Сам себе контролер
Уже больше года действуют положения Федерального закона от 6 декабря 2011 г. № 402-ФЗ "О бухгалтерском учете" , в которых определена обязанность организаций осуществлять внутренний контроль (ВК) всех сделок и операций, а для тех, чья отчетность подлежит обязательному аудиту, нужно контролировать еще и ведение бухучета и отчетности. Причем больше в самом Законе про ВК не сказано ничего. В последних числах прошлого года Минфин России выпустил письмо и информацию с разъяснениями по этом вопросу (Письмо Минфина России от 25 декабря 2013 г. № 07-04-15/57289, Информация Минфина России от 25 декабря 2013 г. № ПЗ-11/2013 "Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности"), но большинство организаций не успело им воспользоваться, ведь к началу года многие фирмы постарались уже создать свою систему ВК . Однако, создавая службы ВК "с нуля" и без учета рекомендаций Минфина России, у руководства компаний возникало множество вопросов и сложностей. Попробуем разобраться, что же такое идеальный внутренний контроль с точки зрения Минфина России и как его организовать.
Что такое внутренний контроль, и для чего он нужен
Прежде всего разберемся, что же относится к нему. Одну из первых и наиболее широко распространенных сегодня моделей организации внутреннего контроля разработал американский комитет COSO (The Committee of Sponsoring Organizations of the Treadway Commission, COSO – Комитет организаций-спонсоров Комиссии Тредвея). Он же и дал определение внутреннего контроля, применяющееся до сих пор.
Внутренний контроль – это процесс, осуществляемый советом директоров, руководством и другими работниками организации, направленный на обеспечение разумной уверенности в том, что будут достигнуты цели организации по эффективности и результативности операций, достоверности финансовой отчетности, соответствию деятельности действующему законодательству. Таким образом, ответственность за эффективность ВК несут не только специальные подразделения по управлению и контролю, но и все работники компании.
Разобравшись с тем, что такое внутренний контроль, посмотрим, какие же цели и задачи он перед собой ставит. Как установлено в Информации Минфина России, он нужен для уверенности в том, что деятельность организации эффективна и результативна, бухгалтерская отчетность достоверна и своевременна, а требования законодательства соблюдены.
Для каждого из этих направлений есть и свои характерные цели и задачи. Так, например, в области обеспечения эффективности системы корпоративного управления целями и задачами ВК будут: определение и оценка критериев эффективности реализации стратегий, оценка ее рисков, управление ими, обеспечение информацией о рисках всех заинтересованных сторон и мониторинг соответствия деятельности компании установленным показателям реализации стратегии.
В области эффективности бизнес-процессов целью проведения внутреннего контроля является: определение и оценка критериев эффективности и результативности бизнес-процессов, оценка рисков по ним и управление этими рисками, предоставление информации о системе управления рисками и о результатах функционирования органов управления.
Как мы видим, вне зависимости от области контроля, цели в них очень похожи – определение и оценка эффективности (или контрольная среда), оценка рисков, управление рисками (или проведение контрольных процедур), предоставление информации и мониторинг. Именно они и определены Минфином России как элементы внутреннего контроля по которым и проходит оценка самой службы внутреннего контроля (проводится не реже одного раза в год).
Основные участники и их роли
В соответствии с указаниями Минфина России внутренний контроль осуществляют органы управления организации, ревизионная комиссия, главный бухгалтер (или иной сотрудник, который ведет бухучет; также может быть бухгалтер на аутсорсинге), внутренний аудитор (или специализированная служба внутреннего аудита) и другие сотрудники фирмы, ответственные за соблюдение правил внутреннего контроля (рис. 1).
Совет директоров, как управляющий орган компании, определяет необходимый уровень развития системы внутреннего контроля и утверждает политику внутреннего контроля, а также дает поручения исполнительным органам фирмы о разработке направлений совершенствования и развития системы внутреннего контроля.
На практике в крупных организациях, холдингах или группе компаний возникает необходимость организовать специальное подразделение внутреннего контроля. Это может быть обусловлено спецификой деятельности организации или высокими рисками, требующими постоянного контроля. Поэтому создается комитет по аудиту, который выполняет следующие функции:
• осуществляет надзор за системой внутреннего контроля;
• осуществляет надзор за соблюдением законодательства и локальных нормативных документов;
• анализирует финансовую (бухгалтерскую) отчетность до ее вынесения на рассмотрение советом директоров и раскрытия;
• рассматривает отчетность департамента внутреннего контроля и управления рисками о результатах контрольных процедур по оценке эффективности системы ВК и управления рисками;
• взаимодействует с ревизионной комиссией по выработке совместных рекомендаций по совершенствованию системы внутреннего контроля.
Исполнительные органы компании, например, правление, организует и несет ответственность за эффективное управление рисками, создает реестр рисков, а также формирует бюджеты и на мероприятия по управлению рисками.
Если в организации создан департамент внутреннего контроля, то он определяет методологию, организует и координирует деятельность по совершенствованию системы внутреннего контроля и управления рисками. Также в его обязанности входит проведение мониторинга рисков и формирование отчетов по их управлению.
Высшие менеджеры обеспечивают реализацию принципов системы внутреннего контроля и управления рисками, управляют рисками бизнес-процессов, о которых их должны информировать профильные подразделения.
Какими документами регулируется система внутреннего контроля
Итак, цели и задачи, участники и их роли определены, но нужно это где-то закрепить. Для этого совет директоров, как орган управления компании, утверждает политику внутреннего контроля в которой определяются виды контроля (превентивный, текущий и последующий) и процедуры его проведения. В политику можно включить также и методические основы организации внутреннего контроля и концепцию по его развитию в которых прописать стратегию развития и дорожную карту по достижению поставленных целей. Дополнительно, для усиления контроля за рисками, некоторые компании отдельно разрабатывают политику по управлению рисками и создают специализированное подразделение.
Если в организации есть комитет по аудиту, то совет директоров должен утвердить и положение по нему, в котором будут установлены процедуры взаимодействия с подразделениями и их подчиненность комитету. Сам же комитет разрабатывает положение о департаменте внутреннего контроля и управления рисками, регламентирующее его функционал, права и обязанности.
Риски и что с ними делать
Как прописано в Информации Минфина России, одним из основных элементов внутреннего контроля является оценка рисков. Для того чтобы риски оценить, их сначала нужно спрогнозировать, а потом спланировать мероприятия, которые либо не позволят рискам реализоваться, либо снизят их последствия. Поэтому компании нужно сначала определить, какую степень риска она считает для себя приемлемой в процессе достижения своих целей (рассчитать риск-аппетит), а также приемлемый уровень отклонения от желаемых показателей при достижении цели (допустимый уровень риска).
Когда компания определилась с тем, какие риски она готова нести, а какие необходимо минимизировать, нужно разработать механизм реагирования на риски. Он состоит из двух этапов: выбор метода реагирования и оценка его эффективности. Методов тоже два – снижение вероятности наступления события и снижение последствий события (или влияния), но обычно их используют в совокупности. Например, чтобы снизить производственный риск компания может:
• застраховаться – это поможет снизить влияние;
• привести условия эксплуатации станков и оборудования в соответствии с нормативно-технической документацией, заменить старое оборудование или своевременно провести ремонт, поддерживать противопожарную систему безопасности, и прочее – эти меры снизят вероятность наступления риска.
После разработки методов компания должна провести контроль эффективности мероприятий: было ли мероприятие проведено фактически, дало ли это результат, достаточно ли будет принятых мер (рис. 2).
Внутренний контроль и внутренний аудит
Как мы видим, требования, предъявляемые Минфином России к организации внутреннего контроля не такие и запредельные. Многие структуры и механизмы контроля уже давно существовали в компаниях. Теперь же их нужно просто привести к единому стандарту.
А вместо заключения хотелось бы предостеречь компании от одной ошибки: не путайте внутренний контроль и внутренний аудит. Так, на одной из конференций, посвященной системе организации внутреннего контроля, только 10% участников смогли назвать различия между контролем и аудитом. Ниже в таблице мы привели их основные характеристики.
Автор: Екатерина Валуева
Источник: ИА "ГАРАНТ": Garant.ru