Standarde. Standarde Model integrat de control intern

Comitetul organizațiilor care sponsorizează comisia treadway (COSO) a dezvoltat un model comun de control intern în funcție de care companiile și organizațiile, inclusiv băncile, își pot evalua propriile sisteme de guvernanță. COSO a fost înființată în 1985. susținut de Comisia Națională pentru Frauda de Raportare Financiară (Comisia Treadway).

Modelul COSO definește controlul intern al unei organizații ca proces desfășurat de consiliul de administrație, conducerea de vârf și alt personal al organizației, menit să ofere „asigurare rezonabilă” cu privire la atingerea obiectivelor din următoarele categorii:

• eficienta si productivitatea operatiunilor;
• fiabilitatea raportării financiare;
• respectarea legilor și reglementărilor.

Modelul de control intern COSO include mai multe concepte cheie:

controlul intern este un proces. Este un mijloc pentru un scop, nu un scop în sine;

controlul intern depinde de oameni. Reprezintă nu numai politici și forme de conducere, ci și oameni de la toate nivelurile companiei;

controlul intern poate oferi conducerii și consiliului de administrație al companiei doar suficientă încredere, dar nu și garanții absolute;

controlul intern urmărește atingerea obiectivelor în una sau mai multe categorii separate, dar care se suprapun.

Esența modelului COSO poate fi exprimată astfel: gestionați atunci când riscul este evaluat și gestionat.

Elementele de control intern conform sistemului COSO includ (Tabelul 1):

1) mediul de control;
2) evaluarea riscurilor;
3) măsuri de control;
4) colectarea și analiza informațiilor, precum și transferul acestora la destinație;
5) monitorizare și corectare a erorilor.

Tabelul 1. Componentele sistemului de control intern

Componentă	Descriere	Elemente principale
Mediul de control	Conștientizarea și acțiunile reprezentanților proprietarului și conducerii cu privire la sistemul de control intern al organizației, precum și o înțelegere a semnificației unui astfel de sistem pentru activitățile acestei organizații	- seriozitate, onestitate și moralitate; - competență; - filozofie si stil de management; - structura organizationala; - repartizarea drepturilor și obligațiilor; - Politica si practica de personal.
Evaluare a riscurilor	Identificarea si evaluarea posibilelor riscuri in intocmirea situatiilor financiare	- modificări ale legislației; - modificari ale conditiilor de afaceri; - evaluarea consecintelor.
Informații și rețele	Asigurați-vă că personalul înțelege rolul participării lor la procesul de întocmire a situațiilor financiare (contabile).	- inregistrarea, prelucrarea, sinteza si prezentarea operatiunilor organizatiilor; - repartizarea sarcinilor; - Furnizarea de informații managerilor de diferite niveluri.
Proceduri de control	Furnizați politici și proceduri care vă ajută să vă asigurați că instrucțiunile managementului sunt respectate	- verificarea executării comenzii (rapoarte); - procesarea datelor; - verificarea prezenței și stării obiectelor; - repartizarea sarcinilor.
Monitorizarea	Monitorizează dacă controalele funcționează corect. Este procesul de evaluare a funcționării efective a sistemului de control intern în timp	- monitorizare continua; - control periodic.

Modelul include opt componente:

mediu intern. Mediul intern este atmosfera din organizație și determină modul în care riscul este perceput de către angajații organizației și modul în care aceștia reacționează la acesta. Mediul intern include filosofia managementului riscului și apetitul pentru risc, integritatea și valorile etice, precum și mediul în care acestea există;

stabilirea obiectivelor. Obiectivele trebuie definite înainte ca managementul să înceapă să identifice evenimentele care le pot afecta realizarea. Procesul de management al riscului oferă o asigurare rezonabilă că conducerea companiei are un proces organizat corespunzător pentru selectarea și stabilirea obiectivelor și că acestea corespund misiunii organizației și nivelului apetitului său pentru risc;

identificarea evenimentului. Evenimentele interne și externe care afectează realizarea obiectivelor organizației trebuie determinate ținând cont de separarea lor în riscuri sau oportunități. Oportunitățile ar trebui să fie luate în considerare de către management în procesul de formulare a strategiei și de stabilire a obiectivelor;

evaluare a riscurilor. Riscurile sunt analizate în funcție de probabilitatea lor de apariție și impact pentru a determina ce acțiuni trebuie întreprinse în legătură cu acestea. Riscurile sunt evaluate în termeni de risc inerent și rezidual;

răspuns la risc. Conducerea alege o metodă de răspuns la risc - evitarea riscului, acceptarea, reducerea sau redistribuirea riscului - prin dezvoltarea unui set de măsuri care să permită ca riscul identificat să fie aliniat cu nivelul acceptabil de risc și cu apetitul pentru risc al organizației;

activitati de control. Politicile și procedurile sunt concepute și stabilite astfel încât să ofere o asigurare rezonabilă că răspunsul la riscul emergent este eficient și în timp util;

informatie si comunicare. Informațiile necesare sunt determinate, înregistrate și comunicate într-o astfel de formă și în astfel de intervale de timp care să permită angajaților să le îndeplinească. responsabilități funcționale. Există, de asemenea, un schimb eficient de informații în cadrul organizației atât pe verticală de sus în jos și de jos în sus, cât și pe orizontală;

monitorizarea. Întregul proces de management al riscului al organizației este monitorizat și ajustat după cum este necesar. Monitorizarea se realizează ca parte a activităților de management în curs sau prin evaluări periodice.

Rezumând, observăm că:

COSO acordă o mare importanță mediului intern.

COSO pune un accent mult mai mare pe monitorizarea controalelor interne ca formă de urmărire. Monitorizarea este unul dintre elementele principale ale modelului COSO.

La COSO se acordă o mare importanță activității Consiliului de Administrație.

Literatură:

1. Kakovkina T.V. Sistemul de control intern ca mijloc de identificare a riscurilor organizatiei // Contabilitate internationala. 2014, №36
2. Kalacheva O.N. Probleme de control intern în organizațiile întreprinderilor mici și mijlocii // Auditor. 2015, №10
3. Krainova V.V. Fundamentarea direcțiilor pentru dezvoltarea controlului intern în organizațiile de transport pe apă interioară // Contabilitate Internațională. 2014, №46
4. Koske M.S., Mishuchkova Yu.G., Voyutskaya I.V. Controlul intern ca functie de munca a contabilului-sef // International Accounting. 2015, №6
5. Puchkova A.O. Necesitatea evaluării sistemului de control intern și a elementelor acestuia în timpul auditului // Auditorskie Vedomosti. 2012. №1/2
6. Pashkov R. Monitorizarea sistemului de control intern // Contabilitate si banci. 2015. №1
7. Yanova Ya.Yu. Conceptul de control intern orientat spre risc - un ideal pentru a depune eforturi pentru // Controlul intern într-o instituție de credit. 2014. №4
8. Control intern - cadru integrat (2013)

Conceptul COSO „Managementul riscului organizației. Integrare cu strategie și performanță” (COSO ERM) 2017 în limba rusă a fost pusă în vânzare în librăria online TOTbook.ru. Este disponibil la link-ul: https://totbook.ru/catalog/345/1136970/

Conceptul COSO ERM constă din 3 cărți:

1. Cartea principală (110 pagini)

2. Aplicații (30 de pagini)

3. rezumat(10 pagini)

Conceptul COSO ERM urmărește creșterea relației dintre risc, strategie și valoarea companiei. Ea ia în considerare riscul în ceea ce privește rolul său în luarea deciziilor strategice care afectează în cele din urmă performanța organizației în ansamblu. Prima parte a cărții de bază oferă o privire de ansamblu asupra conceptelor și aplicațiilor actuale și în evoluție ale managementului riscului organizațional. A doua parte a cărții de bază, Cadrul conceptual, are cinci componente care iau în considerare diferite perspective și structuri operaționale și ajută la îmbunătățirea strategiei și a procesului decizional.

Dreptul exclusiv de a publica și distribui (numai pe hârtie) Conceptul COSO „Managing Organizational Risks. Integrare cu strategie și performanță” (COSO ERM) 2017 aparține Institutului Auditorilor Interni. Lansarea acestei publicații și traducerea textului în limba rusă au fost realizate cu sprijinul Deloitte, CIS.

starea documentului: materiale pentru întâlnirea CPT

organizație de dezvoltatori: PJSC Megafon

Precizare X/2013

„Organizarea sistemului de control intern”

1. Dispoziții generale

1.1 Prezenta Politică definește procedura de organizare și funcționare a sistemului de control intern (denumit în continuare ICS) în Companie, inclusiv descrierea scopului și sarcinile ICS, precum și rolurile și responsabilitățile subiecților săi.

1.2 Această politică a fost elaborată ținând cont de cerințele și recomandările:

• legislatia actuala Federația Rusă(inclusiv art. 19 din Legea nr. 402-FZ „Cu privire la contabilitate”);
• intern documente normative Societate;
• Codul de conduită corporativă al Serviciului Federal de Piețe Financiare al Federației Ruse;
• conducerea Comitetului organizațiilor de sponsorizare a Comisiei Treadway „Control intern. Model integrat” (1992).

2. Definirea si obiectivele controlului intern

2.1 Control intern este un proces continuu desfășurat de toți angajații și conducerea Companiei la toate nivelurile de conducere, având ca scop asigurarea condițiilor pentru atingerea obiectivelor Companiei în următoarele domenii:

• eficienţa şi eficacitatea financiară activitate economică Societate;
• siguranța activelor;
• conformitatea cu cerințele legale, reglementările, documentele interne ale Companiei și alte cerințe aplicabile ale autorităților de reglementare;
• fiabilitatea situaţiilor financiare.

2.2 Sistem de control intern(SMC) - un sistem de măsuri organizaționale, politici, instrucțiuni, precum și proceduri de control, norme de cultură corporativă și acțiuni întreprinse de Consiliul de Administrație, conducerea și angajații Societății pentru a asigura buna desfășurare a activităților de afaceri: pentru a asigura stabilitatea financiară a Societății, să realizeze un echilibru optim între costul creșterii acesteia, profitabilitate și riscuri, pentru desfășurarea ordonată și eficientă a activităților de afaceri, asigurarea securității activelor, identificarea, corectarea și prevenirea încălcărilor, întocmirea la timp a situațiilor financiare de încredere și, crescând astfel atractivitatea investițiilor.

2.3 Organizarea sistemului de control intern în Companie se bazează pe o abordare orientată spre risc. Înseamnă integrarea strânsă a sistemului de control intern cu procesele de management al riscului, care asigură aplicarea la timp și eficientă a metodelor de management al riscului folosind mecanisme eficiente ale sistemului de control intern. Totodată, conducerea Societății și angajații săi își concentrează eforturile pe construirea și îmbunătățirea sistemului de control intern, în primul rând, în acele domenii de activitate care se caracterizează prin cel mai înalt nivel de riscuri.

2.4 Sistemul de control intern asupra procesului de raportare financiară(SVKFO) - un sistem de măsuri organizaționale, politici, instrucțiuni, precum și proceduri de control, norme de cultură corporativă și acțiuni întreprinse de Consiliul de Administrație, conducerea și angajații Companiei pentru atingerea obiectivelor în domeniul întocmirii situațiilor financiare de încredere.

2.5 Obiectivele funcționării sistemului de control intern în cadrul Societății sunt:

• Asistență în protejarea intereselor acționarilor, investitorilor și clienților, prevenirea și eliminarea conflictelor de interese, sprijinirea managementului eficient al Companiei și atingerea obiectivelor strategice în cel mai eficient mod;
• Crearea condițiilor pentru a proteja Societatea de riscurile interne și externe apărute în cursul activităților sale, precum și de riscurile întocmirii situațiilor financiare ale Societății;
• Asistență în asigurarea conformității de către Companie cu cerințele legislației și documentelor de reglementare ale Companiei;
• Crearea condițiilor pentru pregătirea și furnizarea la timp a unor rapoarte financiare, contabile, statistice, manageriale și de altă natură fiabile pentru utilizatorii externi și interni;
• Asistență în asigurarea securității activelor și utilizare eficientă resursele si potentialul companiei.

3. Principii de funcționare și componente ale ICS

3.1 Organizarea și funcționarea SCI în Companie se bazează pe următoarele principii cheie:

• Integrare- ICS este o parte integrantă a guvernanței corporative a Companiei și este integrată în procesele și operațiunile sale zilnice. ICS include proceduri de informare a conducerii cu privire la nivelul adecvat de management cu privire la orice încălcări semnificative ale activităților financiare și economice, deficiențe și puncte slabe de control care au fost descoperite, împreună cu o analiză a cauzelor acestora, detalii despre acțiunile corective care au fost luate. sau asta ar trebui luat;
• Continuitate- ICS funcționează în mod continuu, continuu și la toate nivelurile de conducere, ceea ce permite Societății să identifice în timp util abaterile din sistemul de control intern și să prevină apariția acestora în viitor;
• Unitatea metodologica - Procesele ICS sunt implementate pe baza cerințelor și abordărilor uniforme pentru toate diviziile Companiei;
• Integritate/complexitate- ICS operează la toate nivelurile și în toate diviziile Companiei, acoperă toate subiectele și activitățile de control intern și, în consecință, toate riscurile:
  • Datoria de a construi și menține un SCI de încredere și eficient revine șefilor de la toate nivelurile de conducere a Companiei;
  • Procedurile de control există în toate procesele de afaceri și la toate nivelurile de management;
  • Fiecare angajat al Companiei cunoaște, înțelege și își îndeplinește rolul în sistemul de control intern

• Responsabilitate- toți angajații și conducerea de la toate nivelurile Companiei sunt responsabile pentru funcționarea SCI în limitele puterilor lor;
• Orientare spre risc- ICS în Companie este situat în cooperare strânsă cu un sistem de management al riscurilor, care contribuie la implementarea la timp și eficientă a măsurilor de influențare a riscurilor. Atunci când se analizează procedurile de control, este necesar să se evalueze amploarea și probabilitatea riscurilor, gradul de impact al acestora asupra rezultatelor activităților financiare și economice și atingerea obiectivelor Societății, ceea ce ne permite să concluzionăm că procedurile de control existente sunt suficiente. , sau că altele noi trebuie dezvoltate și implementate.
• Optimitatea - volumul și complexitatea procedurilor de control utilizate în Companie sunt necesare și suficiente pentru gestionarea eficientă a riscurilor și atingerea obiectivelor Companiei. Resursele și costurile pentru implementarea și operarea ulterioară a procedurilor de control nu trebuie să depășească consecințele realizării riscului (raportul cost-efect economic), iar nivelul total al riscului rezidual trebuie să corespundă apetitului pentru risc al Societății.
• Separarea atribuțiilor- Societatea delimitează drepturile și obligațiile subiecților controlului intern în funcție de atitudinea acestora față de procesele de dezvoltare, aprobare, aplicare și monitorizare a SCI. Nu este permis ca unui angajat/unitate să i se încredințeze simultan atribuțiile de a:
  • aprobarea tranzacțiilor cu active;
  • efectuarea de operațiuni cu active;
  • contabilitatea/inregistrarea operatiunilor;
  • verificarea corectitudinii, completitudinii și realității operațiunii și asigurarea securității activelor.

• Formalizarea- ICS ar trebui formalizat:
  • descrie riscurile și controalele pentru toate procesele de afaceri semnificative care afectează atingerea obiectivelor Companiei;
  • rezultatele implementării procedurilor de control sunt documentate și stocate ( documente sursă, rapoarte, jurnalele de tranzacții etc.);

3.2 Relevanță și dezvoltare- toată documentația privind ICS (descrierea riscurilor, controalelor și alte informații) ar trebui actualizată în timp util, precum și îmbunătățită în mod constant pentru a îmbunătăți eficiența managementului riscului. Managementul de vârf oferă condiții pentru dezvoltare continuă sistem de control intern, ținând cont de necesitatea soluționării noilor probleme care decurg din schimbările în domeniul intern și conditii externe functionare. La baza organizării și funcționării sistemului de control intern în cadrul Societății se află următoarele componente:

• Mediul de control;
• Evaluare a riscurilor;
• Mijloace de control;
• Informații și comunicații;
• Monitorizare SVK.

O descriere detaliată a componentelor ICS este dată în Anexa 1 la această Politică.

4. Subiectele controlului intern și funcțiile acestora

4.1 Sistemul de control intern al Societății este determinat de un set de obiecte și subiecte. Obiectele ICS sunt activitățile financiare și economice ale diviziilor Societății. Subiectele controlului intern sunt determinate de prezenta Politica si alte documente de reglementare ale Societatii in domeniul controlului intern.

4.2 Se determină componența subiecților controlului intern structura organizationala Societatea și include:

• Consiliu de administrație;
• Comitetul de audit;
• Director general;
• divizia control intern;
• Șefii subdiviziunilor structurale și angajații Companiei.

4.3 Consiliu de administrație- determină direcțiile generale de organizare a sistemului de control intern în Companie, analizează eficiența generală și conformitatea SCI cu natura, amploarea și condițiile activităților Societății în cazul modificării acestora - are în vedere rezultatele evaluării eficacității; a ICS, a identificat deficiențe semnificative și recomandări pentru eliminarea acestora. Aprobă politica de control intern și modificările aduse acesteia.

Funcțiile și sarcinile Consiliului de Administrație în raport cu sistemul de control intern sunt consacrate în Regulamentul Consiliului de Administrație al Societății.

4.4 Comitetul de Audit al Consiliului de Administrație- evaluează conformitatea cu principiile controlului intern și managementului riscului și eficacitatea generală a SCI în cadrul Societății (inclusiv pe baza rapoartelor de la unitățile de audit intern și control intern), dă recomandări pentru îmbunătățirea SCI.

Funcțiile și sarcinile Comitetului de Audit al Consiliului de Administrație sunt stabilite în regulamentul relevant al Comitetului de Audit al Societății.

4.5 CEO- este responsabil de organizarea și menținerea funcționării unui sistem eficient de control intern în Companie și de monitorizarea funcționării SCI, inclusiv:

• Stabilește direcțiile de dezvoltare și îmbunătățire a ICS în Companie;
• Aproba Regulamentele privind sistemul de control intern, Regulamentul de diagnosticare si imbunatatire a SCI si alte documente de reglementare in domeniul SCI;
• ia în considerare rezultatele activității unității structurale de control intern, inclusiv rezultatele diagnosticelor ICS;
• Stabilește responsabilitatea pentru implementarea deciziilor managementului de vârf în domeniul controlului intern;
• Consideră și aprobă un plan de acțiune pentru eliminarea deficiențelor ICS.

4.6 Divizia Audit Intern- efectuează o evaluare independentă a eficacității componentelor individuale ale ICS, ICS al obiectelor auditate și ICS al Societății în ansamblu și elaborează recomandări pentru îmbunătățirea fiabilității și eficienței acestuia, inclusiv:

• Verifică conformitatea activităților departamentelor și angajaților cu documentele de reglementare care determină procedura de organizare și funcționare a SCI;
• Efectuează o evaluare a conformității conținutului documentelor de reglementare care reglementează organizarea și funcționarea SCI, natura și domeniul de aplicare al activităților Societății;
• Identifică faptele încălcărilor, analizează motivele săvârșirii acestora și elaborează recomandări pentru îmbunătățirea procedurilor de control existente și/sau introducerea de noi pentru prevenirea reapariției încălcărilor;
• Monitorizează eliminarea la timp și completă a încălcărilor și deficiențelor identificate;
• Efectuează controlul calității procesului de diagnosticare a sistemului de control intern în Companie, efectuat de către conducere și angajați;
• Consiliază pentru îmbunătățirea controlului intern.

4.7 Sarcini Unități de control intern sunteți:

Coordonarea activităților pentru formarea și menținerea eficienței sistemului de control intern;

• Suportul metodologic al ICS;
• Organizarea procesului de diagnostic ICS în Companie:
• Intocmirea planurilor de dezvoltare si imbunatatire a SCI in Companie;
• Menținerea și întreținerea infrastructurii ICS (registre de riscuri, proceduri de control și procese de afaceri) la zi;
• Monitorizarea implementării planului de acțiune pentru eliminarea deficiențelor și îmbunătățirea ICS, incl. controlul calității pentru eliminarea deficiențelor;
• Informarea tuturor participanților ICS cu privire la schimbările de abordări, documentație și alte cerințe în domeniul ICS;
• Organizarea pregătirii programelor de instruire a personalului privind organizarea și îmbunătățirea sistemului de control intern.

Funcțiile, sarcinile și competențele subdiviziunii structurale pentru coordonarea SCI al Societății sunt definite în Regulamentele relevante.

4.8 Șefii și angajații diviziilor structurale sunt responsabili de formarea, întreținerea și monitorizarea constantă a sistemului de control intern în domeniile funcționale relevante de activitate ale unităților de pe întreaga verticală de management și, de asemenea, efectuează proceduri de control în conformitate cu atribuțiile lor oficiale, inclusiv:

• identificarea și analizarea în timp util a riscurilor activităților financiare și economice ale Societății;
• dezvoltarea, formalizarea, precum și execuția ulterioară și asigurarea eficacității și suficienței procedurilor de control în cadrul proceselor lor de afaceri;
• actualizarea descrierii ICS și informarea în timp util a unității de control intern despre modificări;
• monitorizarea funcționării ICS, precum și o evaluare independentă a eficacității procedurilor de control pe care le efectuează;
• informarea conducerii cu privire la orice greșeli/deficiențe comise sau posibile care au condus sau pot duce la potențiale evenimente negative;
• promovarea instruirii in domeniul controlului intern si managementului riscului in conformitate cu programul de formare aprobat.

4.9 Societatea asigură crearea unor canale eficiente de schimb de informații, inclusiv comunicații atât pe verticală, cât și pe orizontală, în vederea formării unei înțelegeri între toate subiectele controlului intern adoptate în documentele de reglementare privind organizarea și funcționarea sistemului de control intern și asigura implementarea acestora.

4.10 Informații despre activitatea sistemului de control intern, despre deficiențele constatate și alte circumstanțe semnificative sunt furnizate Consiliului de Administrație, Comitetului de Audit al Consiliului de Administrație, către CEO, Consiliul de Administrație sau alte organisme în conformitate cu cerințele existente ale legislației și documentelor de reglementare ale Societății.

5. Roluri

5.1 Pentru a asigura funcționarea eficientă a ICS, următoarele roluri sunt distribuite între managerii și ceilalți angajați ai Companiei:

• Proprietarul procesului/riscului
• Coordonator ICS

• Executor de control

5.2 Proprietarul procesului/riscului- seful subdiviziunii/departamentului care raspunde de:

• pentru funcționarea eficientă a tuturor componentelor ICS ( vezi componentele ICS în Anexa 1) în ceea ce privește acoperirea riscurilor de afaceri și întocmirea situațiilor financiare ca parte a proceselor/riscurilor lor de afaceri;
• pentru numirea executorilor de control si fixarea in descrierea postului angajații corespunzători responsabili de implementarea acestor proceduri;

• pentru asigurarea executării și documentării controalelor de către executanții controalelor în conformitate cu documentația pentru SCI;
• pentru identificarea modificărilor în procese, riscuri sau controale care necesită modificări ale documentației ICS și informarea angajaților Unității de Control Intern / Coordonatorului ICS din unitatea relevantă despre aceasta;
• pentru aprobarea la timp a documentației ICS (descrierea detaliată a riscurilor, controale unificate și adaptate și alte informații);
• pentru eliminarea deficiențelor ICS identificate ca urmare a testării sau monitorizării.

5.3 Executor de control- un angajat la orice nivel care este responsabil pentru:

• pentru implementarea la timp și de înaltă calitate a procedurilor de control în conformitate cu documentația ICS;
• pentru sesizarea, dacă este cazul, executorului de control adjunct și unui angajat al Direcției Control Intern cu privire la necesitatea efectuării procedurii de control relevante în locul executorului;
• pentru aprobarea la timp a documentației ICS (descrierea detaliată a riscurilor, controalelor și a altor informații);
• pentru implementarea procedurilor de autoevaluare a eficacității ICS;
• pentru identificarea modificărilor în procese, riscuri sau controale care necesită modificări ale documentației ICS și informarea proprietarului riscului/procesului, a Coordonatorului ICS din unitatea relevantă și a angajaților Unității de Control Intern despre aceasta;
• pentru eliminarea deficiențelor ICS identificate ca urmare a testării și monitorizării.

5.4 Coordonator ICS un angajat din fiecare departament care este responsabil pentru:

• pentru organizarea și coordonarea procesului de funcționare a SCI în cadrul unității relevante;
• pentru monitorizarea calității implementării și documentarea procedurilor de control în ceea ce privește controalele efectuate în unitatea relevantă;
• pentru relevanța documentației privind SCI în ceea ce privește unitatea structurală relevantă;
• pentru informarea Direcției Control Intern cu privire la necesitatea modificării documentației ICS (modificări ale proceselor, riscurilor sau controalelor, inclusiv propuneri de nouă redactare în ceea ce privește riscurile, controalele și alte informații).

6. Cerințe și responsabilități în domeniul asigurării eficacității ICS

6.1 Controlul intern este parte integrantă a funcționării oricărei divizii a Societății.

6.2 Toți angajații sunt responsabili pentru funcționarea și eficiența ICS al Companiei.

6.3 Conducerea Societății trebuie să comunice angajaților importanța de a avea și de a asigura eficacitatea funcționării SCI, precum și rolul fiecărui angajat în acest sistem, inclusiv următoarele cerințe de bază:

• Niciun angajat, direct sau indirect, nu poate permite sau provoca falsificarea deliberată a datelor contabile, de gestiune sau a altor date de raportare.
• Nu se pot aduce modificări datelor contabile dacă se știe că aceste modificări pot distorsiona esența operațiunilor corespunzătoare.
• Nicio sumă de bani/conturi/tranzacții nu poate fi ascunsă în scopul raportării lor incomplete.
• Toți angajații Companiei sunt obligați să păstreze activele Companiei și să asigure utilizarea eficientă a acestora.

6.4 În cazul în care un angajat al Societății are informații despre o lipsă sau ineficiență a procedurilor de control intern, acesta trebuie să-și notifice imediat supervizorul imediat, precum și șefii departamentelor de control intern și audit intern despre acest lucru.

6.5 Dacă un angajat nu respectă în mod deliberat această Politică și nu urmează procedurile de control pentru care este responsabil, acest angajat va fi supus acțiune disciplinară până la concediere în conformitate cu cerințele legislației în vigoare.

7. Monitorizarea eficienței ICS

7.1 Scopul monitorizării este de a evalua eficacitatea sistemului de control intern al Societății, inclusiv capacitatea acestuia de a asigura îndeplinirea scopurilor și obiectivelor sale, precum și de a determina semnificația deficiențelor sistemului.

7.2 Monitorizarea sistemului de control intern asupra raportării financiare include:

• implementarea de către conducerea unităților de control constant asupra implementării procedurilor de control în unitățile responsabile față de acestea;
• efectuarea unei autoevaluări a sistemului de control intern din Companie;
• realizarea de verificări periodice ale implementării procedurilor de control și verificări ale conformității operațiunilor cu cerințele legislației și prevederile documentelor de reglementare ale organizației de către unitatea de audit intern;
• evaluarea eficacității sistemului de control intern asupra procesului de întocmire a situațiilor financiare de către auditorul extern
• comunicarea la timp a informațiilor cu privire la deficiențele identificate ale sistemului de control intern asupra raportării financiare către părțile interesate din verticala de management.

7.3 Autoevaluarea eficacității ICS (denumită în continuare - autoevaluarea ICS) se realizează direct de către subiecții ICS prin:

• Distribuirea chestionarelor - este utilizată pentru a colecta informații despre eficacitatea funcționării ICS și schimbările în procesele de afaceri de la angajați și șefii de divizii ai Companiei.
• Monitorizarea stării SCI este procesul de verificare a completității, oportunității implementării și corectitudinii documentației PC.
• Evaluarea eficacității procedurilor de control - analiza eficacității descrierii și executării controlului, precum și analiza suficienței procedurilor de control (evaluarea modului în care controlul, sub rezerva implementării sale efective, este capabil să reducă eficient riscurile corespunzătoare la el).

7.4 Evaluarea regulată a ICS ajută la îmbunătățirea eficacității acestuia prin:

• detectarea în timp util a modificărilor în procesele de afaceri, proiectarea sau etapele de implementare a procedurilor de control;
• creșterea motivației Executorilor de Control și a Managerilor acestora prin participarea directă la îmbunătățirea Sistemului de Control Intern și controlul constant asupra calității implementării PC;
• furnizarea unei baze de informații conducerii Societății pentru a confirma eficacitatea funcționării ICS.
  

7.5 Rezultatele evaluării ICS trebuie să fie documentate și prezentate conducerii Societății și Comitetului de Audit al Consiliului de Administrație:

• Divizia de audit intern întocmește un raport pe baza rezultatelor evaluării ICS;
• Auditorul extern generează o scrisoare către conducere despre deficiențele semnificative identificate pe baza rezultatelor unei evaluări externe independente a SCI;
• Divizia de control intern întocmește un raport pe baza rezultatelor autoevaluării ICS efectuate de diviziile structurale ale Societății.

8. Efectuarea de completări și modificări la Politică

8.1 La modificarea și completarea actelor legislative, a cerințelor autorităților de reglementare și a documentelor de reglementare ale Societății care reglementează funcționarea sistemului de control intern, modificările și completările la această Politică pot fi făcute numai prin decizii executate corespunzător ale Consiliului de Administrație al Societății. Consiliul de Administrație al Societății poate decide, de asemenea, să aprobe o nouă versiune a Politicii.

Anexa 1. Componentele ICS conform metodologiei COSO

Controlul intern, conform modelului COSO „Control Intern-Cadru Integrat”, constă din cinci componente interdependente care provin din modul în care se desfășoară afacerile și sunt asociate cu procesul de management al acesteia. Cele cinci componente includ:

Mediu de control: Mediul de control creează o atmosferă în cadrul unei organizații care influențează conștientizarea personalului cu privire la importanța efectuării controalelor. Este baza pentru toate celelalte componente ale controlului intern, oferind ordine și disciplină. Factorii mediului de control includ integritatea, valorile etice, stilul de management, sistemul de distribuție a puterilor și responsabilităților, precum și procesele de management și dezvoltare a personalului din organizație. De asemenea, eficacitatea mediului de control depinde de atentia acordata acestui aspect din partea Consiliului de Administratie.

Evaluare a riscurilor: Fiecare organizație se confruntă cu diverse riscuri externe și interne care trebuie evaluate. O condiție prealabilă pentru evaluarea riscurilor este definirea obiectivelor, astfel încât evaluarea riscului implică identificarea și analiza riscurilor relevante asociate cu atingerea obiectivelor stabilite. Evaluarea riscului este o condiție prealabilă pentru managementul riscului.

comenzi: Controalele sunt politici și proceduri care asigură aplicarea deciziilor de management. Acestea ajută la asigurarea faptului că sunt întreprinse acțiunile necesare în legătură cu riscurile care pot împiedica organizația să își atingă obiectivele. Controalele sunt exercitate în întreaga organizație, la toate nivelurile acesteia și în toate funcțiile. Acestea includ o serie de activități, cum ar fi aprobări, permise, verificări, reconcilieri, rapoarte de activitate, conservarea activelor și separarea sarcinilor.

Informatie si comunicare: Toate informațiile necesare trebuie identificate, formulate și comunicate angajaților corespunzători în timp util, astfel încât să le permită să își îndeplinească pe deplin atributii oficiale. Sistemele informatice joaca si ele un rol important in sistemul de control intern, intrucat contin informatii financiare, precum si informatii despre operatiuni si respectarea legii, ceea ce va permite sa gestionati si controlati afacerea. Întrebarea nu este doar despre diseminarea informațiilor interne ale companiei, ci este importantă și informarea angajaților despre evenimentele și activitățile externe care sunt necesare pentru luarea diferitelor decizii. Comunicarea eficientă într-un sens mai larg ar trebui să asigure fluxul de informații în sus și în jos și între departamente din întreaga organizație. Este important ca personalul companiei să primească o poziție clar articulată din partea conducerii superioare cu privire la importanța îndeplinirii responsabilităților sale în ceea ce privește controlul intern. De asemenea, este important ca fiecare angajat să înțeleagă clar rolul său în sistemul de control intern și modul în care rezultatul muncii sale este legat de activitățile altor angajați. Personalul trebuie să fie conștient de necesitatea de a comunica toate informațiile importante conducerii companiei. Comunicarea eficientă cu privire la aspectele legate de interesele companiei trebuie să fie asigurată și cu părți externe, cum ar fi clienții, furnizorii, autoritățile de reglementare și acționarii.

Monitorizarea: Sistemul de control intern necesită monitorizare - un proces de evaluare periodică a calității activității sale. Acest lucru se realizează prin monitorizarea continuă a calității execuției anumitor operațiuni, prin verificări separate pentru evaluarea eficienței unui anumit proces sau printr-o combinație a acestor două opțiuni. Monitorizarea constantă este efectuată zilnic, inclusiv. activități pentru managementul și managementul proceselor relevante, precum și alte activități în cadrul îndeplinirii atribuțiilor de personal. Sfera și frecvența auditurilor individuale depind de nivelul de evaluare a riscurilor relevante, precum și de rezultatele monitorizării continue a acestor operațiuni. Deficiențele de control intern identificate în timpul monitorizării ar trebui aduse la cunoștința conducerii, iar cele mai semnificative comentarii trebuie aduse conducerii superioare și Consiliului de Administrație.

Interconectarea strânsă a acestor componente asigură formarea unui sistem integrat care este capabil să răspundă rapid provocărilor emergente. Sistemul de control intern este parte integrantă a activităților operaționale. Cel mai eficient ICS este dacă controalele sunt încorporate în infrastructura organizației și fac parte din esența acesteia. Controalele încorporate îmbunătățesc calitatea și eficacitatea evenimentelor, precum și ajută la evitarea costurilor suplimentare și permit un răspuns mai rapid la anumite evenimente.

„COSO - Comitetul organizațiilor de sponsorizare al Comisiei Treadway, SUA”

Comitetul organizațiilor de sponsorizare a Comisiei Treadway(Engleză) The Comitet de Sponsorizare Organizații de cel Treadway Comision, COSO) - este o organizație privată voluntară creată în Statele Unite și concepută pentru a oferi consiliere adecvată conducerii corporative cu privire la aspectele critice ale guvernanței organizaționale, etica în afaceri, raportarea financiară, controalele interne, managementul riscului companiei și prevenirea fraudei.

În primul rând, trebuie spus că aproape nu există standarde rusești pentru managementul riscurilor, controlul intern și auditul intern. Cred că e rău, pentru că au fost o mulțime de lucruri interesante. Dar este foarte posibil să le folosești pe cele burgheze. Problema cheie constă în interpretarea acestora prezentată de numeroși experți: pentru managementul riscului - cu accent pe riscurile financiare, pentru directorii de control intern și auditori interni - cu accent pe raportare. Adică, trebuie să vă amintiți că fiecare standard conține multe componente și, amintindu-le pe toate, puteți obține mult mai multă utilitate.

Cele mai cunoscute standarde sunt:

• managementul riscurilor: standard FERMA (Federation of European Risk Managers Associations), standard COSO ERM (COSO - Committee of Sponsoring Organizations of the Treadway Commission, ERM - Enterprise Risk Management), GOST ISO31000;
• pentru sistemele de control intern - standard COSO IC IF (Control Intern - Cadru Integrat);
• pentru audit intern - Fundații internaționale practică profesională (MOPP).

Unde poți citi standardele?

Inițial, toate standardele au fost dezvoltate, desigur, pe Limba engleză. Cu toate acestea, traduceri în rusă există.

FERMA - cândva a existat atât o versiune rusă, cât și una engleză în domeniul public. Site - http://ferma.eu. Acum, vai, a dispărut, dar sub link este cel mai recent actualizat.

În timpul observației mele au existat mai multe traduceri. Mi-a plăcut mai ales că într-o traducere expresia

„În timp ce identificarea riscurilor poate fi efectuată de consultanți independenți, o evaluare efectuată la nivel intern, cu o interacțiune strânsă între departamentele sale, folosind procesele și instrumentele prezentate într-o manieră consecventă și coordonată, este probabil mai eficientă.”

a fost înlocuită cu o frază (acum corectată pe site-ul FERMA, încă agățată pe site-ul Rusrisk)

« Identificarea riscurilor organizației este de obicei efectuată de consultanți independenți.. Cu toate acestea, o înțelegere și o analiză a riscurilor „corespunzător” de către organizație este de mare importanță pentru un proces de management al riscului de succes.

În general, oamenii nu făceau deloc o baie de aburi. Desigur, toată lumea câștigă bani cât poate de bine, dar indicii de sprijin material pentru cei dragi ar putea fi mai subtile.

GOST ISO31000 este la fel de ușor de găsit atât în ​​Google, cât și în Yandex.

Standardele COSO - doar „fundamentele conceptuale” în engleză și rusă sunt disponibile gratuit. Site - www. coso.org. O traducere oficială a fost publicată în rusă în 2015, este vândută de Institutul Auditorilor Interni, nu am citit-o, a costat 2000 de ruble. Din „shareware” există o traducere „oficială” (apropo, destul de lizibilă și de înaltă calitate) a COSO ERM și o parte „neoficială” a COSO IC IF. Este situat în partea închisă a site-ului Institutului Auditorilor Interni al Federației Ruse, site-ul este http://iia-ru.ru. Doar membrii IVA pot intra în partea închisă.

MOPP - disponibil parțial în domeniul public (dar nu toate, utilitatea pentru punere în scenă începe cu instrucțiuni practice), restul se află în partea închisă a site-ului web a Institutului Auditorilor Interni al Federației Ruse (http://iia- ru.ru). Observ că MOPP, în ciuda volumului, este o lectură destul de ușoară (cel puțin pentru mine), traducerea este de foarte bună calitate.

Total: toate standardele necesare pot fi obținute pe mare și puternic pentru 2500 de ruble ca taxă de membru la Institutul Auditorilor Interni. Preț rezonabil, există și bonusuri sub forma mai multor prezentări interesante. Pentru a obține un set complet în limba rusă, va trebui să achiziționați și o carte, prețul pentru membrii Institutului este de 1800 de ruble.

Un pic de istorie.

Primul in formă modernă Standardul COSO IC IF a apărut în 1992. O nouă versiune a fost pregătită în 2013.

Din anumite motive, COSO îi place foarte mult tot felul de cuburi. O sa dau un traditional COSO-cube, am gasit in mod special varianta cea mai proasta (intors pe dos, parca incepea cu monitorizarea).

Mult mai rezonabilă este următoarea reprezentare:

De ce este rezonabil. În primul rând, mediul de control este important pentru întreaga organizație, monitorizarea ar trebui să acopere întregul proces de control intern. Procesul în sine este destul de banal, și anume, reprezintă relația „riscuri → proceduri de control” cu corespunzătoare suport informativ. În al doilea rând, monitorizarea ar trebui să acopere toate celelalte componente.

În 2002 a apărut standardul FERMA. Imi place cel mai mult din cauza dimensiunilor mici. O diagramă schematică de lucru conform acestui standard este în imagine.

De asemenea, se poate observa că standardul FERMA nu include un accent pe raportarea organizației ca o componentă cheie (de exemplu, natura riscului). Motivul este destul de banal: managerii de risc europeni (și FERMA este organizația lor) au crescut nu din contabili, ci din asigurători și finanțatori. Originea, mi se pare, explică clasificarea:

Bancherii și asigurătorii disting riscurile și pericolele financiare într-o categorie separată. De ce - cred că e clar. Tot restul (atât auditorii interni, cât și COSO) au rezultat din raportare, prin urmare, atât în ​​standardele de audit intern, cât și în standardele COSO, există obiective obligatorii în domeniul fiabilității raportării și al respectării legii (conformitate).

Ce s-a întâmplat în continuare (versiunea - doar părerea mea). Echipa de creație COSO, după ce a analizat noul standard, s-a gândit așa ceva: de ce toată lumea are deja o strategie, iar noi încă mestecăm muci. Și în aproximativ un an și jumătate, au desenat un alt cub scriind standardul COSO ERM (2004):

Pentru a clarifica de unde crește - o imagine suplimentară:

După părerea mea, totul este evident. De asemenea, puteți compara componentele de-a lungul axei verticale din cubul COSO și secvența de acțiuni descrisă în FERMA.

În cinci ani organizatie internationala standardizarea (ISO) și-a lansat standardul de management al riscului. Documentele ISO sunt elaborate din punct de vedere al afacerilor (și nu vânzărilor de servicii de consultanță), prin urmare, după înțelegerea mea, ISO31000:2009 este standardul optim în ceea ce privește raportul volum/utilitate, deși necesită traducere din rusă în rusă. Apropo, ISO a introdus principiul managementului riscului în standardul ISO9000, cel mai cunoscut din Rusia, ceea ce a provocat o anumită panică în rândurile directorilor de sisteme de management al calității.

Standardele de audit intern au evoluat semnificativ în ultimii 50 de ani. Totul a început cu contabilitate și conformitate. Versiunea actuală este o evaluare a riscurilor și eficacității controlului în ceea ce privește:

• fiabilitatea și integritatea informațiilor privind activitățile financiare și economice;
• eficiența și eficacitatea activităților;
• siguranța activelor;
• respectarea cerințelor legilor, reglementărilor și obligațiilor contractuale.

După cum puteți vedea, cele trei componente coincid cu COSO IC IF (nu pot spune unde au apărut pentru prima dată, nu un istoric), iar siguranța activelor, aparent, continuă din 1957 (sau din 1947?). Nu știu de ce ar trebui evidențiat separat: nu cred că activitatea poate fi recunoscută ca eficientă și eficientă în prezența furtului sau pierderii bunurilor din cauza depozitării necorespunzătoare.

Scurte comentarii asupra standardelor.

Este de dorit să citiți totul. Standardele relativ simple în ceea ce privește lizibilitatea sunt FERMA, ISO31000 și MOPP. FERMA are doar un volum mic, pentru MOPP-uri poate fi limitat la standarde (MPSVA), ghidurile practice sunt doar recomandări (deși stricte). Lizibilitatea este explicată simplu: FERMA și ISO au scris standarde pentru managerii de risc, Institutul Auditorilor Interni - pentru auditorii interni. Este foarte de dorit ca ambii să vorbească aceeași limbă, inclusiv asigurând uniformitatea abordărilor. În consecință, era mai bine să se evite structurile și incertitudinile foarte complexe, ceea ce a fost făcut.

COSO este o lucrare fundamentală, cu mai multe volume, pentru COSO ERM mulțumiri au fost exprimate până la 30 de parteneri PwC. În opinia mea, dacă ar fi fost mai puțini parteneri implicați, atunci documentul ar fi ieșit mai bine - așa cum se întâmplă, a apărut „sinergia inversă”. O caracteristică a standardelor COSO: nimic nu este clar din „fundamentele conceptuale”, ceea ce este de înțeles începe chiar din ultimul document (de exemplu, COSO ERM - „Aplicație”). Trebuie să înțelegeți că autorii sunt auditori și consultanți. Nu trebuie să facă un standard clar: de ce să piardă venituri. Prin urmare, este necesar ca „mâna cititorului să ajungă la telefonul” unui Partener al unei Mari Companii de Consultanță. După părerea mea, a funcționat. De asemenea, rețineți că, spre deosebire de acest site, nu există o abordare „end-to-end”: nu există o logică „aici ne asumăm un set de riscuri, aici le evaluăm, aici le gestionăm, aici putem efectua un audit. ” Setul de exemple cu siguranță nu este rău. Dar dacă încercați să le aplicați unei singure afaceri, cel mai probabil, puțin va funcționa. Apropo, în general, personal am o atitudine absolut egală față de documentele COSO. Sunt lucruri utile, dar chiar nu merită să vorbim despre aceste standarde cu răsuflare, ca unele femei în prezența străinilor.

La configurarea managementului riscului, recomand să folosești FERMA și ISO31000, dacă nu este scris ceva în FERMA. Controlul intern este un subiect special, în mod tradițional COSO IC IF poate fi folosit doar pentru a genera documente nu foarte utile. Problema cu COSO IC IF este în interpretarea sa, care este fie o filozofie despre mediul de control, fie despre raportare, care este comentată. Iar auditul intern – sunt standarde suportate, am semnat codul de etică (ca membru al IVA), deci nu mai rămâne nimic altceva decât MOPP.

De ce nu menționez SOX?

Am auzit de legea Sarbanis-Oxley. Apropo, Sarbanis este grec, de aceea, nu Sarbanes. Deci, părerea mea este că acum cei mai străluciți agenți de vânzări lucrează în big4.

Să ne amintim cum a apărut SOX. A apărut ca urmare a raportărilor absolut fictive ale unui grup de companii. În ceea ce privește motivul pentru care s-a întâmplat acest lucru, opiniile noastre cu un coleg expert nu sunt de acord. Eu cred că asta este neprofesionalism și lăcomie absolut: este clar că altcineva de la big5 ar putea foarte bine să se ocupe de raportare, cuplată cu contracte de consultanță pentru aceiași bani. Da, iar distrugerea actelor auditorului spune multe.

Colegul subliniază că există cel puțin câteva deficiențe sistemice în managementul auditului și aduce mai multe argumente că verificarea conturilor ar fi putut avea loc fără relații majore cu conștiința:

• timp scurt pentru audit. Schimbul face apel la un „go-go”, subiectul închiderii accelerate a perioadei este un subiect interesant de consultare. Chestia, mi se pare, este cea mai dăunătoare, deoarece contribuie de fapt la lipsa de încredere a raportării și nu lasă timp pentru procedurile obișnuite de control pentru verificarea documentelor („mai jos” toate documentele trebuie completate în 1-2 zile) ;
• calificările personalului. Totul este verificat de stagiari, fiecare este repartizat pe site. Fluxurile sunt mari, afacerile cu rezultate financiare umflate ar trebui să fie surprinse de criminalistici, nu doar de auditori. Având în vedere timpul alocat auditului, este probabil ca declarațiile să fie confirmate fără intenție rău intenționată. Și tovarășul senior, care trebuia să confirme ICS, a făcut acest lucru prin teste formale de conformitate, pe care toți auditorii le au din abundență. Rezultatul controlului calității este că documentele de lucru sunt completate și este bine, nimeni nu ar putea intra într-adevăr în operațiuni non-standard: sistemul de control intern este la nivel, eșantionul este aleatoriu;
• cerinţele partenerilor. Da, desigur, au fost greșeli și inconsecvențe. A fost suficient să recunoaștem că raportarea a fost falsă și să te certam cu clientul? Fiecare defect individual, având în vedere eșantionul mic, poate că nu. Și nu s-au uitat la totalitate.

Oricare ar fi fost, rezultatul este pur și simplu uimitor. În loc să „fă dracu”, așa cum președintele Republicii Belarus A.G. Lukashenka despre parlamentul său, întreaga comunitate de audit, există cerințe suplimentare nu pentru auditorii care au acoperit frauda, ​​ci pentru companiile înșiși (inclusiv pentru cele care au trăit cinstit). Și aceste cerințe sunt formulate, destul de ciudat, de către auditorii înșiși. Este clar că cerințele sunt formulate în așa fel încât să fie din nou nevoie de auditori (bine, adică se numesc consultanți, dar sunt localizați teritorial în departamentul vecin al companiei de audit). În plus, totul este evident.

Concluzia: pe lângă un audit formal al situațiilor financiare, fiecare companie publică trebuia să dispună instituirea unui control intern conform SOX (bine, sau să angajeze personal, ceea ce nu este nici ieftin). În același timp, costul unui audit extern a crescut, pe măsură ce orele standard au crescut prin evaluarea SCI asupra întocmirii rapoartelor. În același timp, din câte știu, chiar dacă sistemul de control intern asupra întocmirii rapoartelor este testat în sus și în jos de auditul intern, nu există o reducere fundamentală a costului serviciilor de audit extern.

Apropo, acum Big4 nu oferă servicii de audit și consultanță aceleiași organizații. Adică, de fapt, costul serviciilor de consultanță pentru afaceri a crescut (principiul „comerțului cu ridicata mai ieftin” a fost anulat).

În general, rezultatul cheie al unui scandal de audit provocat de auditori este o creștere a veniturilor auditorilor. — E grozav, nu-i așa? (© surorile Zaitsev, Clubul Comediei). Prin urmare, încerc să nu folosesc cuvântul SOX.

Dacă găsiți o eroare, evidențiați o bucată de text și faceți clic Ctrl+Enter.