Отдел внутреннего контроля
- Нужно ли проводить на предприятиях контрольные мероприятия?
- Как сформировать службу внутреннего контроля?
- Как и для чего разграничивают функции этой службы и других подразделений?
Актуальные для многих компаний задачи — повысить эффективность работы подразделений, свести к минимуму риски, обеспечить достоверность данных финансовой отчетности, соответствие деятельности действующему законодательству. Для их решения на предприятиях создают службы внутреннего контроля (далее — СВК).
Есть разные подходы к формированию службы внутреннего контроля. Одни компании ограничиваются внутренним аудитом, другие создают подразделение по управлению рисками, в обязанности которого входит и внутренний контроль. Каждая компания выбирает подходящий ей вариант. Каким бы он ни был, при его реализации будут полезны наши рекомендации.
- Обратите внимание!
- При формировании СВК важно четко определить функционал службы внутреннего контроля, разграничить его с обязанностями службы безопасности и отдела, контролирующего соблюдение законодательства, и обеспечить взаимодействие этих подразделений.
- Типичные ошибки при формировании СВК:
- в области организации — неверное подчинение, отсутствие подразделений;
- в области функционала — дублирование функций, неисполнение отдельных функций;
- в области кадров — узкая специализация, избыточная численность.
В состав СВК обязательно должны входить:
- аудитор, который, например, будет проверять достоверность отчетности;
- специалист по организационному развитию, оценивающий экономичность и эффективность бизнеса;
- юрист, проверяющий соответствие деятельности действующему законодательству.
Также в состав СВК могут входить так называемый технолог, обязанность которого — обеспечить экономичность и эффективность производственных процессов, и «сыщик», который выявляет виновных.
СВК можно наделить и дополнительной функцией — контроль управленческой эффективности и экономичности.
Руководитель СВК активно участвует в создании СВК, в разработке стратегии службы корпоративной разведки для группы компаний в отношении организационной структуры, материальной части, подбора сотрудников; в обеспечении сохранности активов, в частности в разработке стратегии защиты активов от краж, хищений, мошенничества для каждого подразделения компании.
В целом СВК должна назначаться и подчиняться исключительно совету директоров (в отличие от ревизионной комиссии; табл. 1). Основные функции СВК определяют в положении об управлении систем аудита, работа ведется постоянно.
Чтобы оперативно устранять проблемы, возникающие в процессе финансово-хозяйственной деятельности, СВК должна обладать исключительными полномочиями (издание приказов, распоряжений в системе внутреннего контроля, которые обязаны выполнять все сотрудники компании, в том числе генеральный директор). В связи с этим СВК с позиции организационной структуры должна быть выведена из подчинения проверяемых служб.
При формировании СВК сферу ответственности стоит разделить на основные уровни иерархии организационной структуры компании. Результаты проверок на каждом уровне представляются как непосредственному руководителю проверяемых лиц, так и генеральному директору.
Однако если в процессе проверки выявлены грубые ошибки, которые привели к серьезным финансовым потерям, всю информацию необходимо предоставить Совету директоров, который, в свою очередь, отчитается перед акционерами.
При формировании СВК важно не допустить дублирования функций с другими подразделениями, т. е. не допустить пересечений в функционале с иными службами.
Например, чтобы обеспечить сохранность имущества, внутренние аудиторы отслеживают документальное оформление активов и их движения, чтобы не потерялись данные об имуществе.
В свою очередь, например, служба безопасности обеспечивает сохранность данных активов. При этом работа службы безопасности напрямую связана с борьбой с мошенничеством, т. е.
сомнительными операциями с правовой точки зрения.
М. В. Алтухова, эксперт
Внутренний контроль – насущная необходимость любой компании
Бухгалтерский учет в ближайшие два года – одна из наиболее кардинально реформируемых областей. Так, с 1 января 2013 года вступил в силу новый закон о бухгалтерском учете. Помимо этого, начиная с этого года существенные преобразования ждут ПБУ, а к 2016 году планируется окончательный переход на МСФО.
В 2013 году впервые в системе организации бухгалтерского учета компании появилось понятие внутреннего контроля. Этому роду деятельности посвящена отдельная ст. 19 нового Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (далее – Закон № 402-ФЗ).
Каждый экономический субъект должен осуществлять внутренний контроль совершаемых фактов хозяйственной жизни, а если бухгалтерская (финансовая) отчетность компании подлежит обязательному аудиту, то компания обязана проводить внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности, за исключением тех случаев, когда ее руководитель принял обязанность ведения бухгалтерского учета на себя.
Согласно Плану на 2012-2015 годы по развитию бухгалтерского учета и отчетности в Российской Федерации на основе Международных стандартов финансовой отчетности, утвержденному Приказом Минфина России от 30 ноября 2011 г.
№ 440, Минфин России должен был разработать рекомендации для хозяйствующих субъектов по организации и осуществлению ими внутреннего контроля бухгалтерского учета и составления бухгалтерской отчетности сразу после принятия закона № 402-ФЗ. Однако закон был принят еще в конце 2011 года, а таких рекомендаций на данный момент еще нет.
Однако отсутствие рекомендаций Минфина России не освобождает компании от необходимости организовать внутренний контроль.
Итак, можно говорить, что новый закон обязывает экономические субъекты организовать контроль и проверку не только отчетности, но и ревизию сделок, событий, операций, которые влияют на финансовое положение экономического субъекта, финансовый результат его деятельности и движение денежных средств.
Напомним, какие компании подлежат обязательному аудиту: (ч. 1 ст. 5 Федерального закона от 30 декабря 2008 г. № 307-ФЗ «Об аудиторской деятельности»):
- открытые акционерные общества;
- компании, ценные бумаги которой обращаются на организованных торгах;
- кредитные организации, бюро кредитных историй, профессиональные участники рынка ценных бумаг, страховые организации, клиринговые организации, общества взаимного страхования, организаторы торговли на рынке ценных бумаг, негосударственные пенсионные или иные фонды, акционерные инвестиционные фонды, управляющие компании акционерного инвестиционного фонда, паевые инвестиционные фонды или негосударственные пенсионные фонды (за исключением государственных внебюджетных фондов);
- компании, объем выручки которых от продажи товаров, выполнения работ, оказания услуг превышает 400 млн рублей или сумма активов бухгалтерского баланса которых по состоянию на конец предшествовавшего отчетному года превышает 60 млн рублей за предшествовавший отчетному год (кроме органов государственной власти, органов местного самоуправления, государственных и муниципальных учреждений и унитарных предприятий, а также сельскохозяйственных кооперативов и их союзов);
- организации, представляющие и (или) публикующие сводную (консолидированную) бухгалтерскую (финансовую) отчетность);
- другие компании в случаях, установленных законодательством РФ.
Новый Закон № 402-ФЗ выводит этот вопрос из разряда рекомендуемых на уровень обязательных. Некоторые организации должны были организовать службу внутреннего контроля в рамках других законодательных актов.
Например, компании, осуществляющие операции с денежными средствами или иным имуществом, а именно: кредитные организации, страховые и лизинговые компании, организации федеральной почтовой связи, ломбарды и т.п. (ст. 7 Федерального закона от 7 августа 2001 г.
№ 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» с изменениями). С 2003 года указанные организации должны были разработать правила внутреннего контроля при осуществлении операций с денежными средствами или иным имуществом.
А на основании Постановления Правительства РФ от 30 июня 2012 г. № 667 указанные правила должны были быть приведены в соответствии с новыми требованиями в течение одного месяца.
Давно существуют другие нормативные документы, которые компании должны учесть в процессе организации работы службы внутреннего контроля. Одним из них является Постановление Правительства РФ от 23 сентября 2002 г. № 696 «Об утверждении Федеральных правил (стандартов) аудиторской деятельности» с изменениями.
В стандарте № 8 говорится, что система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Это означает, что организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, которые угрожают достижению любой из поставленных целей.
Организация службы внутреннего контроля в компании На практике может быть несколько вариантов структуры самой службы внутреннего контроля. Может быть организовано отдельное структурное подразделение или выделено должностное лицо для выполнения процедур внутреннего контроля.
Перечень функций и задач, возлагаемых на службу, определяется в локально-нормативном документе – например, в положении или внутренней процедуре.
Также обязанности по осуществлению функций внутреннего контролера должны быть указаны в трудовых договорах и должностных инструкциях работников подразделения.
Но есть и другая возможность – заключить соответствующий договор с контрагентом, который специализируется на оказании услуг внутреннего контроля. Вполне вероятно, что с учетом новых требований аутсорсинговые компании будут предлагать услугу по внутреннему контролю. Какие это будут функции, и в каком объеме они могут осуществляться, определяет договор оказания услуги между контрагентами.
Основные функции службы внутреннего контроля Функции службы внутреннего контроля:
1. Мониторинг эффективности процедур внутреннего контроля.
Постановка необходимых систем бухгалтерского учета и внутреннего контроля входит в обязанности руководства, и этому следует постоянно уделять соответствующее внимание, а на службу внутреннего контроля обычно возлагаются обязанности по проверке этих систем, мониторингу эффективности их функционирования, а также представлению рекомендаций по их усовершенствованию.
2. Исследование финансовой и управленческой информации. Эта функция включает в себя обзорную проверку средств и способов, используемых для сбора, измерения, классификации этой информации и составления отчетности на ее основе, а также специфические запросы в отношении отдельных ее составляющих частей, включая детальное тестирование операций, остатков по счетам бухгалтерского учета и других процедур. 3. Контроль экономности, эффективности и результативности, включая нефинансовые средства контроля проверяемого лица. 4. Контроль за соблюдением законодательства Российской Федерации, нормативных актов и прочих внешних требований, а также внутренних требований руководства. Цели службы внутреннего контроля Главной целью службы внутреннего контроля в отношении работы бухгалтерского подразделения является координация по вопросам постановки бухгалтерского учета, налогового учета и, в отдельных случаях, управленческого учета, обеспечение единого подхода при отражении на счетах бухгалтерского учета, в регистрах налогового учета хозяйственных операций. Проведение внутрисистемного аудита по вопросам соблюдения положений по учетной политике для целей бухгалтерского и налогового учета, исполнения норм законодательства Российской Федерации и внутренних локально-нормативных актов. Осуществление полного контроля за конечными результатами деятельности при соблюдении установленной методологии бухгалтерского и налогового учета. Именно внутренний контроль должен способствовать объединению всей совокупности финансово-хозяйственной деятельности организации в единую систему и обеспечивать ее бесперебойное функционирование. Объем и задачи внутреннего контроля могут различаться в зависимости от структуры проверяемого лица и требований его руководства, а также особенностей деятельности организации.
Краеугольным мероприятием внутреннего контроля является внутренний аудит. Нормативные документы в отношении внешнего обязательного аудита мы можем применить и к организации внутренних контрольных мероприятий.
Более того, в стандарте № 29 «Рассмотрение работы внутреннего аудита», утвержденным Постановлением Правительства РФ от 23 сентября 2002 г. № 696 описаны основы внутреннего аудита. Под ним понимается контрольная деятельность, осуществляемая внутри аудируемого лица его подразделением – службой внутреннего аудита.
Функции службы внутреннего аудита включают мониторинг адекватности и эффективности системы внутреннего контроля.
Внутренний контроль должен рассматриваться не как однократные или периодические мероприятия, а чтобы иметь представление о состоянии дел на каждом участке работы, как постоянные процедуры. Частота проведения повторных аудитов зависит от масштабов организации и количества сотрудников в службе внутреннего контроля.
Можно выделить предварительный, текущий и последующий виды контроля, что означает соблюдение непрерывности процесса аудита. Предварительный контроль осуществляется до начала совершения хозяйственной операции.
Он предполагает экспертизу будущих результатов, которые ожидаются от свершения таких операций, предупреждение нарушений.
При текущем контроле происходит отслеживание совершаемых хозяйственных операций. Он осуществляется на всех стадиях движения денежных средств компании.
Последующий контроль проводится по итогам совершения хозяйственных операций. Он осуществляется путем проверки бухгалтерских документов, регистров и отчетности. При текущем и последующем контроле выявляются допущенные нарушения и принимаются меры к их устранению.
Во время проведения внутреннего контроля проверяемые обязательно уделяют внимание следующим моментам:
- Соблюдается ли действующее законодательство РФ, локально-нормативные акты, организационно-распорядительные документы, учетные политики по бухгалтерскому и налоговому учету.
- Правильно и своевременно ли отражены все хозяйственные операции на счетах бухгалтерского учета и в налоговых регистрах.
- В полном размере и правильно ли документально оформлены хозяйственные операции.
- Правильно ли отражены в бухгалтерском и налоговом учете доходы и расходы.
- Обеспечена ли сохранность всех активов организации.
- Правильно ли составлена бухгалтерская, налоговая и статистическая отчетность организации.
По результатам проведения внутреннего контроля оформляется отчет.
В нем по каждому объекту проверки приводится описание выявленных недочетов и нарушений в процессе ведения бухгалтерского и налогового учета, даются рекомендации по порядку исправления ошибок и устранению недочетов, указывают сроки, в течение которых эти ошибки должны быть исправлены.
Отчет, составленный по результатам внутреннего аудита, может быть использован при проведении обязательного аудита бухгалтерской (финансовой) отчетности, если внешний аудитор будет уверен в эффективной организации системы внутреннего контроля.
Различают плановый и внеплановый контроль. При плановых проверках составляется график их проведения. В него включаются участки учета, подлежащие проверке, начальные и конечные даты ее проведения, срок написания отчета по проверке, ответственные лица за ее проведение, методы проверки.
График доводится до всех заинтересованных лиц. При внеплановых проверках контролируются участки учета, в отношении которых есть информация о возможных нарушениях и злоупотреблениях.
Инициируется такая проверка, как правило, Приказом руководителя организации, с указанием предпосылок проведения внеплановой проверки.
А уже на основании отчета разрабатывается график мероприятий по устранению выявленных недостатков и нарушений, назначаются сроки и ответственные лица. Причем проверка соблюдения данного графика также возлагается на службу внутреннего контроля.
Для организации эффективного внутреннего контроля крайне важно обеспечить его проведение методологически. Все инструменты, сроки, документация, особенности выборки должны быть отражены во внутреннем регламентирующем документе – стандарте проведения аудиторской проверки.
Результаты контроля служат предпосылкой для проведения других мероприятий внутреннего контроля: обучения сотрудников, консультационной поддержке и т.п.
Консультация и тренинг – инструменты службы внутреннего контроля Оказание методологической и консультационной помощи сотрудникам бухгалтерской службы по разным направлениям учета, по вопросам постановки бухгалтерского и налогового учета, обеспечение единого подхода к отражению хозяйственных операций на счетах бухгалтерского учета является одним из инструментов контроля, ведь сотрудник службы внутреннего контроля анализирует ситуацию и предоставляет готовое решение по спорному вопросу. Консультационная поддержка сотрудников требует определенной регламентации. Поступающие от бухгалтеров запросы необходимо фиксировать и анализировать для принятия дальнейших решений. При проведении аудиторских мероприятий в первую очередь стоит обратить внимание на запросы из разряда рисковых и сложных, также они послужат материалом для проведения обучающих мероприятий.
Таким образом, еще одним инструментом службы внутреннего контроля является обучение сотрудников бухгалтерской службы.
Целью проведения обучающих мероприятий является своевременное ознакомление сотрудников с изменениями в законодательстве, с новыми процедурами работы, обсуждение систематических ошибок или проблем, возникших в процессе ведения бухгалтерского и налогового учета, разрешение спорных вопросов.
К еще одному инструменту контроля можно отнести участие сотрудников службы внутреннего контроля в проведении инвентаризации имущества и прочих активов организации, в качестве членов инвентаризационной комиссии.
Целью такого мероприятия является осуществление контроля за рациональным использованием и сохранностью имущества организации, выявление фактического наличия имущества, сопоставление фактических данных с данными бухгалтерского учета, определения порядка отражения результатов инвентаризации в бухгалтерском и налоговом учете.
Служба внутреннего контроля может привлекаться к участию в налоговых проверках для предоставления устных и письменных пояснений в ходе проверки, а по ее окончании принимать непосредственное участие в подготовке возражений по акту проверки.
Из всего вышесказанного становится понятно, что сотрудники службы внутреннего контроля должны обладать обширными знаниями и хорошо ориентироваться в бухгалтерском, налоговом, гражданском и трудовом законодательствах. Они должны постоянно поддерживать высокий уровень своих профессиональных знаний и умений. И это тоже должна учитывать компании при организации работы сотрудников службы внутреннего контроля.
Процедуры отдела внутреннего контроля
- }}}
- Ключевые слова: внутренний контроль, документарное оформления хозяйственных операций, санкционирования операций и сделок, разграничение полномочий и ротации обязанностей, процедуры подтверждение соответствия между объектами, сверка данных, процедуры внутреннего контроля
- Процедура подтверждение соответствия между объектами (документами) или их соответствие установленным требованиям осуществляется с помощью формального метода проверки, что включает анализ/проверку документов на соблюдение правил их составления, на правильность расчетов, на соответствие отраженным операциям и установленным нормативам.
Для каждого типа процедур представлены примеры операций, источники данных и нормативная база для их реализации (Пример 1. Рисунок 1).
Пример 1
Процедуры контроля фактического наличия и состояния объектов проводится путем обеспечения физической охраны, ограничения доступа к ценностям, инвентаризации.
Процедура направлена, прежде всего, на снижение риска утери имущества в результате хищений, риск неправильной оценки морального и физического износа имущества, риска того, что пояснения относительно объектов учета, которые даны в отчетности для пользователя, не соответствуют действительности, риска того, что не всё имеющееся имущество отражено в бухгалтерском учете и отчетности.
- Физическая охрана — комплекс мер, направленных на обеспечение безопасности функционирования объекта, сохранности его материального имущества, защиту жизни и здоровья его персонала.
- Физическая охрана объектов, как правило, начинается с проведения проверки объекта на предмет возможных рисков и угроз, путей их предотвращения и продумывание наиболее эффективной и рациональной системы обеспечения безопасности.
- Физическая охрана объекта — осуществление безопасности и слежение за обстановкой на охраняемой территории при помощи непосредственного присутствия сотрудников охраны. Задачи физической охраны:
- ‒ Контроль пропускного режима
- ‒ Досмотр автотранспорта
- ‒ Предотвращение кражи «на рывок»
- ‒ Обход объекта и прилегающей территории
- ‒ Мониторинг системы видеонаблюдения
- ‒ Слежение за посетителями, сотрудниками предприятий
- ‒ Охрана материальных ценностей, находящихся в свободном доступе
- ‒ Принятие первичных мер по устранению технических аварий и возгораний
- ‒ Предотвращение несанкционированного доступа
- ‒ Повышение и поддержание высокого статуса объекта/предприятия
- Ограничение доступа — может быть сформировано в качестве информационной системы (когда вход в систему ограничивается по должностному уровню, по наличию определенных данных логин/пароль/запрограммированный ключ/электронная цифровая подпись), также может существовать в рамках физической охраны, когда допуск в архив, например, возможен только при наличии доверенности.
Инвентаризация — это проверка наличия имущества организации и состояния её финансовых обязательств на определённую дату путём сличения фактических данных с данными бухгалтерского учёта. Это основной способ фактического контроля за сохранностью имущественных ценностей и средств.
Инвентаризация может быть проведена как сотрудником отдела, например бухгалтером, так и сформированной из сотрудников, разных отделов — инвентаризационной комиссией (например, Бухгалтер, Заведующий складом, Специалист отдела продаж), также возможно, что процедура будет проведена специалистом отдела внутреннего контроля, если такой отдел предусмотрен в организационной структуре компании.
Рассмотрим нормативные документы, регламентирующие случаи и порядок проведения инвентаризации:
‒ Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
Как службы внутреннего контроля помогают инвесткомпаниям и их клиентам | РБК Тренды
Какие задачи в инвесткомпаниях решают службы внутреннего контроля, зачем их усиливать во время кризиса и что это дает клиентам — рассказала Татьяна Хмелевская из холдинга «БКС Мир инвестиций»
Об эксперте: Татьяна Хмелевская, заместитель президента — председателя правления по внутреннему аудиту и контролю финансового холдинга «БКС Мир инвестиций».
Внутренний контроль и аудит в компаниях позволяет оценивать, насколько эффективно и правильно работают ключевые процессы в организации — от управления до документооборота. Как правило, службы внутреннего контроля и аудита анализируют три основных аспекта:
- эффективность деятельности компании и ее разных подразделений;
- достоверность отчетности, прежде всего финансовой;
- соблюдение законов и разного рода нормативных актов.
— Прошлый год был предельно сложным для всего инвестиционного рынка. Что помогало компаниям справиться с ситуацией?
— Мы находились в состоянии неопределенности. В такой ситуации многое зависит от команды управленцев и того, насколько они способны принимать грамотные, эффективные решения, иногда даже интуитивные. Когда очень много неизвестных, ты вынужден отчасти полагаться на интуицию. Это приходит только с большим опытом.
Очень важна была проактивная стратегия. Например, многие компании впоследствии столкнулись с проблемой блокировки активов. Те, кто быстро успел среагировать, смогли перевести активы в правильное место хранения.
Четко структурированная и надежная система риск-менеджмента также помогала быстрее реагировать на изменения внешней среды, подстраиваться под новые реалии. Все это работало в комплексе.
— Может ли клиент со стороны определить, устойчива ли инвесткомпания к внешним шокам?
— Конечно, может. Прежде всего стоит изучить репутацию компании. Всегда можно ознакомиться с отзывами других клиентов, с историей, новостями, сейчас все есть в интернете. Главное — принимать во внимание не «желтые» ресурсы, а подтвержденные факты. Думаю, это первое, что делает человек, выбирая инвесткомпанию, — изучает, что о ней есть интересного в доступных информационных источниках.
Стоит обратить внимание на финансовые показатели — баланс, капитализацию, уровень долга, ликвидность, финансовые результаты.
Нужно понимать и квалификацию управляющей команды — кто стоит у руля, насколько эти люди опытные, в каких профессиональных сообществах участвуют, какая у них репутация.
Также клиенты могут оценить, эффективна ли система управления рисками в компании. И исходя из этого сориентироваться, стоит ли этой организации доверять.
Возможные ошибки и баланс рисков
— Как оценить извне, насколько хорошо работает управление рисками в инвесткомпании?
— Обратить внимание на репутацию, историю, ознакомиться с новостями — об этом я уже упоминала.
Если у компании были какие-то серьезные потери, имеется существенная просроченная задолженность и прочие проблемы, все это может говорить нам о неэффективности системы управления рисками, потому что она позволила появиться проблемам, о которых клиент узнал из интернета. Повторюсь, факты должны быть подтвержденными.
Также можно оценить, насколько компания открыта для вопросов и готова предоставить информацию о своей системе управления рисками.
Опять же, квалификация персонала в области управления рисками, их репутация на рынке.
— Получается, все должно быть гладко? Но ведь так не бывает.
— Конечно, не бывает. Чем больше компания, тем выше вероятность тех или иных операционных ошибок. Это нормально: все ошибаются. Но в том и состоит наша задача, чтобы минимизировать риски возникновения самых разных ошибок и недостатков. В итоге это оказывает большое влияние не только на устойчивость бизнеса, но и на качество обслуживания клиентов.
Крупные инвестдома стараются выстроить сильную систему внутреннего контроля и риск-менеджмента, чтобы эффективно управлять рисками и находить баланс между ними и бизнесом. И если компания хочет успешно развиваться в долгосрочной перспективе, то она будет выделять значительное количество ресурсов для развития этого направления. Именно это делает БКС.
— Как должна выглядеть эффективная система внутреннего контроля и управления рисками?
— Система внутреннего контроля представляет собой трехуровневую защиту бизнеса.
Первая линия — владелец любого процесса в компании и все, кто в нем участвуют. Они обеспечивают безопасность и управление рисками внутри этого процесса.
Вторая линия защиты состоит из служб внутреннего контроля, риск-менеджмента и других контрольных подразделений. Эти подразделения разрабатывают концепции управления рисками и постоянно мониторят, насколько качественно владелец процесса этими рисками управляет.
Третья линия защиты — внутренний аудит, который анализирует эффективность работы первой и второй линий и системы управления рисками в целом. И если все три линии гармонично взаимодействуют между собой, понимают цели компании и помогают их достигать, тогда систему внутреннего контроля можно назвать эффективной.
— Какие основные сложности есть в работе систем внутреннего контроля и аудита?
— Эти сложности особенно ярко проявляются в период турбулентности. И здесь важно не просто оперативно реагировать на ситуацию, а стараться предугадывать, прогнозировать потенциальные риски. Да, такое возможно не всегда, «черных лебедей» никто не отменял. Но мы делаем все, чтобы держать руку на пульсе и думать на много шагов вперед.
Например, начиная с конца февраля прошлого года службы внутреннего контроля и аудита координировали подразделения в условиях новых требований регулятора, которые за несколько дней изменили всю работу профучастников.
У всех подразделений возникали вопросы, как осуществлять свою деятельность в текущих условиях, чтобы соответствовать букве закона, минимизировать потери клиентов и компании. Приходилось пересматривать все основные процессы почти каждый день и часто буквально за несколько часов продумывать новые стратегии.
Ежедневный аудит и помощь от ИИ
— Как меняется роль контрольных служб в кризисные периоды?
— Она неизбежно усиливается, потому что во время кризисов мы сталкиваемся с новыми рисками и вызовами со стороны внешней среды. А внутренний контроль и аудит должны ими эффективно управлять и быстро к ним адаптироваться.
— Как такое усиление выглядит на практике?
— В 2022 году мы выделили наиболее критичные процессы внутри компании, которые, по нашему мнению, нужно было аудировать постоянно. И настроили онлайн-аудит — его мы делаем каждый день.
Программа все проверяет, а люди анализируют результаты этой проверки.
Таким образом, нам не потребовалось увеличивать штат сотрудников, мы добились хорошего результата через автоматизацию контроля и продолжим усиливать это направление.
— Какие процессы потребовали аудита в ежедневном режиме?
— Как я уже отметила, с прошлого года у нас очень сильно поменялось нормативное регулирование инвестиционной сферы.
Мы понимали, что не можем привлечь столько человеческого ресурса, сколько бы требовалось для выполнения всех новых задач в ручном режиме. Да и, наверное, неэффективно было бы отслеживать все вручную.
Поэтому мы решили максимально все автоматизировать и настроить систему, которая позволяет соответствовать новым требованиям и снизить риски нарушения нормативных актов.
Кроме того, во внутреннем контроле у нас уже несколько лет функционирует система искусственного интеллекта. В прошлом году мы ее доработали, модернизировали, обучили. И сейчас она покрывает огромный блок, связанный в том числе с регуляторной частью.
— Насколько высоким должен быть уровень автоматизации?
— Я вообще за то, чтобы внутренний контроль был максимально автоматизирован.
Это повышает его эффективность и, главное, дает клиентам уверенность, что компания четко выполняет все законодательные требования, а интересы инвесторов находятся под надежной защитой.
Потому что мы аудируем процессы не только с точки зрения устойчивости и эффективности нашего бизнеса, но и смотрим, насколько соблюдаются интересы наших клиентов. Это очень важный момент.
Будущее риск-менеджмента и кризис без потерь
— Как вы думаете, усиление систем внутреннего контроля и аудита на рынке временное или их роль продолжит расти?
— Это точно не временное явление. Еще три года назад большинство брокеров, управляющих компаний не имели служб внутреннего аудита, поскольку это было необязательным на уровне закона.
У финансового холдинга БКС такая служба была уже давно, для нашего акционера это важно. Но на рынке это считалось необязательным.
А в конце 2020 года требование о наличии функции внутреннего аудита появилось в законе.
Кризисные явления тоже повлияли на ситуацию. Сначала была пандемия, потом события 2022 года. Все это привело к тому, что бизнес стал больше внимания уделять системам внутреннего контроля и аудита. Участники рынка поняли, насколько эти службы важны и нужны. Поэтому их роль будет только расти.
— У российского инвестрынка достаточно большой опыт прохождения кризисов. Извлекли ли компании какие-то новые уроки именно из 2022 года?
— Мы действительно пережили очень много кризисов: в июне БКС исполнилось 28 лет, это очень серьезный опыт. Конечно, из каждого кризиса мы извлекаем определенные уроки.
В 2022-м мы видели, насколько важно в ежедневном режиме поддерживать клиентов, и очень много ресурсов направили на совершенствование клиентского сервиса.
Нагрузка на наши системы возросла колоссально. Тем не менее я считаю, что мы хорошо справились и в техническом, и в управленческом плане. В частности, в несколько раз увеличили пропускную способность критически важных систем.
Также мы стремимся к тому, чтобы клиенты в максимально сжатые сроки получали исчерпывающие ответы на все свои вопросы. Более того, во многом мы эти вопросы предвосхищаем, выстраивая эффективные коммуникации по всевозможным каналам, включая наше интернет-издание «БКС Экспресс», ежедневные выпуски программ на нашем канале в YouTube.
Наш контент смотрят и слушают ежемесячно около 1,5 млн пользователей. Мы запустили социальную сеть «Профит», где инвесторы могут общаться с аналитиками и между собой. Качественная экспертиза в текущее время важна для клиентов как никогда.
Все это сильно помогло снизить общую тревожность инвесторов из-за возникшей на рынках турбулентности.
Мы достаточно хорошо вышли из последнего кризиса, но понимаем, что нет предела совершенству. Поэтому будем и дальше улучшать систему риск-менеджмента и внутреннего контроля в целом. Это позволяет проходить встряски без существенных потерь.
— Каким образом система риск-менеджмента будет совершенствоваться?
— Прежде всего через усиление автоматизации всех контрольных систем. Это позволит быстрее прогнозировать какие-то вещи, обрабатывать огромные массивы информации и оперативно давать бизнесу всю картину. Я уверена, что в автоматизацию контрольных служб нужно вкладываться, и наш акционер поддерживает такую работу.
Внутренний контроль
Механизмы внутреннего контроля могут быть:
Обязательными или добровольными:
Обязательные механизмы контроля – это те, которым необходимо следовать вне зависимости от обстоятельств.
Как правило, они касаются предотвращения случаев нарушения закона или политик организации, а также минимизации угроз жизни и здоровью.
Добровольные же механизмы контроля применяются в зависимости от суждения организации или её менеджеров.
Применяемыми по усмотрению или применяемыми всегда:
В некоторых случаях менеджерам может быть предоставлена возможность выбора – применять ли конкретный механизм контроля – в зависимости от субъективной оценки риска. Если такого права у менеджера нет, то контрольный механизм должен применяться всегда.
Ручными или автоматизированными:
Ручные механизмы контроля применяются конкретными сотрудниками, а автоматизированные заранее запрограммированы в системах организации. Некоторые системы сочетают оба вида.
Например, при вынесении решения о возможности отсрочки платежа система может предлагать менеджеру по продажам такие варианты: автоматическое «отклонить» для покупателей с низким кредитным рейтингом, автоматическое «предоставить» для покупателей с высоким кредитным рейтингом, и дать менеджеру сделать выбор самостоятельно, если кредитный рейтинг покупателя средний.
Общими или прикладными:
Эта классификация механизмов контроля относится только к информационным системам.
Общие механизмы контроля обеспечивают надёжность данных, которые генерируют системы, и помогают добиться того, чтобы они в целом работали в соответствии с их предназначением.
Прикладные – это автоматические механизмы контроля, встроенные в информационные системы и предназначенные обеспечить полную и правильную фиксацию данных от момента ввода до вывода.
Распространённые контрольные процедуры
Физические инструменты контроля:
К таким контрольным инструментам относятся способы ограничения доступа в здания, конкретные офисы или к фабричному оборудованию: турникеты на входе, карты доступа или пароли. Прикрутить оборудование к полу чтобы сделать невозможным его вынос – это тоже из разряда физических инструментов контроля.
Доверенности и лимиты на авторизацию:
Большинство сотрудников имеют суммовые ограничения при принятии решений. Например, младший менеджер при организации собственной командировки не может самостоятельно приобретать авиабилеты стоимостью свыше $500, и при необходимости превысить этот порог должен получить одобрение более старшего менеджера.
Разделение полномочий:
Чтобы снизить риск ошибок и мошенничества, обязанности, связанные с денежной наличностью, часто разделены. Например, если бизнес-процесс компании предусматривает получение наличных денег по почте, то вскрытие конвертов в почтовой комнате и запись прихода будут осуществляться разными сотрудниками.
Разделение полномочий уместно и в других областях бизнеса. Например, должности председателя совета директоров и главного исполнительного директора занимают разные люди. Подразделение внутреннего аудита должно быть полностью отделено от финансового департамента с прямым подчинением либо совету директоров, либо комитету по аудиту.
Управленческие инструменты контроля:
Это инструменты, которые находятся в руках менеджеров. Например – анализ отклонений, с помощью которого менеджер, исполняя свои непосредственные должностные обязанности, определяет причины различий между планом и фактом. Управление результатами деятельности подчинённых – это тоже неотъемлемая часть многих управленческих должностей.
Если двигаться ниже по вертикали управления, то на уровне ежедневных операций регулярно выполняются управленческие процедуры надзора. Механизмы контроля, в целом заложенные в организационную структуру компании и её линии соподчинения, называют организационными процедурами контроля.
Арифметические и учётные инструменты контроля:
Сюда относятся такие контрольные процедуры, как различного рода сверки и оборотно-сальдовые ведомости. Их задача – удостовериться в том, что транзакции записаны и учтены с должной достоверностью.
Процедуры контроля, связанные с управлением персоналом:
Все аспекты управления персоналом пронизаны процедурами контроля. Это и проверка квалификации претендентов, и верификация рекомендаций, и проверка потенциальных сотрудников на предмет криминального прошлого или профессиональная переаттестация уже работающих сотрудников.
Внутренняя проверка
Внутренняя проверка – это такая система организации бухгалтерских процедур в организации, в результате которой ни одна бухгалтерская операция не находится под полным и независимым контролем какого-либо одного лица. Обязанности одного сотрудника должны таким образом дополнять обязанности другого, чтобы, по сути, осуществлять непрерывный аудит бизнес-операций.
- Необходимые элементы внутренней проверки такие:
- • проверке подвергаются ежедневные операции,
• проверки осуществляются постоянно как часть системы, - • работа одного сотрудника является смежной для работы другого.
- Если распределить обязанности между сотрудниками таким образом, то никто по отдельности не получает полного контроля над какой-либо операцией.
Внутренний аудит
Определение и цель внутреннего аудита
Внутренний аудит можно определить как независимое структурное подразделение, созданное внутри организации с целью проверки и оценки её деятельности.
Внутренний аудит позволяет руководству компании более эффективно исполнять свои функции.
То есть внутренний аудит снабжает руководство анализом, оценками, рекомендациями, советами и в целом информацией об изученных им областях и процессах организации.
Задачи внутреннего аудита
Формальный список задач внутреннего аудита может включать все или несколько пунктов из следующего списка:
- обзор учётных систем и систем внутреннего контроля,
- проверка финансовой и операционной информации,
- оценка «трёх E»: эффективности, экономичности и результативности,
- оценка соответствия законодательству и нормам регулирования,
- обзор мер по обеспечению сохранности активов,
- проверка показателей, измеряющих достижение корпоративных целей,
- определение значительных рисков, угрожающих организации, и мониторинг политики по управлению рисками,
- проведение специальных расследований по мере необходимости.
Зачем нужен внутренний аудит?
Важность внутреннего аудита была отмечена ещё в докладе Тернбулла.
В нём указано, что те публичные компании, в которых по каким-либо причинам нет специального подразделения внутреннего аудита, должны как минимум раз в год рассматривать вопрос о необходимости его создания.
Одновременно с этим те публичные компании, в которых подразделения внутреннего аудита уже есть, должны не реже раза в год обращаться к вопросу о его полномочиях, сфере применения и обеспеченности ресурсами.
Согласно докладу Тенрбулла потребность в отдельном подразделении внутреннего аудита зависит от ряда факторов:
- масштаб, разнообразие и сложность процессов организации,
- количество сотрудников – потребность в специальном внутреннем аудите возрастает по мере роста числа сотрудников и/или по мере того, как взаимодействие между сотрудниками становится более сложным,
- баланс между выгодами от отдельного подразделения внутреннего аудита и издержками на его создание и функционирование,
- изменений организационных структур, процессов и основных информационных систем,
- природы рисков организации и их изменения, а также возникновения новых рисков,
- проблем с функционированием систем внутреннего контроля, как реальных, так и предполагаемых,
- появления или увеличения частоты необъяснимых или неприемлемых событий.
Внутренний аудит и внутренний контроль
Внутренний аудит – это внутренняя, но независимая оценочная функция.
Хотя сотрудники службы внутреннего аудита и являются, как правило, сотрудниками компании, они должны работать независимо от руководства, чтобы их анализ, суждения и рекомендации оставались как можно более беспристрастными.
Глава подразделения внутреннего аудита должен подчиняться напрямую либо совету директоров, либо комитету по аудиту. Некоторые организации заходят настолько далеко, что передают функционал внутреннего аудита внешним профессиональным фирмам.
Внутренняя аудиторская проверка – это оценка системы внутреннего контроля, и, по сути, сама по себе является инструментом управленческого контроля, позволяющая оценить соответствие внутреннего контроля заданным стандартам.
Ключевые риски:
Внутренний аудит проверяет и оценивает состояние системы внутреннего контроля в зависимости от ключевых рисков, затрагивающих организацию.
Цель заключается в том, чтобы проверить, насколько имеющиеся инструменты контроля позволят нивелировать риск, если он материализуется.
Заключения и рекомендации соответствующих отчётов внутреннего аудита должны помочь руководству критически оценить имеющиеся инструменты контроля и, если нужно, пересмотреть их дизайн.
Финансовая и операционная информация:
Внутренний аудит может проверить эту информацию на предмет её правильности, своевременности и применимости. Специальное тестирование позволяет оценить, насколько информация правильно отражает то, что она должна отражать, и насколько она подходит в качестве основы для принятия решений руководством и прочими заинтересованными сторонами.
Соответствие законодательству и прочим нормам:
В настоящее время всё больше организаций сталкиваются с необходимостью внедрения стандартов соответствия законодательству и иным нормам.
Это может быть продиктовано необходимостью соответствовать как требованию закона, так и другим, зачастую внутренним, стандартам. Внутренний аудит помогает оценить, насколько такое соответствие действительно имеет место.
В этом отношении фронт работ внутреннего аудита только расширяется по мере того, как организациям приходится соответствовать не только профессиональным или отраслевым стандартам, но и стандартам в области охраны окружающей среды.
Виды внутреннего аудита
В ходе исполнения своих обязанностей внутренние аудиторы могут столкнуться с необходимостью проводить разные виды аудита.
Операционный аудит – это проверка эффективности организационных процессов. Это оценка реальной деятельности компании по сравнению с заранее заданными параметрами.
Системный аудит проверяет, насколько правильной является информация, получаемая из информационных систем организации. Тесты на соответствие проверяют, насколько правильно применяются механизмы контроля. Тесты по существу призваны убедиться в правильности сумм, и их можно использовать для того, чтобы найти в системах ошибки и упущения.
Аудит транзакций или антикоррупционный аудит призван выявить мошенничество или другие незаконные или преступные действия.
Однако его сферу можно расширить, включив проверку на непредвзятость, прозрачность и справедливость принимаемых организацией решений – тех областей, которые часто относят к социальному аудиту, который в целом может включать в себя любые аспекты корпоративного управления.