Модный стиль для мужчин и женщин » Женская Мода » Стандарты. Стандарты Внутренний контроль интегрированная модель

Стандарты. Стандарты Внутренний контроль интегрированная модель

Комитет организаций - спонсоров Комиссии Тредвея (The committee of sponsoring organizations of the treadway commission - COSO) разработал общую модель внутреннего контроля , в сравнении с которой компании и организации, в том числе и банки, могут оценить собственные системы управления. COSO был образован в 1985г. при поддержке Национальной комиссии по вопросам мошенничества в финансовой отчетности (Комиссия Тредуэя).

Модель COSO определяет внутренний контроль организации как процесс, осуществляемый советом директоров, топ-менеджментом и остальным персоналом организации, предназначенный для обеспечения «разумной уверенности» касательно достижения целей в следующих категориях:

  • эффективность и продуктивность операций;
  • надежность финансовой отчетности;
  • соблюдение законов и правил.

Модель COSO внутреннего контроля включает в себя несколько основных понятий:

    внутренний контроль представляет собой процесс. Это средство для достижения цели, а не самоцель;

    внутренний контроль зависит от людей. Он представляет собой не только политики руководства и формы, но и людей на всех уровнях компании;

    внутренний контроль может обеспечить руководству и совету директоров компании лишь достаточную уверенность, но не абсолютные гарантии;

    внутренний контроль направлен на достижение целей в одной или нескольких отдельных, но пересекающихся категориях.

Суть модели COSO можно выразить так: вы управляете тогда, когда риск оценен и управляем.

Элементы внутреннего контроля согласно системе COSO включают (табл. 1):

1) контрольную среду;
2) оценку риска;
3) мероприятия контроля;
4) сбор и анализ информации, а также передачу ее по назначению;
5) мониторинг и исправление ошибок.

Таблица 1. Компоненты системы внутреннего контроля

Компонент Описание Основные элементы
Контрольная среда Осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля организации, а также понимание значения такой системы для деятельности этой организации - надежность, честность и нравственность;
- компетентность;
- философия и стиль управления;
- организационнаяструктура;
- распределение прав и обязанностей;
- кадровая политика и практика.
Оценка риска Определение и оценка возможных рисков при подготовке финансовой отчетности - изменения законодательства;
- изменения условий хозяйствования;
- оценка последствий.
Информация и сети Обеспечивают понимание персоналом роли своего участия в процессе подготовки финансовой (бухгалтерской) отчетности - запись, обработка, обобщение и представление операций организаций;
- распределение обязанностей;
- обеспечение руководителей различных уровней информацией.
Контрольные процедуры Обеспечивают политику и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются - проверка выполнения распоряжения (отчеты);
- обработка информации;
- проверка наличия и состояния объектов;
- распределение обязанностей.
Мониторинг Наблюдение за тем, функционируют ли средства контроля должным образом. Это процесс оценки эффективного функционирования системы внутреннего контроля во времени - непрерывный мониторинг;
- периодический контроль.

Модель включает в себя восемь компонентов:

    внутренняя среда (internal environment) . Внутренняя среда представляет собой атмосферу в организации и определяет, каким образом риск воспринимается сотрудниками организации и как они на него реагируют. Внутренняя среда включает философию управления рисками и риск-аппетит, честность и этические ценности, а также ту среду, в которой они существуют;

    постановка целей (objective setting) . Цели должны быть определены до того, как руководство начнет выявлять события, которые могут оказать влияние на их достижение. Процесс управления рисками предоставляет разумную гарантию того, что руководство компании имеет правильно организованный процесс выбора и формирования целей и они соответствуют миссии организации и уровню ее риск-аппетита;

    определение событий (event identification) . Внутренние и внешние события, оказывающие влияние на достижение целей организации, должны определяться с учетом их разделения на риски или возможности. Возможности должны учитываться руководством в процессе формирования стратегии и постановки целей;

    оценка рисков (risk assessment) . Риски анализируются с учетом вероятности их возникновения и влияния с целью определения того, какие действия в отношении них необходимо предпринять. Риски оцениваются с точки зрения присущего и остаточного риска;

    реагирование на риск (risk response) . Руководство выбирает метод реагирования на риск - уклонение от риска, принятие, сокращение или перераспределение риска, - разрабатывая ряд мероприятий, которые позволяют привести выявленный риск в соответствие с допустимым уровнем риска и риск-аппетитом организации;

    средства контроля (control activities) . Политики и процедуры разработаны и установлены таким образом, чтобы обеспечивать разумную гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно;

    информация и коммуникации (information and communication) . Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Также осуществляется эффективный обмен информацией в рамках организации как по вертикали сверху вниз и снизу вверх, так и по горизонтали;

    мониторинг (monitoring) . Весь процесс управления рисками организации отслеживается и по необходимости корректируется. Мониторинг осуществляется в рамках текущей деятельности руководства или путем проведения периодических оценок.

Подводя итоги, отметим что:

    В COSO большое значение придается внутренней среде.

    В COSO гораздо большее значение придается мониторингу внутреннего контроля как форме последующего контроля. Мониторинг - один из основных элементов модели COSO.

    В COSO большое значение придается работе совета директоров.

Литература:

  1. Каковкина Т.В. Система внутреннего контроля как средство выявления рисков организации // Международный бухгалтерский учет. 2014, №36
  2. Калачева О.Н. Проблемы внутреннего контроля в организациях малого и среднего бизнеса // Аудитор. 2015, №10
  3. Крайнова В.В. Обоснование направлений развития внутреннего контроля в организациях внутреннего водного транспорта // Международный бухгалтерский учет. 2014, №46
  4. Коське М.С., Мишучкова Ю.Г., Воюцкая И.В. Внутренний контроль как трудовая функция главного бухгалтера // Международный бухгалтерский учет. 2015, №6
  5. Пучкова А.О. Необходимость оценки системы внутреннего контроля и ее элементов при проведении аудита // Аудиторские ведомости. 2012. №1/2
  6. Пашков Р. Мониторинг системы внутреннего контроля // Бухгалтерия и банки. 2015. №1
  7. Янова Я.Ю. Концепция ориентированного на риск внутреннего контроля - идеал, к которому нужно стремиться // Внутренний контроль в кредитной организации. 2014. №4
  8. Internal Control - Integrated Framework (2013)

Концепция COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 года на русском языке появилась в продаже в книжном интернет-магазине TOTbook.ru. Она доступна по ссылке: https://totbook.ru/catalog/345/1136970/

Концепция COSO ERM состоит из 3-х книг:

1. Основная книга (110 стр.)

2. Приложения (30 стр.)

3. Краткое изложение (10 стр.)

Концепция COSO ERM направлена на повышение взаимосвязи между риском, стратегией и стоимостью компании. Она рассматривает риск с точки зрения его роли в принятии стратегических решений, которые в конечном итоге влияют на эффективность деятельности организации в целом. Первая часть основной книги содержит обзор текущих и развивающихся концепций и областей применения управления рисками организации. Вторая часть основной книги, Концептуальные основы, включает пять компонентов, которые учитывают различные точки зрения и операционные структуры и способствуют улучшению стратегии и процесса принятия решений.

Эксклюзивное право на издание и распространение (только в печатном виде) Концепции COSO «Управление рисками организации. Интеграция со стратегией и эффективностью деятельности» (COSO ERM) 2017 года принадлежит Институту внутренних аудиторов. Выпуск данного издания и перевод текста на русский язык были выполнены при поддержке компании «Делойт», СНГ.

статус документа : материалы к заседанию КпТ

организация-разработчик: ПАО «Мегафон»

Разъяснение Х/2013

«Организация системы внутреннего контроля»

1. Общие положения

1.1 Настоящая Политика определяет порядок организации и функционирования системы внутреннего контроля (далее - СВК) в Обществе, в том числе описывает цель и задачи СВК, а также роли и ответственность ее субъектов.

1.2 Настоящая Политика разработана c учетом требований и рекомендаций:

  • действующего законодательством Российской Федерации (в т.ч. ст.19 закона N 402-ФЗ «О бухгалтерском учете»);
  • внутренних нормативных документов Общества;
  • Кодекса корпоративного поведения ФСФР РФ;
  • руководства Комитетом спонсорских организаций Комиссии Трэдуэя «Внутренний контроль. Интегрированная модель» (1992).

2. Определение и цели внутреннего контроля

2.1 Внутренний контроль - это непрерывный процесс, осуществляемый всеми сотрудниками и руководством Общества на всех уровнях управления, направленный на обеспечение условий для достижения целей Общества в следующих областях:

  • эффективность и результативность финансово-хозяйственной деятельности Общества;
  • сохранность активов;
  • соблюдение законодательных требований, нормативных актов, внутренних документов Общества и прочих применимых требований регуляторов;
  • достоверность финансовой отчетности.

2.2 Система внутреннего контроля (СВК) -система организационных мер, политик, инструкций, а также контрольных процедур, норм корпоративной культуры и действий, предпринимаемых Советом директоров, руководством и работниками Общества для обеспечения надлежащего ведения хозяйственной деятельности: для обеспечения финансовой устойчивости Общества, достижения оптимального баланса между ростом его стоимости, прибыльностью и рисками, для упорядоченного и эффективного ведения хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения нарушений, своевременной подготовки достоверной финансовой отчетности и, тем самым, повышения инвестиционной привлекательности.

2.3 В основе организации системы внутреннего контроля в Обществе лежит риск-ориентированный подход. Он означает тесную интеграцию системы внутреннего контроля с процессами управления рисками, в результате которой обеспечивается своевременное и эффективное применение методов по управлению рисками с использованием эффективных механизмов системы внутреннего контроля. При этом руководство Общества и его сотрудники концентрируют усилия по построению и совершенствованию системы внутреннего контроля, в первую очередь, в тех областях деятельности, которые характеризуются наиболее высоким уровнем рисков.

2.4 Система внутреннего контроля над процессом подготовки финансовой отчетности (СВКФО) - система организационных мер, политик, инструкций, а также контрольных процедур, норм корпоративной культуры и действий, предпринимаемых Советом директоров, руководством и работниками Общества для достижения целей в области подготовки достоверной финансовой отчетности.

2.5 Целями функционирования системы внутреннего контроля в Обществе являются:

  • Содействие в защите интересов акционеров, инвесторов и клиентов, предотвращение и устранение конфликтов интересов, поддержка эффективного управления Обществом и достижения стратегических целей наиболее эффективным способом;
  • Создание условий для защиты Общества от внутренних и внешних рисков, возникающих в процессе его деятельности, а также рисков подготовки финансовой отчетности Общества;
  • Содействие в обеспечении соблюдения Обществом требований законодательства и нормативных документов Общества;
  • Создание условий для своевременной подготовки и предоставления достоверной финансовой, бухгалтерской, статистической, управленческой и иной отчетности для внешних и внутренних пользователей;
  • Содействие в обеспечении сохранности активов и эффективного использования ресурсов и потенциала Общества.

3. Принципы функционирования и компоненты СВК

3.1 Организация и функционирование СВК в Обществе строится на следующих ключевых принципах:

  • Интегрированность - СВК является неотъемлемой частью корпоративного управления Общества и встраивается в его процессы и ежедневные операции. СВК включает процедуры по информированию руководства соответствующего уровня управления о любых существенных нарушениях финансово-хозяйственной деятельности, недостатках и слабых местах контроля, которые были обнаружены, вместе с анализом их причин, деталями корректирующих мероприятий, которые были предприняты или которые следует предпринять;
  • Непрерывность - СВК действует на постоянной основе, непрерывно и на всех уровнях управления, что позволяет Обществу своевременно выявлять отклонения в системе внутреннего контроля и предупреждать их возникновение в будущем;
  • Методологическое единство - процессы СВК реализуются на основе единых требований и подходов для всех подразделений Общества;
  • Целостность/комплексность - СВК действует на всех уровнях и во всех подразделениях Общества, охватывает все субъекты внутреннего контроля и направления деятельности и, соответственно, все риски:
    • Обязанность по построению и поддержанию надежной и эффективной СВК лежит на руководителях всех уровней управления Общества;
    • Контрольные процедуры существуют во всех бизнес-процессах и на всех уровнях управления;
    • Каждый работник Общества знает, понимает и выполняет свою роль в системе внутреннего контроля
  • Ответственность - за функционирование СВК ответственны все работники и руководство на всех уровнях Общества в рамках своих полномочий;
  • Ориентированность на риски - СВК в Обществе находится в тесном взаимодействии с системой управления рисками, что способствует своевременному и эффективному внедрению мероприятий по воздействию на риски. При анализе контрольных процедур следует оценивать величину и вероятность реализации рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей Общества, что позволяет сделать вывод о достаточности существующих контрольных процедур, либо о необходимости разработки и внедрения новых.
  • Оптимальность - объем и сложность контрольных процедур, используемых в Обществе, являются необходимыми и достаточными для эффективного управления рисками и достижения целей Общества. Ресурсы и затраты на внедрение и последующее функционирование контрольных процедур не должны превышать последствия реализации рисков (соотношение «затраты - экономический эффект»), а совокупный уровень остаточного риска должен соответствовать риск-аппетиту Общества.
  • Разделение обязанностей - в Обществе разграничиваются права и обязанности субъектов внутреннего контроля в зависимости от их отношения к процессам разработки, утверждения, применения и мониторинга СВК. Не допускается, чтобы на одного сотрудника/подразделение были одновременно возложены полномочия по:
    • утверждению операций с активами;
    • осуществлению операций с активами;
    • учету/регистрации операций;
    • проверке корректности, полноты и факта выполнения операции и обеспечению сохранности активов.
  • Формализация - СВК должна быть формализована:
    • описаны риски и контроли по всем существенным бизнес процессам, влияющим на достижение целей Общества;
    • задокументированы и сохраняются результаты выполнения контрольных процедур (первичные документы, отчеты, журналы операций и др.);

3.2 Актуальность и развитие - вся документация по СВК (описание рисков, контролей и др. информация) должна своевременно актуализироваться, а также постоянно совершенствоваться в целях повышения эффективности управления рисками. Высшее руководство обеспечивает условия для постоянного развития системы внутреннего контроля с учетом необходимости решать новые задачи, возникающие в результате изменения внутренних и внешних условий функционирования. Основой организации и функционирования системы внутреннего контроля в Обществе являются следующие компоненты:

  • Контрольная среда;
  • Оценка рисков;
  • Средства контроля;
  • Информация и коммуникации;
  • Мониторинг СВК.

Подробное описание компонентов СВК приведено в Приложении 1 настоящей Политики.

4. Субъекты внутреннего контроля и их функции

4.1 Система внутреннего контроля Общества определяется совокупностью объектов и субъектов. Объектами СВК является финансово-хозяйственная деятельность подразделений Общества. Субъекты внутреннего контроля определяются настоящей Политикой и другими нормативными документами Общества в области внутреннего контроля.

4.2 Состав субъектов внутреннего контроля определяется организационной структурой Общества и включает:

  • Совет директоров;
  • Комитет по аудиту;
  • Генерального директора;
  • Подразделение внутреннего контроля;
  • Руководителей структурных подразделений и работников Общества.

4.3 Совет директоров - определяет общие направления организации системы внутреннего контроля в Обществе, анализирует общую эффективность и соответствие СВК характеру, масштабам и условиям деятельности Общества в случае их изменения - рассматривает результаты оценки эффективности СВК, выявленные существенные недостатки и рекомендации по их устранению. Утверждает политику в области внутреннего контроля и изменения к ней.

Функции и задачи Совета директоров в отношении системы внутреннего контроля закреплены в положении о Совете директоров Общества.

4.4 Комитет по аудиту Совета директоров - оценивает соблюдение принципов внутреннего контроля и управления рисками и общую эффективность СВК в Обществе (в т.ч. на основании отчетов подразделений внутреннего аудита и внутреннего контроля), дает рекомендации по совершенствованию СВК.

Функции и задачи Комитета по аудиту Совета директоров закреплены в соответствующем положении о Комитете по аудиту Общества.

4.5 Генеральный директор - является ответственным за организацию, поддержание функционирования эффективной системы внутреннего контроля в Обществе и осуществление мониторинга функционирования СВК, в том числе:

  • Определяет направления развития и совершенствования СВК в Обществе;
  • Утверждает Положение о системе внутреннего контроля, Регламент проведения диагностики и совершенствования СВК и другие нормативные документы в области СВК;
  • Рассматривает результаты работы структурного подразделения внутреннего контроля, в том числе результаты диагностики СВК;
  • Устанавливает ответственность за выполнение решений высшего руководства в области внутреннего контроля;
  • Рассматривает и утверждает план мероприятий по устранению недостатков СВК.

4.6 Подразделение внутреннего аудита - осуществляет независимую оценку эффективности отдельных компонентов СВК, СВК объектов аудита и СВК Общества в целом и разрабатывает рекомендации по повышению ее надежности и эффективности, в том числе:

  • Осуществляет проверку соответствия деятельности подразделений и сотрудников нормативным документам, определяющим порядок организации и функционирования СВК;
  • Осуществляет оценку соответствия содержания нормативных документов, регламентирующих порядок организации и функционирования СВК, характеру и масштабам деятельности Общества;
  • Выявляет факты нарушений, анализирует причины их совершения и разрабатывает рекомендации по улучшению существующих и/или внедрению новых контрольных процедур для недопущения повторяемости нарушений;
  • Осуществляет контроль за своевременным и полным устранением выявленных нарушений и недостатков;
  • Осуществляет контроль качества процесса диагностики системы внутреннего контроля в Обществе, проводимой руководством и сотрудниками;
  • Консультирует по вопросам совершенствования внутреннего контроля.

4.7 Задачами Подразделения внутреннего контроля являются:

Координация деятельности по формированию и поддержанию эффективности системы внутреннего контроля;

  • Методологическое обеспечение СВК;
  • Организация процесса диагностики СВК в Обществе:
  • Подготовка планов развития и совершенствования СВК в Обществе;
  • Ведение и поддержание в актуальном состоянии инфраструктуры СВК (реестры рисков, контрольных процедур и бизнес-процессов);
  • Контроль выполнения плана мероприятий по устранению недостатков и совершенствованию СВК, в т.ч. контроль качества устранения недостатков;
  • Информирование всех участников СВК об изменении в подходах, документации и прочих требований в области СВК;
  • Организация подготовки программ обучения персонала вопросам организации и совершенствования системы внутреннего контроля.

Функции, задачи и полномочия структурного подразделения по координации СВК Общества определены в соответствующем Положении.

4.8 Руководители и работники структурных подразделений несут ответственность за формирование, поддержание и постоянный мониторинг системы внутреннего контроля по соответствующим функциональным направлениям деятельности подразделений по всей вертикали управления, а также осуществляют выполнение контрольных процедур в соответствии с возложенными на них должностными обязанностями, в том числе:

  • своевременное выявление и анализ рисков финансово-хозяйственной деятельности Общества;
  • разработку, формализацию, а также последующее исполнение и обеспечение эффективности и достаточности контрольных процедур в рамках своих бизнес процессов;
  • актуализацию описания СВК и своевременное информирование об изменениях подразделения по внутреннему контролю;
  • мониторинг функционирования СВК, а также самостоятельную оценку эффективности контрольных процедур, которые они выполняют;
  • информирование руководства о любых совершенных или возможных ошибках/недостатках, которые привели или могут привести к потенциальным негативным событиям;
  • прохождение обучения в области внутреннего контроля и управления рисками в соответствии с утвержденной программой обучения.

4.9 Общество обеспечивает создание эффективных каналов обмена информацией, включая, как вертикальные, так и горизонтальные связи, в целях формирования у всех субъектов внутреннего контроля понимания принятых в нормативных документов по организации и функционированию системы внутреннего контроля и обеспечения их исполнения.

4.10 Информация о работе системы внутреннего контроля, о найденных недостатках и других существенных обстоятельствах предоставляется Совету директоров, Комитету по аудиту Совета директоров, Генеральному директору, Правлению или другим органам в соответствии с существующими требованиями законодательства и нормативными документами Общества.

5. Роли

5.1 Для обеспечения эффективного функционирования СВК между руководителями и иными сотрудниками Общества распределяются следующие роли:

  • Владелец процесса/ риска
  • Координатор СВК
  • Исполнитель контроля

5.2 Владелец процесса / риска - руководитель подразделения/отдела, который несет ответственность:

  • за эффективное функционирование всех компонентов СВК (см. компоненты СВК в Приложении 1 ) в части покрытия рисков хозяйственной деятельности и подготовки финансовой отчетности в рамках своих бизнес процессов/рисков;
  • за назначение исполнителей контролей и закрепление в должностных инструкциях соответствующих сотрудников ответственности за выполнение данных процедур;
  • за обеспечение исполнения и документирования контролей исполнителями контролей в соответствии с документацией по СВК;
  • за выявление изменений в процессах, рисках либо контролях, требующего внесение изменений в документацию по СВК и информирование об этом сотрудников Подразделения внутреннего контроля / Координатора СВК в соответствующем подразделении;
  • за своевременное согласование документации по СВК (детального описания рисков, унифицированных и адаптированных контролей и другой информации);
  • за устранение недостатков в СВК, выявленных по результату тестирования либо мониторинга.

5.3 Исполнитель контроля - сотрудник любого уровня, который несет ответственность:

  • за своевременное и качественное выполнение контрольных процедур в соответствии с документацией СВК;
  • за уведомление, при необходимости, заместителя исполнителя контроля и сотрудника Подразделения внутреннего контроля о необходимости выполнения соответствующей контрольной процедуры вместо исполнителя;
  • за своевременное согласование документации по СВК (детального описания рисков, контролей и другой информации);
  • за выполнение процедур по самооценке эффективности СВК;
  • за выявление изменений в процессах, рисках либо контролях, требующего внесение изменений в документацию по СВК и информирование об этом владельца риска/процесса, Координатора СВК в соответствующем подразделении и сотрудников Подразделения по внутреннему контролю;
  • за устранение недостатков СВК, выявленных по результату тестирования и мониторинга.

5.4 Координатор СВК сотрудник в каждом подразделении, который несет ответственность:

  • за организацию и координацию процесса функционирования СВК в рамках соответствующего подразделения;
  • за проведение мониторинга качества выполнения и документирования контрольных процедур в части контролей, выполняемых в соответствующем подразделении;
  • за актуальность документации по СВК в части соответствующего структурного подразделения;
  • за информирование Подразделения по внутреннему контролю о необходимости изменения документации по СВК (изменение процессов, рисков либо контролей, вкл. предложение новых формулировок в части рисков, контролей и другой информации).

6. Требования и обязанности в области обеспечения эффективности СВК

6.1 Внутренний контроль является неотъемлемой частью функционирования любого подразделения Общества.

6.2 Все работники несут ответственность за функционирование и обеспечение эффективности СВК Общества.

6.3 Руководство Общества должно доводить до работников важность наличия и обеспечения эффективности функционирования СВК, а также роль каждого работника в данной системе, в том числе следующие основные требования:

  • Ни один работник прямо или косвенно не может допускать либо являться причиной намеренного фальсифицирования данных бухгалтерской, управленческой либо иной отчетности.
  • Никакие изменения не могут быть внесены в учетные данные, если заведомо известно, что эти изменения могут исказить суть соответствующих операций.
  • Никакие денежные суммы/счета/операции не могут укрываться для цели их неполного отражения в отчетности.
  • Все работники Общества обязаны сохранять активы Общества и обеспечивать их эффективное использование.

6.4 Если работник Общества обладает информацией о недостатке либо неэффективности процедур внутреннего контроля, он должен незамедлительно сообщить об этом своему непосредственному руководителю, а также руководителям подразделений внутреннего контроля и внутреннего аудита.

6.5 Если работник умышленно не соблюдает настоящую Политику и не выполняет контрольные процедуры, за которые он является ответственным, к данному работнику будет применено дисциплинарное взыскание вплоть до увольнения в соответствии с требованиями действующего законодательства.

7. Мониторинг эффективности СВК

7.1 Целью проведения мониторинга является оценка эффективности системы внутреннего контроля Общества, в том числе ее способности обеспечить выполнение поставленных перед ней целей и задач, а также выяснение существенности недостатков системы.

7.2 Мониторинг системы внутреннего контроля над финансовой отчетностью предусматривает:

  • осуществление руководством подразделений постоянного контроля за выполнением контрольных процедур в подотчетных им подразделениях;
  • проведение самооценки системы внутреннего контроля в Обществе;
  • осуществление периодических проверок выполнения контрольных процедур и проверок соответствия операций требованиям законодательства и положениям нормативных документов организации силами подразделения по внутреннему аудиту;
  • осуществление оценки эффективности системы внутреннего контроля над процессом подготовки финансовой отчетности силами внешнего аудитора
  • своевременное доведение информации о выявленных недостатках системы внутреннего контроля над финансовой отчетностью до заинтересованных лиц в рамках вертикали управления.

7.3 Самостоятельная оценка эффективности СВК (далее - самооценка СВК) проводится непосредственно силами субъектов СВК путем:

  • Рассылка опросных листов - используется для сбора информации об эффективности функционирования СВК и изменениях в бизнес-процессах от работников и руководителей подразделений Общества.
  • Мониторинг состояния СВК - это процесс проверки полноты, своевременности выполнения и правильности документирования КП.
  • Оценка эффективности контрольных процедур - анализ эффективности описания и исполнения контроля, а также анализ достаточности контрольных процедур (оценка, насколько контроль, при условии его эффективного выполнения способен эффективно снижать соответствующие ему риски).

7.4 Регулярная оценка СВК способствует повышению ее эффективности посредством:

  • своевременного выявления изменений в бизнес-процессах, дизайне или этапах выполнения контрольных процедур;
  • повышения мотивации Исполнителей контролей и их Руководителей за счет непосредственного участия в совершенствовании СВК и постоянного контроля над качеством выполнения КП;
  • предоставления информационной базы руководству Компании для подтверждения эффективности функционирования СВК.

7.5 Результаты оценки СВК должны быть задокументированы и представлены руководству Общества и Комитету по аудиту Совета директоров:

  • Подразделения внутреннего аудита подготавливает отчет по результатам оценки СВК;
  • Внешний аудитор формирует письмо руководству о существенных недостатках, выявленных по результатам внешней независимой оценки СВК;
  • Подразделение по внутреннему контролю подготавливает отчет по результатам самооценки СВК, проведенной силами структурных подразделений Общества.

8. Внесение дополнений и изменений в Политику

8.1 При изменении и дополнении законодательных актов, требований регуляторов и нормативных документов Общества, регламентирующих функционирование системы внутреннего контроля, изменения и дополнения в настоящую Политику могут быть внесены только надлежащим образом оформленными решениями Совета директоров Общества. Совет директоров Общества может также принять решение об утверждении новой редакции Политики.

Приложение 1. Компоненты СВК согласно методологии COSО

Внутренний контроль, согласно модели COSO «Internal Control-Integrated Framework», состоит из пяти взаимосвязанных компонентов, которые исходят из способов ведения бизнеса и связаны с процессом его управления. Пять компонентов включают в себя:

Контрольную среду: Контрольная среда создает атмосферу в организации, которая влияет на осознание персоналом важности выполнения контролей. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая упорядоченность и дисциплину. К факторам контрольной среды относятся целостность, этические ценности, стиль работы руководства, система распределения полномочий и обязанностей, а также процессы управления и развития персонала в организации. Также эффективность контрольной среды зависит от внимания к данному вопросу со стороны Совета директоров.

Оценку рисков: каждая организация сталкивается с различными внешними и внутренними рисками, которые необходимо оценивать. Необходимым условием для оценки рисков является определение целей, поэтому оценка рисков подразумевает выявление и анализ соответствующих рисков связанных с достижением установленных целей. Оценка рисков является необходимым условием управления рисками.

Средства контроля: Средства контроля представляют собой политики и процедуры, которые обеспечивают исполнение решений руководства. Они помогают обеспечить исполнение необходимых действий в отношении рисков, которые могут помешать организации в достижении её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, сохранению активов и разделению обязанностей.

Информацию и коммуникацию: Вся необходимая информация должна быть выявлена, сформулирована и своевременно доведена до соответствующих сотрудников так, чтобы обеспечить им возможность полноценно исполнять свои должностные обязанности. Информационные системы также играют важную роль в системе внутреннего контроля, поскольку они содержат финансовую информацию, а также информацию по операционной деятельности и соблюдению законодательства, что позволяет управлять и контролировать бизнесом. Вопрос состоит не только в части распространения внутренней информации компании, но также важно информировать сотрудников о внешних событиях и мероприятиях, которые необходимы для принятия различных решений. Эффективная коммуникация в более широком смысле должна обеспечить информационные потоки вниз и вверх, а также между подразделениями по всей организации. Важно, чтобы персонал компании получал от высшего руководства четко сформулированную позицию о важности исполнения обязанностей в части внутреннего контроля. Также важно, чтобы каждый сотрудник четко понимал свою роль в системе внутреннего контроля, и как результат его труда связан с деятельностью других сотрудников. Персонал должен осознавать необходимость сообщать всю важную информацию руководству компании. Эффективная коммуникация, по вопросам связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.

Мониторинг: Система внутреннего контроля, требует мониторинга — процесса периодической оценки качества ее работы. Это достигается путем постоянного мониторинга качества исполнения тех или иных операций, путем отдельных проверок по оценке эффективности того или иного процесса либо путем комбинации этих двух вариантов. Постоянный мониторинг осуществляется на ежедневной основе, вкл. деятельность по руководству и управлению соответствующими процессами, а также другие мероприятия в рамках исполнения персоналом их обязанностей. Объем и частота проведения отдельных проверок зависит от уровня оценки соответствующих рисков, а также от результатов проведения постоянного мониторинга по данным операциям. Недостатки внутреннего контроля, выявленные в ходе мониторинга, следует доводить до сведения руководства, а наиболее существенные замечания должны доводиться до высшего руководства и Совета директоров.

Тесная взаимосвязь данных компонентов обеспечивает формирование интегрированной системы, которая способна оперативно реагировать на возникающие вызовы. Система внутреннего контроля является неотъемлемой частью операционной деятельности. Наиболее эффективной СВК является, если контроли встроены в инфраструктуру организации и являются частью ее сущности. Встроенные контроли усиливают качество и результативность мероприятий, а также помогают избегать дополнительных затрат и позволяют быстрее реагировать на те или иные события.


“COSO - The Committee of Sponsoring Organizations of the Treadway Commission, USA”

Комитет организаций-спонсоров Комиссии Тредвея (англ. The Committee of Sponsoring Organizations of the Treadway Commission , COSO ) - является добровольной частной, организацией, созданной в Соединенных Штатах и предназначенной для выработки соответствующих рекомендаций для корпоративного руководства по важнейшим аспектам организационного управления, деловой этики, финансовой отчетности, внутреннего контроля, управления рисками компаний и противодействия мошенничеству.

Вначале необходимо сказать, что российских стандартов по риск-менеджменту, внутреннему контролю и внутреннему аудиту почти нет. Думаю, что это плохо, потому что в было множество интересного. Но вполне можно пользоваться и буржуйскими. Ключевая проблема состоит в их преподносимой многими специалистами интерпретации: для риск-менеджмента – с акцентом на финансовые риски, для постановщиков внутреннего контроля и внутренних аудиторов – с акцентом на отчетность. То есть нужно помнить о том, что каждый стандарт содержит множество компонент и, помня обо всех, можно добиться значительно большей полезности.

Наиболее известными стандартами являются:

  • по управлению рисками: стандарт FERMA (Федерация Европейских Ассоциаций риск-менеджеров), стандарт COSO ERM (COSO – Комитет организаций-спонсоров Комиссии Тредвея, ERM – Enterprise Risk Management), ГОСТ ISO31000;
  • по системам внутреннего контроля – стандарт COSO IC IF (Internal Control – Integrated Framework);
  • по внутреннему аудиту – Международные основы профессиональной практики (МОПП).

Где можно прочитать стандарты?

Первоначально все стандарты были разработаны, естественно, на английском языке. Тем не менее, переводы на русский язык существуют.

FERMA – в свободном доступе когда-то была и русская, и английская версия. Сайт – http://ferma.eu . Сейчас, увы, исчезло, но ниже по ссылке есть последний актуальный.

За время моего наблюдения там было несколько переводов. Особенно понравилось, что в одном переводе фраза

«Хотя идентификация рисков может производиться независимыми консультантами, оценка, производимая внутри компании, при тесном взаимодействии ее служб, с последовательным и скоординированным использованием представленных процессов и инструментов, будет, вероятно, более эффективной»

была заменена на фразу (на сайте FERMA сейчас исправлена, на сайте Русриска до сих пор висит)

«Идентификация рисков организации, как правило, осуществляется независимыми консультантами . Однако понимание и анализ рисков «собственно» организацией имеет огромное значение для успешного процесса управления рисками».

В общем, не парились люди совершенно. Конечно, каждый зарабатывает деньги, как умеет, но намеки на материальную поддержку себя любимого могли бы быть и потоньше.

ГОСТ ISO31000 одинаково легко найти как в гугле, так и в яндексе.

Стандарты COSO – в свободном доступе есть только «концептуальные основы» на английском и русском языках. Сайт – www. coso.org . На русском в 2015 году вышел официальный перевод, продается Институтом внутренних аудиторов, не читал, стоил 2000 рублей. Из «условно-бесплатного» имеется «официальный» перевод (кстати, вполне читаемый и качественный) COSO ERM и «неофициальный» части COSO IC IF. Расположен в закрытой части сайта Института внутренних аудиторов РФ, сайт – http://iia-ru.ru . Попасть в закрытую часть можно только членам ИВА.

МОПП – частично есть в открытом доступе (но не всё, полезности именно для постановки начинаются с практических указаний), остальное – в закрытой части сайта Института внутренних аудиторов РФ (http://iia-ru.ru). Отмечу, что МОПП, несмотря на объем, достаточно легкое чтиво (во всяком случае, для меня), перевод сделан очень качественно.

Итого: все необходимые стандарты можно получить на великом и могучем за 2500 рублей в качестве членского взноса в Институт внутренних аудиторов. Разумная цена, там еще и бонусы есть в виде нескольких интересных презентаций. Для получения полного набора на русском языке потребуется еще приобретение книжки, цена для членов Института — 1800 рублей.

Немного истории.

Первым в современном виде появился стандарт COSO IC IF в 1992 году. В 2013 году подготовлена новая версия.

Почему-то COSO очень любит всякие кубы. Приведу традиционный COSO-куб, специально нашел самую дурную версию (перевернуто с ног на голову, как бы начинается с мониторинга).

Значительно более разумным является следующее представление:

Почему оно является разумным. Первое – контрольная среда важна для всей организации, мониторинг должен охватывать весь процесс внутреннего контроля. Сам же процесс достаточно банален, а именно представляет собой взаимосвязь «риски→контрольные процедуры» с соответствующим информационным обеспечением. Второе – мониторинг должен охватывать все остальные компоненты.

В 2002 появился стандарт FERMA. Мне он больше всего нравится из-за малого объема. Принципиальная схема работы по этому стандарту – на картинке.

Также можно отметить, что стандарт FERMA не содержит акцента на отчетность организации в виде ключевой компоненты (например, природы риска). Причина достаточно банальна: европейские риск-менеджеры (а FERMA – именно их организация) выросли не из аудиторов отчетности, а из страховщиков и финансистов. Происхождением, как мне кажется, объясняется и классификация:

Банкиры и страховщики выделяют в отдельную категорию финансовые риски и опасности. Почему – думаю, понятно. Все же остальные (и внутренние аудиторы, и COSO) росли из отчетности, поэтому и в стандартах внутреннего аудита, и в стандартах COSO в обязательном порядке встречаются цели в области достоверности отчетности и соответствия законодательству (compliance).

Что произошло дальше (версия – просто мое мнение). Творческий коллектив COSO, проанализировав новый стандарт, подумал примерно следующее: а что это у всех уже про стратегию есть, а мы ещё сопли жуём. И примерно за полтора года нарисовали очередной кубик, написав стандарт COSO ERM (2004 год):

Чтобы было понятно, откуда что растет – дополнительная картинка:

На мой взгляд, всё очевидно. Можно еще посравнивать компоненты по вертикальной оси из COSO-куба и последовательность действий, описанной в FERMA.

Через пять лет Международная организация стандартизации (ISO) выпустила свой стандарт по управлению рисками. Документы ISO разрабатываются с точки зрения дела (а не продаж консультационных услуг), поэтому, в моем понимании, ISO31000:2009 — оптимальный стандарт с точки зрения соотношения объем/полезность, хотя и требует перевода с русского на русский. Кстати, ISO внедрила принцип управления рисками и в наиболее известный в России стандарт ISO9000, что вызвало определенную панику в ряды постановщиков систем менеджмента качества.

Стандарты внутреннего аудита прошли значительную эволюцию за 50 лет. Начиналось все с бухгалтерии и compliance. Текущая версия – это оценка рисков и эффективности контроля в части:

  • достоверности и целостности информации о финансово-хозяйственной деятельности;
  • эффективности и результативности деятельности;
  • сохранности активов;
  • соответствия требованиям законов, нормативных актов и договорных обязательств.

Как видите, три компонента совпадают с COSO IC IF (где возникли первыми, сказать не могу, не историк), а сохранность активов, судя по всему, идет еще с 1957 года (или с 1947?). Зачем выделять отдельно – не знаю: не думаю, что деятельность можно признать эффективной и результативной при наличии воровства или потери активов из-за неправильного хранения.

Краткие комментарии к стандартам.

Прочитать желательно все. Относительно простые стандарты с точки зрения читабельности – это FERMA, ISO31000 и МОПП. FERMA просто небольшой по объему, для МОПП можно ограничиться именно стандартами (МПСВА), практические указания – это просто рекомендации (хотя и строгие). Читабельность объясняется просто: FERMA и ISO писали стандарты для риск-менеджеров, Институт внутренних аудиторов – для внутренних аудиторов. И тем, и другим очень желательно говорить на одном языке, в том числе обеспечить однообразность подходов. Соответственно, совсем уж многосложных конструкций и неопределенностей лучше было избежать, что и сделано.

COSO – это труды фундаментальные, многотомные, за COSO ERM благодарности выражены аж 30 партнерам PwC. На мой взгляд, если бы участвующих партнеров было бы поменьше, то и документ получился бы получше – возникла, как это бывает, «синергия наоборот». Особенность стандартов COSO: из «концептуальных основ» непонятно вообще ничего, понятное начинается в самом последнем документе (на примере COSO ERM – «Применение»). Нужно понимать, что авторы – это аудиторы и консультанты. Им незачем делать понятный стандарт: зачем терять выручку. Поэтому необходимо, чтобы у читателя «рука потянулась к телефону» Партнера Большой Консультационной Компании. На мой взгляд, получилось. Также обратите внимание на то, что, в отличие от этого сайта, отсутствует «сквозной» подход: нет логики «вот мы берем набор рисков, вот мы их оцениваем, вот ими управляем, вот можно провести аудит». Набор примеров, безусловно, неплохой. Но если попытаться применить их к одному бизнесу – скорее всего, мало что получится. Кстати, в целом лично у меня отношение к документам COSO абсолютно ровное. Полезные вещи есть, но говорить об этих стандартах с придыханием, как некоторые женщины в присутствии иностранцев, право, не стоит.

При постановке риск-менеджмента рекомендую использовать FERMA и ISO31000, если в FERMA что-то не прописано. Внутренний контроль – тема особая, традиционно COSO IC IF можно использовать только для формирования не особо полезных документов. Проблема COSO IC IF — в его интерпретации, которая состоит либо в философии про контрольную среду, либо про отчетность, в откомментировано. А внутренний аудит – есть поддерживаемые стандарты, кодекс этики подписал (так как член ИВА), поэтому ничего другого, кроме МОПП, не остается.

Почему я не упоминаю SOX?

О законе Сарбаниса-Оксли я слышал. Кстати, Сарбанис – грек, поэтому именно так, а не Сэрбейнс. Так вот, мое мнение – в теперь уже big4 работают гениальнейшие продажники.

Вспомним, как появился SOX. Он появился по результатам абсолютно фиктивной отчетности кучи компаний. По поводу того, почему это произошло, наши мнения с коллегой-экспертом не сходятся. Я считаю, что это абсолютный непрофессионализм и жажда наживы: понятное дело, что кто-то другой из big5 вполне мог бы взяться за отчетность вкупе с консультационными контрактами за те же деньги. Да и уничтожение рабочих бумаг аудитора говорит о многом.

Коллега отмечает, что есть как минимум несколько системных недостатков по управлению аудитом и приводит несколько аргументов в пользу того, что подтверждение отчетности могло проходить без больших сделок с совестью:

  • малое время на осуществление аудита. Биржа требует «давай-давай», тема с ускорением закрытия периода – интересная тема для консультирования. Штука, как мне кажется, наивреднейшая, потому что фактически способствует недостоверности отчетности и не оставляет времени на обычные контрольные процедуры по проверке документов («внизу» все документы должны быть проведены за 1-2 дня);
  • квалификация сотрудников. Всё проверяют интерны, каждый закреплен за участком. Потоки большие, бизнес с накачиванием финансового результата нужно отлавливать скорее форензикам, а не просто аудиторам. С учетом времени, отведенного на аудит, вполне вероятно подтверждение отчетности и без злого умысла. А старший товарищ, который и должен был подтверждать СВК, делал это через формальные compliance-тесты, коих есть у всех аудиторов в избытке. Результат контроля качества – рабочие бумаги заполнены, и хорошо, в нестандартные операции никто мог особо и не вдаваться: СВК на уровне, выборка случайная;
  • требования партнеров. Да, безусловно, ошибки и несоответствия были. Достаточно ли это было для того, чтобы признать отчетность липовой и поссориться с клиентом? Каждый в отдельности недостаток, с учетом незначительной выборки – возможно, и нет. А на совокупность и не смотрели.

Как бы то ни было, результат просто потрясающ. Вместо «перетрахивания», как говорил Президент Республики Беларусь А.Г. Лукашенко про свой парламент, всего аудиторского сообщества возникают дополнительные требования не к аудиторам, которые покрывали мошенничество, а к самим компаниям (в том числе и тем, которые жили честно). И эти требования формулируют, как ни странно, сами аудиторы. Понятное дело, что требования сформулированы таким образом, что опять нужны аудиторы (ну, то есть называются консультанты, но территориально находятся в соседнем отделе аудиторской компании). Дальше всё очевидно.

Итог: помимо формального аудита отчетности каждая публичная компания должна была заказать постановку внутреннего контроля по SOX (ну, или нанять персонал, что тоже недёшево). Стоимость внешнего аудита при этом выросла, так как нормочасы увеличились на оценку СВК над подготовкой отчетности. При этом, насколько мне известно, даже если система внутреннего контроля над подготовкой отчетности оттестирована внутренним аудитом вдоль и поперек, принципиального снижения стоимости услуг внешнего аудита не наблюдается.

Кстати, теперь Big4 не оказывает одной и той же организации услуги по аудиту и консалтингу. То есть по факту и стоимость консультационных услуг для бизнеса выросла (принцип «оптом дешевле» отменен).

В общем, ключевой результат аудиторского скандала по вине аудиторов – рост выручки аудиторов. «Здорово, правда?» (©сестры Зайцевы, Comedy Club). Поэтому слово SOX я стараюсь не употреблять.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter .

Похожие статьи