не доведены до сведения работников.
|
Цели и задачи организации четко определены, полностью понятны и доведены до сведения работников.
Установлены высокоуровневые критерии для приемлемости рисков, однако, которые не полностью формализованы и детализированы.
|
Цели и задачи четко определены, непосредственно связаны со стратегией, доведены до сведения работников и реализуются на уровне всех подразделений организации.
Уровни приемлемости рисков определены в количественной оценке и регулярно отслеживаются.
|
Цели и задачи четко определены, полностью понятны, доведены до сведения работников, последовательно реализуются и оцениваются. Цели и задачи регулярно пересматриваются и совершенствуются с учетом изменений в организации и новых условий ведения бизнеса, что позволяет повышать показатели эффективности деятельности и занимать лидирующее положение на рынке.
Для отслеживания уровня приемлемости рисков с большой глубиной детализации используются автоматизированная информационная система.
|
7
|
Выявление и анализ рисков
|
Процедуры выявления и оценки рисков не структурированы или не проводятся.
|
Процедуры выявления и оценки рисков проводятся нерегулярно. Подразделения организации проводят такие процедуры самостоятельно и независимо, сосредотачивая усилия на решении задач и управлении рисками конкретного процесса.
|
Процедуры выявления и оценки рисков четко определены, разработаны и применяются последовательно.
Процедуры проводятся под централизованным контролем для обеспечения широкого понимания рисков организации в целом с учетом ее целей и задач, осуществляется координация процедур с текущими процессами и деятельностью в рамках отдельного подразделения.
|
Процедуры выявления и оценки рисков определены, четко структурированы, применяются последовательно и эффективно интегрированы в ключевые процессы и виды деятельности на уровне всей организации, позволяют эффективно распределять ресурсы в области управления рисками и обеспечения внутреннего контроля, а также определять приоритетные задачи в области управления рисками.
|
Процедуры выявления и оценки рисков четко определены, высокоэффективны и полностью интегрированы во все сферы управления и планирования бизнеса, что способствует достижению стратегических целей и является ключевым фактором успеха и устойчивого развития бизнеса организации.
|
8
|
Анализ рисков мошенничества и коррупции
|
Анализ рисков мошенничества и коррупции производится после его обнаружения. Формализованные процедуры по противодействию мошенничеству и коррупции отсутствуют.
|
Организация определяет наиболее рисковые области с точки зрения мошенничества и коррупции и внедряет дополнительные процедуры по его предотвращению или выявлению.
Система противодействия мошенничеству и коррупции не централизована.
|
Организация определяет основные виды мошенничества и коррупции и разрабатывает адекватные механизмы противодействия.
Система противодействия мошенничеству и коррупции включает как общекорпоративные политики, так и контрольные процедуры на уровне бизнес-процессов.
|
Организация внедрила процедуры противодействия мошенничеству и коррупции во всех подразделениях с учетом оценки рисков, а также изменяет организационную структуру и порядок распределения полномочий для снижения риска мошенничества и коррупции в целом.
|
Организация производит постоянный мониторинг рисков мошенничества и коррупции, в том числе с помощью автоматизированных информационных систем.
Организация демонстрирует высокий уровень вовлеченности работников в программу противодействия мошенничеству и коррупции.
|
9
|
Мониторинг изменений
|
Организация реагирует на изменения реактивно и, в основном, под воздействием внешних факторов. Изменения во внешней среде, бизнес-модели или руководстве не оцениваются с точки зрения влияния на внутренний контроль.
|
Организация отслеживает ключевые изменения во внешней среде, бизнес-модели и руководстве с точки зрения влияния на внутренний контроль, однако, внедряет изменения только в ключевых областях.
|
Организация отслеживает изменения во внешней среде, бизнес-модели и руководстве с точки зрения влияния на внутренний контроль и внедряет необходимые изменения на всех уровнях управления.
|
Организация планирует потенциальные изменения в рамках общекорпоративного процесса выявления рисков и внедряет необходимые процедуры по их управлению.
|
Организация планирует и моделирует потенциальные изменения (в т.ч. с помощью автоматизированных информационных систем), оценивает их влияние и своевременно внедряет процедуры, позволяющие гибко реагировать на изменения. Работники организации активно участвуют в процессе изменений, предлагая меры по совершенствованию внутреннего контроля.
|
|
Контрольные процедуры
|
10
|
Дизайн и операцион-ная эффективность контроль-ных процедур
|
Внедрены базовые контрольные процедуры, которые, как правило, покрывают не все области риска или являются неэффективными. Система внутреннего контроля не формализована. Недостатки внутреннего контроля не выявляются и/или не доводятся до сведения руководства.
|
Контроли в основных бизнес-процессах внедрены, но не формализованы. Их функционирование зависит от знаний и мотивации отдельных работников.
Выявляются недостатки системы внутреннего контроля, в т.ч. существенные. Корректирующие действия руководства не приоритезированы и непоследовательны.
Для целей финансовой отчетности: существуют прямые контроли корпоративного уровня, которые, однако, не формализованы.
|
Определены и задокументированы существенные процессы, влияющие на финансовую отчетность (включая, процесс закрытия периода и подготовки финансовой отчетности).
Внедрены и формализованы контроли корпоративного уровня (прямые для финансовой отчетности).
Контроли в существенных бизнес-процессах для целей финансовой отчетности задокументированы, однако, могут существовать отдельные недостатки внутреннего контроля, которые своевременно устраняются руководством.
|
В организации существует эффективная система внутреннего контроля и управления рисками.
Формализованы контроли корпоративного уровня (прямые и непрямые для финансовой отчетности) и на уровне существенных бизнес-процессов, связанные с финансовой отчетностью, с операционной деятельностью и с соблюдением законодательства.
|
Общекорпоративная программа в области внутреннего контроля и управления рисками предотвращает появление существенных недостатков и обеспечивает их своевременное исправление.
Система внутреннего контроля интегрирована с системой управления рисками и внутренним аудитом, функционирует на основе использования автоматизированных систем постоянного мониторинга.
Система внутреннего контроля способствует достижению бизнес- целей, регулярно совершенствуется с учетом изменений в бизнесе или внешней среды.
|
11
|
Использование технологий
|
Информационные системы практически не используются либо используются в минимальной функциональности. ИТ общие контроли неэффективны. Отсутствуют стандарты и правила в области информационной безопасности.
|
Существуют общие ИТ контроли, влияющие на финансовую отчетность, однако, они не формализованы и могут иметь существенные недостатки.
Ручные контроли составляют высокую долю в СВК. Имеющиеся информационные системы не интегрированы.
|
Внедрены и формализованы общие ИТ контроли, влияющие на финансовую отчетность. Организация разработала стандарты и правила в области информационной безопасности.
В существенных бизнес-процессах часть контрольных процедур автоматизирована.
|
Внедрены и формализованы общие ИТ контроли во всех существенных бизнес-процессах и системах.
Организация применяет автоматизированные процедуры тестирования автоматизированных контрольных процедур и конфигурации системы информационной безопасности.
Автоматизированные контрольные процедуры составляют большую долю в бизнес-процессах.
|
Автоматизированные контрольные процедуры имеют значительную долю в бизнес-процессах.
Организация внедрила технологии для профилактики нарушений информационной безопасности на уровне внешних компонентов системы.
Процедуры непрерывного мониторинга контрольных процедур автоматизированы и оптимизированы на уровне всех подразделений организации.
|
12
|
Политики и процедуры
|
Основные принципы внутреннего контроля не формализованы в виде политики.
Политики и процедуры в отношении бизнес-процессов не формализованы и не доведены до сведения работников.
|
Общие принципы организации системы внутреннего контроля формализованы в виде политики по внутреннему контролю, которая доведена до сведения работников. Политики и процедуры существуют в отдельных областях.
Для целей финансовой отчетности существуют прямые контроли корпоративного уровня, например:
- процесс разработки, подготовки к утверждению и обновления учетной политики;
- процедуры и графики закрытия периода и подготовки финансовой отчетности.
|
Общие принципы организации системы внутреннего контроля формализованы в виде политики по внутреннему контролю, которая доведена до сведения всех работников и других заинтересованных лиц.
Политики и процедуры в части существенных процессов разработаны и утверждены, доведены до сведения работников, но могут применяться не на всех уровнях организации.
|
Политики и процедуры (в области внутреннего контроля, финансовой отчетности, операционных процессов и в области соблюдения законодательства) полностью разработаны и последовательно применяются в рамках всей организации, а также постоянно совершенствуются с учетом изменений стратегии и задач бизнеса и других требований.
|
Политики и процедуры организации регулярно приводятся в качестве примера передовой практики третьими сторонами и другими компаниями отрасли.
|
|
Информация и коммуникация
|
13
|
Информационный обмен
|
Отсутствуют официально утвержденные системы или процессы обмена информацией в области внутреннего контроля. Обмен информацией в большинстве случаев односторонний (информация поступает от руководства работникам).
|
Процессы обмена информацией в области внутреннего контроля существуют, но они не формализованы. Информационные системы используются, однако недостаточно эффективно поддерживают процесс обмена информацией внутри организации. Обмен информацией остается преимущественно односторонним (информация поступает от руководства работникам).
|
Протоколы обмена информацией носят прозрачный и открытый характер, активно поддерживается двухсторонний процесс обмена информацией с заинтересованными сторонами. Информационные технологии широко используются для уведомления о принятых решениях, передачи ключевых сообщений, а также для повышения уровня культуры организации. Организация признает необходимость повышения эффективности процедур сбора данных и обмена информацией.
|
Информационные технологии способствуют эффективному процессу обмена информацией и играют ключевую роль в обеспечении двухстороннего обмена информацией. Установлены открытые и прозрачные схемы обмена информацией, которые согласуются с организационной культурой. Осуществляется сбор данных, однако существует необходимость повышения эффективности использования информационных технологий для обмена информацией и поддержания процесса на высоком уровне.
|
Информационные технологии позволяют максимально эффективно и своевременно осуществлять обмен знаниями, уведомлять о принятых решениях и распространять сообщения. Активно ведется открытый двухсторонний процесс обмена информацией, внедрены системы и процессы, позволяющие удостовериться в том, что вся необходимая информация была получена и принята к сведению. Эффективный процесс обмена информацией согласуется с культурой организации и, по мнению заинтересованных сторон, позволяет обеспечить существенное конкурентное преимущество.
|
14
|
Внутренние коммуника-ции в области внутреннего контроля
|
Вопросы внутреннего контроля не освещаются во внутренних коммуникациях организации. Политики и процедуры, поддерживающие внутренние коммуникации в области внутреннего контроля отсутствуют.
|
Вопросы внутреннего контроля периодически включаются во внутренние коммуникации, как правило, под влиянием внешних факторов. Существуют отдельные механизмы и процедуры коммуникации, однако, доступ к актуальной информации по внутреннему контролю ограничен.
|
Руководство организации поддерживает активную внутреннюю коммуникацию с работниками для понимания их ответственности в области внутреннего контроля. Внутренняя коммуникация является двухсторонней, т.е. работники используют открытые каналы обмена информацией с высшим руководством.
|
Существует несколько каналов внутренней коммуникации в области внутреннего контроля (как формальные, так и неформальные) на всех уровнях иерархии. Внутренняя коммуникация поддерживает функционирование внутреннего контроля за счет обмена информацией на всех уровнях иерархии (горизонтально и вертикально).
|
Для поддержания эффективной внутренней коммуникации активно используются информационные технологии, позволяющие получать оперативную и актуальную информацию в области внутреннего контроля. Внутренние коммуникация осуществляются с высокой скоростью с соблюдением принципа открытости и непредвзятости. Периодически проводится оценка эффективности используемых средств внутренней коммуникации.
|
15
|
Внешние коммуника-ции в области внутреннего контроля
|
Информация о внутреннем контроле не доводится до сведения внешних пользователей. Организация выполняет минимальные требования по раскрытию информации, установленные законодательством.
|
Информация о внутреннем контроле раскрывается по запросу внешних пользователей.
|
Информация о принципах функционирования внутреннего контроля в организации доводится до сведения различных внешних пользователей (акционеров, контрагентов, регулирующих органов и т.д.).
|
Организация наладила двусторонний обмен информацией о внутреннем контроле с внешними пользователями и использует некоторую информацию для принятия решений в области внутреннего контроля.
|
Организация получает информацию, касающуюся внутреннего контроля, из различных внешних источников и использует ее для постоянного совершенствования системы внутреннего контроля и бизнес-процессов.
|
|
Мониторинг
|
16
|
Оценка функциони-рования системы внутреннего контроля
|
Руководство не проводит мониторинг и не оценивает систему внутреннего контроля в организации, а также не предпринимает активных действий по исправлению недостатков внутреннего контроля, выявленных независимыми подразделениями / организациями. Внутренний аудит отсутствует, либо фокусируется на выявлении нарушений, а не на оценке системы внутреннего контроля. Внешний аудит или не проводится, или выявляет большое количество существенных недостатков системы внутреннего контроля.
|
Руководство не проводит мониторинг и не оценивает самостоятельно систему внутреннего контроля в организации, но предпринимает действия по исправлению недостатков внутреннего контроля, выявленных независимыми подразделениями / организациями. При наличии внутреннего аудита проводится как выявление нарушений, так и оценка отдельных контрольных процедур в ключевых областях. При наличии внешнего аудита выявляются недостатки внутреннего контроля, в т.ч. существенные.
|
Мониторинг и оценка системы внутреннего контроля периодически проводится руководством, но не документируется. Внутренний аудит использует риск-ориентированный подход, тестирует контрольные процедуры и дает рекомендации по улучшению системы внутреннего контроля. Внешний аудит полагается на контрольные процедуры в отдельных областях учета, при этом могут выявляться отдельные недостатки системы внутреннего контроля.
|
Руководство осуществляет и документирует регулярный мониторинг и оценку системы внутреннего контроля и проводит необходимые изменения в системах и процессах. Внутренний аудит тестирует систему внутреннего контроля исходя из риск-ориентированного подхода и способствует общему совершенствованию процессов организации. Внешний аудит как проводит собственное тестирование контрольных процедур, так и использует результаты мониторинга тестирования внутренним аудитом и руководством организации.
|
Оценка системы внутреннего контроля проводится постоянно, основана на самооценке и встроена в бизнес-процессы. Информационная система позволяет постоянно отслеживать состояние системы внутреннего контроля на основании установленных метрик. Осуществляется активное взаимодействие между руководством, внутренним аудитом и внешним аудитом с четким распределением ответственности, позволяя избегать дублирования функций и обеспечивая комплексный мониторинг системы внутреннего контроля. Организация проводит сравнение системы внутреннего контроля с ведущими компаниями отрасли и совершенствует бизнес-процессы в соответствии с передовой практикой.
|
17
|
Отчетность в области системы внутреннего контроля
|
Отчетность в области внутреннего контроля не составляется. Политики и процедуры по подготовке отчетности в области внутреннего контроля не определены и не формализованы. Информация о недостатках внутреннего контроля не анализируется руководством.
|
Требования к отчетности в области внутреннего контроля определены, но не формализованы. Точность и оперативность информации в области внутреннего контроля не всегда обеспечивается. Информация о недостатках внутреннего контроля доводится до сведения высшего руководства, которое, однако, не всегда обеспечивает их своевременное исправление.
|
Отчеты о состоянии системы внутреннего контроля, как правило, содержат точную и актуальную информацию и предоставляются руководству на периодической основе. Высшее руководство обеспечивает своевременное реагирование на выявленные недостатки системы внутреннего контроля.
|
Руководство и заинтересованные стороны (например, Совет директоров, Комитет по аудиту) регулярно получают актуальную и точную информацию о состоянии системы внутреннего контроля. Обеспечивается постоянный обмен информацией (вертикальный и горизонтальный) по результатам анализа отчетности. Для подготовки отчетности по внутреннему контролю используются различные источники информации.
|
Отчетность о системе внутреннего контроля доступна в текущем режиме и обеспечивает руководство и работников полной и достоверной информацией, позволяя принимать оперативные решения по совершенствованию бизнес-процессов.
|
#_
1 Как правило, уровень существенности для отчетности в целом определяется как 5% от прибыли до налогообложения. При этом для определения существенных счетов может применяться понижающий коэффициент от 50%-75%.
2 Для этого могут быть использованы следующие источники: PCAOB Auditing Standard 5; AICPA AU 314 / SAS 109; Публикации международных аудиторских компаний в области формирования контрольной среды и внедрения контрольных процедур корпоративного уровня
3 При определении структуры компонентов системы внутреннего контроля организация может использовать классификацию, приведенную в Руководстве COSO – Внутренний контроль. Интегрированная модель, или собственную классификацию, которая обеспечивает полноту описания компонентов СВК
4 При анализе полноты набора общих ИТ контрольных процедур следует учитывать особенности существующей практики управления организации, а также могут применяться международные стандарты ISO/IEC 27001/27002, CMMI и методология CobiT.
5 В соответствии с «Практическим руководством по мониторингу системы внутреннего контроля», выпущенным Комиссией Трэдуэя в 2009 году, существует два вида мониторинга СВК:
− Постоянный – текущая или встроенная в функционирование СВК оценка системы внутреннего контроля (integrated activities). Осуществляется менеджментом и ответственными работниками организации.
− Периодический – разовые проверки, проводимые на основе оценки системы внутреннего контроля
6 “COSO - The Committee of Sponsoring Organizations of the Treadway Commission, USA”
7 Комитета спонсорских организаций Комиссии Трэдуэя (англ. The Committee of Sponsoring Organizations of the Treadway Commission, COSO) - является добровольной частной, организацией, созданной в Соединенных Штатах и предназначенной для выработки соответствующих рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчетности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.
8 Элементы (характеристики) внутреннего контроля представлены в разрезе принципов Руководства COSO – Внутренний контроль. Интегрированная модель (май 2013).