Как выстроить эффективную систему внутреннего контроля в компании
Если ваша компания нуждается в ужесточении внутреннего контроля, воспользуйтесь нашими рекомендациями, чтобы найти оптимальный уровень контроля и избежать распространенных ошибок.
Как обеспечить оптимальный уровень внутреннего контроля в компании
Чтобы выстроить эффективную систему внутреннего контроля в компании:
- проведите заранее диагностику текущего состояния контрольных процедур;
- создайте единые правила и регламенты бизнес-процессов;
- зафиксируйте круг ответственных.
Что проверить в компании перед внедрением системы внутреннего контроля
Отказ от предварительной диагностики текущей работы предприятия – одна из первых ошибок при внедрении системы внутреннего контроля. В любой компании есть контрольные процедуры, даже если их не формализовали. Эти процедуры нужно изучить, чтобы понять, какие зачатки внутреннего контроля нужно развить, а что добавить. Предварительная диагностика поможет: оценить имеющиеся в компании контрольные процедуры; выявить проблемные зоны и разработать план действий для их минимизации.
Если пропустить предварительную диагностику, система внутреннего контроля окажется далекой от реальности. Чтобы избежать этой ошибки, заранее проанализируйте текущее состояние внутреннего контроля компании, в том числе оцените:
- контрольную среду (организацию работы подразделений);
- управление рисками;
- контрольные процедуры;
- информацию и коммуникации;
- действующие регламенты и результаты интервью ключевых сотрудников.
Зачем нужны единые регламенты при внедрении контрольных процедур
Нередко компании не формируют новые или не корректируют текущие регламенты работы подразделений – это типичная ошибка при построении системы внутреннего контроля. Если нет единых правил регламентации, контрольные процедуры не принесут желаемого эффекта.
Когда обязательно корректировать регламенты:
- если в них нет обязательных разделов. Например, «входы» и «выходы» процесса, участники, последовательность выполнения действий, требования к конечному результату. Допустим, в платежном регламенте нет критериев, по которым контролер обязан проверить заявку на платеж. Нельзя гарантировать, что контролер не пропустит заявку без обязательных реквизитов или свыше бюджета;
- если не разделили функции исполнения и контроля. Например, в регламенте не указали, что проверять, соответствует ли заявка на платеж, должен не заинтересованный в оплате сотрудник;
- если регламент не соответствует реальному бизнесу, так как его подготовили консультанты, не пообщавшись с сотрудниками компании – исполнителями контрольных процедур;
- если контрольные функции не обеспечили средствами и полномочиями для их исполнения;
- если доля ручных контрольных процедур высока в ущерб автоматизированным контролям.
Чтобы наладить эффективный внутренний контроль, предстоит:
разработать единые стандарты описания бизнес-процессов и контрольных процедур, например, типовое положение о контрольной процедуре;
возложить ответственность на структурное подразделение или должностное лицо за координацию бизнес-процессов, включая разработку форм, методик и шаблонов по описанию бизнес-процессов, а также за проверку качества подготовленных проектов, регламентов и контрольных процедур.
Кому поручить контрольные процедуры
Ответственность за процедуры внутреннего контроля последовательно распределяйте по всем уровням управления в компании, начиная с высшего менеджмента и заканчивая рядовыми исполнителями бизнес-процессов. Нельзя замыкать основную часть контрольных полномочий на одном структурном подразделении – это типовая ошибка при внедрении системы внутреннего контроля.
Например, в компании создали один департамент, контролирующий деятельность остальных структурных подразделений, в том числе проверяющий:
- исполнение организационно-распорядительных документов;
- закупочную деятельность;
- инвестиционные проекты;
- анализ ключевых показателей эффективности.
Из-за загруженности департамент не успевает проверять все, а структурные подразделения самоустраняются от выполнения текущего контроля. Еще одна ошибка – делать упор на последующий контроль, выявлять нарушения за предыдущий период постфактум. Так пропустите злоупотребления в ходе процесса. К примеру, закупочную деятельность можно контролировать поэтапно: обосновать начальную максимальную цену, проанализировать тендерные предложения до проведения торгов и т. д. Но руководство компании проверяет только итоги прошедших закупок. Так оказывается, что заключили договоры с заведомо завышенной ценой. Чтобы избежать ошибок и добиться эффективного внутреннего контроля, распределите полномочия по трем линиям защиты:
- первая линия – контроль на уровне бизнес-подразделений. Задействуйте сотрудников структурных подразделений, реализующих контрольные процедуры в рамках текущего исполнения бизнес-процессов;
- вторая линия защиты – контроль на уровне специализированных подразделений (управление рисками, финансовый контроль, экономическая безопасность);
- третья линия защиты – независимая оценка эффективности контроля службой внутреннего аудита.
Источник: "Финансовый директор"