Совершенствование системы внутреннего контроля

Для того чтобы организация успешно функционировала, постоянно повышался уровень рентабельности, сохранялись и приумножались ее активы, необходим отлаженный механизм управления, самым важным инструментом которого выступает внутренний контроль.

Внутренний контроль представляет собой процесс, который осуществляется органом управления организацией или другими сотрудниками организации, для того, чтобы получить информацию, которая касается выполнения трех задач: [2]

1. Эффективная и рациональная деятельности;

2. Достоверная финансовая отчетность;

3. Соблюдение законов и нормативных актов.

Система внутреннего контроля представляет собой совокупность организационной структуры, методики процедур, которые приняты руководством экономического субъекта в качестве средств для упорядоченного и эффективного ведения хозяйственной деятельности, которая в том числе включает организованные внутри данного экономического субъекта его силами надзор и проверку соблюдения требований законодательства, точности и полноты документации бухгалтерского учета, своевременности подготовки достоверной бухгалтерской отчетности, предотвращения ошибок и искажений, исполнения приказов и распоряжений, обеспечения сохранности имущества организации. [1]

Целью системы внутреннего контроля является своевременное предотвращение нерациональных или неправильных действий, а также ошибок при обработке информации.

Система внутреннего контроля включает в себя несколько связанных компонентов:

1. Контрольная среда — может дать общую оценку организации, ее политике и процедурам;

2. Оценка рисков — идентификация руководством рисков;

3. Информация и сети — представляет собой методы, которые используются для классификации и отражения операций и сообщения ролей и обязанностей;

4. Мониторинг — представляет собой процедуры, которые необходимы для того, чтобы оценить качества применения системы внутреннего контроля на постоянной основе;

5. Существующие контрольные процедуры — представляют собой политику и процедуры, которые устанавливаются для гарантии того, что цели руководства достигнуты.

Рассмотрим совершенствование внутреннего контроля на примере ОАО «Саранский хлебокомбинат».

Внутренний контроль в ОАО «Саранский хлебокомбинат» могут осуществлять как отдельные сотрудники организации (менеджеры, бухгалтеры, экономисты), так и специально созданная ревизионная комиссия.

Руководство ОАО «Саранский хлебокомбинат», при разработке эффективной системы внутреннего контроля, старается учитывать самые разные обстоятельства, так же обстоятельства, которые входят в задачу аудитора по оценке системы внутреннего контроля предприятия. Управленческий учет на предприятии требует разной информации обо всех сторонах планирования и ведения бизнеса. Бухгалтерский учет, о котором аудитор представляет аудиторское заключение руководству предприятия, ограничен правовыми рамками Законов и Положений, которые содержат требования о целях, системе, методах, сроках и формах бухгалтерской отчетности предприятия.

Разрабатывая эффективную систему внутреннего контроля руководство ОАО «Саранский хлебокомбинат» преследует следующие цели: [1]

1. Обеспечение надежной информацией руководства предприятия и принятие наиболее эффективных и своевременных управленческих решений.

Так, например, если уменьшается спрос на продукцию, которую производит предприятие, то необходимо своевременно обеспечивать руководство предприятия информацией о причинах снижения спроса для принятия наиболее эффективных и своевременных управленческих решений, о способах учета предпочтений покупателей и координации деятельности в целях снижения расходов.

2. Обеспечение сохранности активов, документов и регистров предприятия.

Материальные активы на предприятии должны быть защищены надежной системой контроля в целях предупреждения их хищения, использования в неподобающих целях или случайного уничтожения.

Серьёзной защиты и контроля требует также дебиторская задолженность, важные документы, к которым относятся договора и контракты, а также регистры бухгалтерского учета (Главная книга и журналы).

Так как компьютерные системы постоянно развиваются, необходимо принять должные меры к обеспечению сохранности объемов информации, которая хранится на компьютерных носителях.

3. Обеспечение эффективности хозяйственной деятельности в целях избежания непроизвольных затрат во всех областях хозяйственной деятельности, а также для предотвращения неэффективного использования всех прочих ресурсов.

Бывают случаи, когда затраты на выполнение задач, указанных в первом и втором пункте, в цифровом выражении превышают ту возможную прибыль, которую предприятие сможет получить в результате проведения предлагаемых мероприятий. Из этого следует, на первый взгляд, что мероприятия, которые указаны в первом и втором пунктах, могут оказаться неэффективными.

Но отказ от выполнения предложенных мероприятий по обеспечению надежной информацией и сохранности активов и регистров может привести к непоправимым потерям. Так ели заинтересованные лица утратят или похитят данные о количестве и ценах поставляемого сырья, то возможно снизится конкурентоспособность производимой продукции.

4. Обеспечение соответствия предписанным учетным принципам.

Система внутреннего контроля должна обеспечивать необходимую степень уверенности в том, что должностные лица и работники предприятия строго придерживаются требованиям и правилам, которые закреплены внутренними документами предприятия. К таким документам можно отнести:

- положения об отделе, службе, иных подразделениях данного предприятия;

- должностные инструкции руководителей, менеджеров и специалистов предприятия;

- приказ об учетной политике предприятия;

- приказы и распоряжения генерального директора и иных руководителей, которые были изданы в соответствии с их компетенцией.

5. Обеспечение выполнения требований федеральных законов и иных правовых актов Российской Федерации и местных органов власти при осуществлении финансово-хозяйственных операций.

Внутренний контроль предприятия, как правило, базируется на контрольных функциях руководителя каждого подразделения. В обязанности каждого руководителя входит постоянное осуществление контроля за результатами работы своих подчиненных. Также учитываются все функциональные особенности каждого руководителя подразделения в области контроля организации. Роль и функции внутреннего контроля определяются самой организацией в зависимости от специфики и содержания деятельности организации, объемов показателей финансово-экономической деятельности, системы управления, состоянием внутреннего контроля.

Эффективность системы внутреннего контроля ОАО «Саранский хлебокомбинат» во многом зависит от того, какое место в системе управления предприятием оно занимает и на каких принципах осуществляется ее работа.

Эффективность деятельности предприятия в области производственно-финансовой деятельности в основном зависит от правильности организации системы внутреннего контроля на предприятии и постоянного совершенствования ее структуры. [4]

Внутрихозяйственный контроль на ОАО «Саранский хлебокомбинат» возложен на ревизионную комиссию. Но как показывает многолетний опыт, в условиях современной рыночной экономики, руководство может игнорировать систему контроля или преднамеренно приводить ложные сведения в финансовой отчетности. Для устранения данного возможного нарушения в сфере управления предприятием необходимо создание вместо ревизионной комиссии внутреннего аудита, как самостоятельного подразделения, аппарата управления. Целью создания аппарата управления является обеспечение наиболее эффективной деятельности всех служб по защите законных имущественных интересов собственников предприятия. В зависимости от объемов и назначения организации функции внутреннего аудита могут возлагаться на специальные службы или отдельного специалиста аудитора или ревизионной комиссии, для обеспечения эффективности внутреннего аудита, как от функциональных подразделений, так и от бухгалтерии.

В ОАО «Саранский хлебокомбинат» создана эффективная организационная структура. Данная структура наиболее полно и точно разграничивает ответственность и полномочия между ее сотрудниками. Данная структура должна по возможности препятствовать попыткам отдельных лиц нарушать требования контроля и обеспечивать разделение несовместимых функций. Несовместными функциями являются такие функции, сосредоточение которых у одного лица способствует совершению случайных ошибок и нарушений. Таким примером на предприятии может являться то, что один бухгалтер осуществляет одновременно начисление заработной платы и оформление операций по продаже продукции. Даже с учетом того, что организационная структура предприятия полностью соответствует его деятельности, но для устранения возможных нежелательных нарушений, руководству предприятия необходимо повышать контроль за деятельностью лиц, которые осуществляющих выполнение не совместимых функций.

Также на предприятии необходимо повышать контроль руководства за кассиром предприятия. Именно кассир несет ответственность за сохранность кассовой наличности и правильность оформления расходных и приходных ордеров, по которым осуществляется движение денежных средств на предприятии.

Подбор кадров также имеет большое значение для повышения эффективности контроля на предприятии. Именно персонал является важным аспектом системы контроля. Если работники обладают высокой компетентностью, честностью, заслуживают доверия, при этом они полностью удовлетворены существующими системами оплаты труда, стимулами и поощрениями за результаты их деятельности, то даже при наличии других недостатков системы контроля в любом случае будет относительно низкая вероятность наличия искажений в финансовой отчетности. В противоположной ситуации некомпетентные, нечестные работники могут свести на нет эффективность любой системы контроля.

В ОАО «Саранский хлебокомбинат» присутствует автоматизированная форма ведения учета. Поэтому многие документы и записи на предприятии хранятся в форме компьютерных файлов и распечатываются только в информационных целях. При этом подтверждающие документы, на основании которых была сделана запись, имеют значение подтверждающего документа. Поэтому одним из предложений эффективной системы внутреннего контроля является то, что предприятию необходимо назначить доступ лиц к информационным носителям.

Тесты, которые проводятся для подтверждения достоверности бухгалтерской отчетности, должны непосредственно охватывать все сферы деятельности предприятия, а не одно направление деятельности.

Для наиболее эффективного осуществления внутреннего контроля организация должна использовать не только такие методы контроля, как контроль за ценами, плановыми заданиями, режимом работы, движения активов, но и такие методы, как планирование, мониторинг. Необходимо уделять большое внимание наиболее важным процессам и показателям (выпуск продукции, снабжение, реализация и т. п.), внутренней отчетности, внутреннему аудиту и т. п. Наиболее важным средством является контроллинг, суть которого заключается в планировании и прогнозировании деятельности предприятия. Она предназначена для осуществления контроля за некоторыми показателями производственного процесса.

Эффективность новой системы контроля зависит от постоянного совершенствования ее структуры. [1]

Система внутреннего контроля, как бы хорошо она не был организована, не может безусловно предотвращать любые негативные тенденции в силу влияния ряда ограничений, присущих любой системе контроля: [4]

- возможность злоупотребления, в том числе сговора между контролируемыми и контролирующими лицами;

- ненадлежащее вмешательство руководства в работу системы внутреннего контроля. Примером такого вмешательства может быть процесс, связанный с компьютерными программами. Так в компьютерную программу можно поставить защитную программу, которая будет блокировать введение суммы, которая превышает определенную величину и требует специального подтверждения верности операции. Бухгалтер как правило воспринимает блокировку как сбой в программе, приглашает специалиста, который снимает блокировку.

- отсутствие адекватной реакции на информацию, которую представляет система внутреннего контроля.

В итоге можно отметить, что если предприятие хочет эффективно работать, ему необходимо постоянно совершенствовать систему внутреннего контроля.

1. Сусин В. К. Контроль и ревизия: учебное пособие / В. К. Сусин, В. П. Шегурова, О. В. Шибилева. — Саранск, 2010. — 220 с.

2. Соколов Б. Н. Системы внутреннего контроля (организация, методика, практика). / Б. Н. Соколов, В. В. Рукин. — Москва: Экономика, 2007. — 442 с.

3. Некрасова, Е. Строгий самоконтроль / Е. Некрасова //CIO, 2008. № 4. с.17–19.

4. Бурцев, В. В. Внутренний контроль: основные понятия и организация проведения / В. В. Бурцев // Менеджмент в России и за рубежом, 2002. № 4. с.10–14.

Актуальные вопросы создания службы внутреннего контроля - Институт профессиональных бухгалтеров Московского региона

Л.В. Чхутиашвили, канд. экон. наук, аудитор, член ИПБ Московского региона

Внутренний контроль – важнейшая часть системы управления, позволяющая предупреждать, выявлять недостатки и нарушения, а также своевременно устранять их последствия. Он способствует достижению целей деятельности организации, но не гарантирует их достижение.

Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала, определяются руководителем. При этом в расчет принимаются характер и масштаб деятельности компании, особенности его системы управления. Польза внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.

Конечно, организация может обойтись без создания отдельного подразделения внутреннего контроля. Только высшее руководство способно оценить его необходимость. Однако практика дает однозначную оценку значению системы внутреннего контроля – это наиболее эффективный инструмент управления организацией.

Внутренний контроль может осуществлять собственная служба внутреннего контроля (внутреннего аудита), представленная специальными отделами, службами, комиссиями или так называемыми ревизорами – высококвалифицированными сотрудниками. Создание собственной службы целесообразно, если риски высоки, необходим контроль на постоянной основе.

Для его осуществления требуются специальные знания, навыки и опыт, существуют требования законодательства или регулятора финансового рынка о создании такой службы. Структура, состав, штатная численность не являются строго заданными. Вариант организации службы внутреннего контроля во многом зависит от правовой формы, организационной структуры, вида деятельности, а также необходимости контроля за теми или иными процессами.

Например, служба внутреннего контроля чаще всего создается организациями, чьи ценные бумаги допущены к организованным торгам. В этом случае полномочия и функции по организации и осуществлению внутреннего контроля должны быть распределены между руководителями различного уровня (советом директоров, комитетом по аудиту, генеральным и финансовым директорами, руководителями подразделений и персоналом отдела внутреннего контроля).

Для малого бизнеса часть контрольных функций возлагается на менеджеров. Если численность персонала не позволяет осуществить разграничение полномочий и ротацию обязанностей, руководитель может принять на себя все функции по организации и осуществлению внутреннего контроля и использовать сверку, надзор.

Для эффективной организации внутреннего контроля руководству хозяйствующего субъекта следует руководствоваться такими принципами, как:

• рациональная организация рабочих процессов;
• разделение функциональных обязанностей между работниками;
• информационное обеспечение работников;
• обязательный, систематизированный контроль за выполнением операций.

Внутренний контроль в каждом конкретном случае организуется исходя из целей и задач управления организацией, поэтому пакет отчетности по работе внутреннего контролера устанавливается индивидуально. В него могут быть включены следующие разделы:

1) соответствие учета и отчетности действующему бухгалтерскому законодательству, в том числе:

• отражение в учете всех фактов хозяйственной деятельности в различных характеристиках;
• уровень систематизации хозяйственных операций и фактов хозяйственной деятельности в первичных документах;
• соответствие оценочных показателей стоимости активов, обязательств и хозяйственных операций в денежном выражении требованиям законодательства по оценке учредителей, рыночной стоимости и т.д.;
• отражение фактов хозяйственной деятельности в периоды их совершения;
• своевременное, правильное и оперативное формирование внешней и внутренней отчетности;

2) состояние первичной документации, ее сохранность и достоверность для отражения в учете;

3) соответствие квалификации работников бухгалтерии или соответствие их должностных обязанностей фактически выполняемой работе, а также распределение обязанностей между работниками бухгалтерии.

Внутренний контроль с точки зрения руководителя может осуществляться по таким основным критериям, как:

• соотношение выгод и потерь для предприятия в целом;
• соответствие предусмотренных законом действий устоявшимся принципам и традициям;
• соблюдение конфиденциальности и уважения к работникам бухгалтерии, работа которых будет подвергаться дополнительной проверке на предмет соблюдения бухгалтерского законодательства.

Результатом осуществления внутреннего контроля является отчетная информация, готовящаяся по результатам проверки внутренним контролером для руководителей организации, где должны быть зафиксированы выявленные факты нарушений или зоны риска, к которым, в частности, могут быть отнесены:

• выявленные факты нарушений законодательства Российской Федерации;
• факты неправильного ведения бухгалтерского учета и составления отчетности в контексте внутренних регламентов;
• выявленные факты недостач и хищений денежных средств и материальных ценностей;
• размеры причиненного материального ущерба и другие последствия допущенных нарушений (с указанием фамилий и должностей лиц, по вине которых они были допущены).

В результате анализа причин отклонений, отступлений от требований законодательства внутренним контролером должны формироваться предложения по устранению выявленных нарушений и корректировке. На основании материалов обобщения результатов проверок должны быть разработаны мероприятия по предотвращению нарушений в будущем, могут быть подготовлены рекомендации по новым методам и способам бухгалтерского (управленческого и финансового) учета.

Напомним, что недостачи и хищения денежных средств и материальных ценностей выявляются также в ходе обязательных годовых инвентаризаций имущества организации независимо от его местонахождения и все виды финансовых обязательств и регулярных (в том числе внезапных) проверок отдельных видов ценностей организации – денежных средств, МПЗ и т.п.

Для проведения инвентаризаций в организации создаются инвентаризационные комиссии. Это могут быть постоянно действующая инвентаризационная комиссия, рабочая комиссия, разовая комиссия.

Постоянно действующая инвентаризационная комиссия создается в составе руководителя организации или его заместителя, главного бухгалтера, начальников структурных подразделений, представителей общественности.

Для непосредственного проведения инвентаризации имущества рабочие комиссии создаются в составе представителя руководителя предприятия, назначившего инвентаризацию, и специалистов (экономиста, работника бухгалтерии, товароведов и т.п.).

В организационно-контрольные функции постоянно действующей комиссии входит проведение плановых, а также выборочных инвентаризаций и контрольных проверок всех видов имущества в межинвентаризационный период. В течение года в организациях с большой номенклатурой учитываемых ценностей могут проводиться выборочные инвентаризации материальных ценностей в местах их хранения и переработки.

Кроме того, постоянно действующие инвентаризационные комиссии решают вопросы об отнесении возможных убытков, выявленных в процессе проведения инвентаризаций, на виновных лиц, а также решают множество других вопросов.

Рабочие комиссии, которые непосредственно проводят плановые инвентаризации материальных ценностей и денежных средств в местах их хранения, участвуют в определении результатов инвентаризации. Они обычно создаются при большом объеме работ или территориальной разобщенности имущества организации для одновременного проведения инвентаризации. Как правило, рабочие комиссии утверждаются на весь отчетный год с возложением на них обязанностей по проведению разовых инвентаризаций.

Состав разовых комиссий в каждом конкретном случае утверждается руководителем организации при проведении инвентаризации по мере необходимости – по проверке и выборочной инвентаризации. Персональный состав постоянно действующих и рабочих инвентаризационных комиссий утверждается руководителем организации в приказе об инвентаризации.

В состав инвентаризационной комиссии включаются представители службы внутреннего контроля (внутреннего аудита) организации, независимых аудиторских организаций.

Сферой деятельности внутреннего контролера (аудитора) является:

• подотчетность одних работников другим;
• внутренние проверки финансово-хозяйственной деятельности;
• участие в инвентаризации денежных средств, ценных бумаг, товарно-материальных ценностей;
• проведение сверок расчетов с контрагентами организации;
• осуществление контроля за информационными системами бухгалтерского и управленческого учета;
• ограничение доступа к активам, бухгалтерским первичным документам, файлам данных;
• сравнение и анализ полученных финансовых результатов с плановыми показателями и т.д.

Основная задача внутреннего контролера (аудитора) – участие в независимой проверке бухгалтерской (финансовой) отчетности организации в целях выражения мнения о достоверности такой отчетности, а также осуществление внутреннего контроля составления бухгалтерской (финансовой) отчетности, которая формируется по данным бухгалтерского учета. Внутренний контролер (аудитор) своими своевременными действиями может сократить время присутствия в организации налоговых инспекторов и внешних аудиторов.

В Информации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» приводятся общие подходы к организации внутреннего контроля, а также описаны элементы внутреннего контроля и необходимые процедуры внутреннего контроля. Основными элементами внут­реннего контроля Минфин России называет: контрольную среду, оценку рис­ков, процедуры внутреннего контроля, информацию и коммуникации, оценку внутреннего контроля[1] .

Контрольная среда – это комплекс принципов и стандартов работы компании, который говорит о важности внутреннего контроля и определяет требования к нему. Это система этических ценностей, стиля управления, процесса принятия решений, делегирования полномочий и принятия ответственности, политика в отношении персонала, компетентность сотрудников и отношение управленческого аппарата организации к внутреннему контролю.

Контрольная среда должна создавать надлежащее отношение персонала к тому, что в компании осуществляется внутренний контроль. Обычно правила и принципы фиксируются во внутренних нормативных документах, предусматривающих разделение функций и ответственности работников с целью недопущения злоупотребления использованием тех или иных активов, исключения возможных случайных или умышленных искажений фактов хозяйственной жизни в бухгалтерском учете и финансовой отчетности.

Процесс оценки рисков направлен на анализ, выявление и устранение рисков, а также минимизацию их возможных последствий. При оценке рисков вне зависимости от того, будет ли проводиться аудит бухгалтерской (финансовой) отчетности, руководство должно оценивать вероятность искажения отчетных данных. При этом исходят из следующих допущений:

• возникновение и существование – активы, обязательства и капитал фактически существуют на отчетную дату. Факты хозяйственной жизни, отраженные в бухгалтерском учете, имели место в течение отчетного периода и относятся к деятельности экономического субъекта;
• полнота – факты хозяйственной жизни, имевшие место в отчетном периоде, фактически отражены в бухгалтерском учете в нужном периоде;
• права и обязательства – компания имеет права на отраженные в бухгалтерском учете активы и несет ответственность по существующим обязательствам;
• оценка и распределение – активы, обязательства, доходы и расходы правильно оценены и отражены в стоимостном и количественном измерении на соответствующих счетах и в соответствующих регистрах бухгалтерского учета;
• представление и раскрытие – данные бухгалтерского учета корректно представлены и раскрыты в бухгалтерской (финансовой) отчетности.

Минфин России обращает внимание на то, что этим принципам должна соответствовать также и информационная система субъекта, которая обеспечивает ведение бухгалтерского учета и составление бухгалтерской (финансовой) отчетности.

Персонал организации должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства о различных фактах.

Все эти допущения хорошо известны внешним аудиторам, и в своих рабочих документах они их детально отражают и производят тестирование бухгалтерских операций именно с учетом этих допущений.

С целью минимизации всех известных рисков организация должна разрабатывать адекватные контрольные процедуры. Состав и содержание контрольных процедур зависят от элементов системы бухгалтерского учета, например средств и способов обработки информации, объема хозяйственных операций, уровня автоматизации и т.п. Поэтому все документы, отчеты службы (работника) внутреннего контроля будут носить сугубо конфиденциальный характер.

Процедуры внутреннего контроля – это действия, направленные на минимизацию рисков. Такими действиями могут быть:

• документальное оформление операций и фактов хозяйственной жизни. Например, записи в регистрах бухгалтерского учета должны осуществляться на основе первичных учетных документов, в том числе бухгалтерских справок. Существенные оценочные значения, включенные в бухгалтерскую (финансовую) отчетность, должны основываться на расчетах;
• подтверждение соответствия объектов (документов) установленным требованиям. Например, при принятии первичных учетных документов к бухгалтерскому учету должна производиться проверка их оформления на соответствие требованиям, установленным в компании, Федеральном законе от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» и Налоговом кодексе РФ. К этим контрольным процедурам относится и контроль связанных операций, например соотнесение выданных авансов на закупку материальных ценностей с получением и оприходованием этих ценностей. Аналогично осуществляется контроль выданных подотчетных сумм на предмет своевременности составления авансовых отчетов;
• санкционирование (авторизация) хозяйственных операций. Как правило, разрешение на совершение операций их инициатором дается персоналом более высокого уровня. Например, авансовый отчет сотрудника должен быть утвержден руководителем (уполномоченным на это лицом).
• сверка данных. Например, для подтверждения сумм дебиторской и кредиторской задолженности должна проводиться сверка расчетов с поставщиками и покупателями. Остатки по счетам учета наличных денежных средств должны сверяться с остатками денежных средств по данным кассовой книги. Остатки по счетам учета материальных запасов должны сверяться с данными склада и др.;
• разграничение полномочий и ротация обязанностей. С целью уменьшения рисков возникновения ошибок и злоупотреблений подготовка первичных учетных документов, санкционирование (авторизация) хозяйственных операций и отражение их результатов в бухгалтерском учете, как правило, должны возлагаться на разных лиц;
• физический контроль. Сюда относятся вопросы надежности охраны ценностей, ограничение доступа, инвентаризация объектов учета и др.;
• надзор. Предполагает оценку достижения поставленных целей или показателей. Например, оценку правильности выполнения хозяйственных и учетных операций, точности составления бюджетов (смет), соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
• процедуры, связанные с компьютерной обработкой информации и информационными системами. Выделяют процедуры общего компьютерного контроля и контроля уровня приложений. Общий компьютерный контроль включает правила и процедуры, регламентирующие доступ к информационным системам, данным и справочникам, правила внедрения и поддержки информационных систем, процедуры восстановления данных и др. Они должны обеспечивать бесперебойное и надежное использование программного обеспечения. Процедуры контроля уровня приложений включают, в частности, логическую и арифметическую проверку данных в ходе обработки информации о фактах хозяйственной жизни (проверку правильности заполнения полей документов, контроль введенных сумм, автоматическую сверку данных, отчеты об операциях и ошибках и др.).

Из перечисленных процедур для целей противодействия злоупотреблениям и мошенничеству наиболее эффективными являются санкционирование (авторизация) хозяйственных операций, разграничение полномочий и ротация обязанностей, физический контроль.

Процедуры контроля могут быть предварительные и последующие. Предварительные направлены на предупреждение появления ошибок и нарушений (физический контроль, санкционирование (авторизация) хозяйственных операций и др.). Последующие процедуры направлены на выявление уже свершившихся ошибок и нарушений установленного порядка (сверка, надзор и др.).

Процедуры можно разделить по степени автоматизации их выполнения на автоматические, полуавтоматические и ручные.

Автоматические процедуры выполняются информационной системой без участия персонала. Например, автоматически в программном обеспечении осуществляется контроль доступа.

Полуавтоматические процедуры выполняются информационной системой, но должны быть инициированы или завершены вручную. Пример: отчеты о выполненных в программе исправлениях данных бухгалтерского учета должны быть проверены исполнителем.

Ручные процедуры внутреннего контроля выполняются персоналом экономического субъекта вне информационных систем. Например, инвентаризация производится вне программного обеспечения, но затем ее результаты сравниваются с данными учета, и корректировки производятся вручную.

Не реже одного раза в год принятая система внутреннего контроля должна оцениваться. Объем, характер способов и методов оценки определяются руководителем соответствующего уровня.

Минфин России рекомендует составлять матрицу рисков и проверять достаточность процедур внутреннего контроля, направленных на минимизацию их последствий, формировать методом случайного отбора выборку операций для тестирования эффективности контроля. При определении выборки следует учитывать особенности функционирования системы внутреннего контроля.

В ходе повседневной жизни организация должна проводить непрерывный мониторинг работы системы внутреннего контроля. Это делается путем регулярного анализа результатов деятельности, поверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения применимой организационно-распорядительной документации и т.д.

Комбинация непрерывного мониторинга и периодической оценки внутреннего контроля позволяет удостовериться в том, что внутренний контроль обеспечивает достаточную уверенность в достижении заявленных компанией целей. При необходимости в систему внутреннего контроля вносятся изменения, но не реже одного раза в год по итогам оценки ее работы.

Порядок организации и осуществления внутреннего контроля в компании должен быть оформлен документально. Для разных элементов контроля должны быть оформлены разные документы.

Например, контрольная среда может быть оформлена:

• положением о стратегии, целях и ценностях компании, определяющим поведение ее на рынке и методы управления;
• кодексом деловой этики, описывающим правила поведения руководства и сотрудников при наступлении различных событий, процедуры рассмотрения жалоб;
• организационной структурой организации, определяющей место и роль ее подразделений, уровни принятия решений, штатным расписанием;
• положениями об отдельных подразделениях организации, определяющими функции подразделений, полномочия и ответственность их руководителей;
• внутренними распорядительными документами, определяющими правила принятия решений и осуществления отдельных хозяйственных операций, в том числе учетной политикой;
• кадровой политикой, устанавливающей подходы к найму, обучению и развитию персонала, критерии оценки результатов деятельности, систему оплаты труда.

Применительно к ведению бухгалтерского учета и составлению бухгалтерской (финансовой) отчетности контрольную среду могут описывать такие документы, как положение о бухгалтерской службе, учетная политика организации, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.

Документирование рисков начинается с описания бизнес-процессов и процедур работы. Описание может производиться в текстовой и графической форме, по направлениям деятельности, юридической или организационной структуры.

Непосредственно описание риска должно включать в себя указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск; причину и вероятность его возникновения; возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.

По результатам оценки рисков определяются наиболее существенные. Для минимизации их последствий разрабатывается конкретный перечень процедур внутреннего контроля. Процедура должна описывать риск; область или процесс, подверженный риску; наименование и краткое описание процедур внутреннего контроля, посредством осуществления которых минимизируются последствия риска.

Может быть приведена ссылка на регламент осуществления процедуры. Устанавливают исполнителя (сотрудник или информационная система); частоту (периодичность) осуществления процедуры внутреннего контроля; входящие документы, на основании которых осуществляется процедура внутреннего контроля, а также исходящие документы, которые свидетельствовали бы об осуществлении процедуры. По возможности указывается ожидаемый результат контроля.

Риски и соответствующие им процедуры внутреннего контроля могут быть описаны матрицей рисков и процедур внутреннего контроля. Такая форма описания позволяет оценить полноту покрытия внутренним контролем выявленных рисков.

Документами, устанавливающими правила коммуникации, могут являться политика в области внешних и внутренних коммуникаций, графики предоставления данных и составления отчетности, должностные инструкции.

Вся документация по правилам и осуществлению внутреннего контроля подлежит регулярному обновлению не реже одного раза в год после оценки необходимости ее обновления. В основу решения об обновлении документов могут быть положены результаты периодической оценки и непрерывного мониторинга внутреннего контроля, организационные изменения, изменения процессов и процедур работы экономического субъекта.

Права и обязанности внутреннего контролера можно разработать по аналогии с аудиторской деятельностью в соответствии со статьей 13 Федерального закона № 307-ФЗ «Об аудиторской деятельности», несколько изменив приоритеты проверки. Внутренние контролеры вправе:

1) самостоятельно определять формы и методы проведения внутреннего контроля (аудита) с использованием положений федеральных стандартов аудиторской деятельности;

2) исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью проверяемого лица, а также проверять фактическое наличие любого имущества, отраженного в этой документации;

3) получать у должностных лиц проверяемого лица разъяснения и подтверждения в устной и письменной форме по возникшим в ходе аудита вопросам;

4) отказаться от проведения контрольных процедур или от выражения своего мнения о достоверности бухгалтерской (финансовой) отчетности в выдаваемом заключении в случаях:

• непредставления проверяемым лицом всей необходимой документации;
• выявления в ходе проверки обстоятельств, оказывающих либо способных оказать существенное влияние на мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности проверяемого лица;

5) осуществлять иные права, вытекающие из трудового договора.

Формы и методы проведения контроля внутренним контролером строятся на основании собственных стандартов организации и регламентов службы внутреннего контроля конкретной организации.

Поскольку внутреннему контролю подвергается только бухгалтерский учет, соответственно первичные документы и бухгалтерские регистры должны сшиваться, нумероваться и храниться в организации в соответствии с порядком архивирования в самой бухгалтерии, а внутреннему контролеру останется хранить только свои собственные отчеты и комментарии к ним. В обязанности внутреннего контролера может входить и умение работать с электронной документацией, передавать ее, хранить, разархивировать и т.д.

Для выполнения поставленных перед внутренним контролером задач он должен будет уметь проверить:

1) полноту, законность и экономическую целесообразность отраженных в бухгалтерском учете операций. Другими словами, контролер будет проверять объекты учета на предмет правильности классификации и оценки;

2) соответствие отраженных финансово-хозяйственных операций в бухгалтерском учете принятым в организации внутренним регламентам: учетной политике по бухгалтерскому учету, стандарту формирования себестоимости, кадровой политике и пр.;

3) наличие лишних данных в бухгалтерской (финансовой) отчетности;

4) объективность бухгалтерской (финансовой) отчетности, что будет соответствовать верному представлению о предприятии в целом;

5) компьютерные программы, обслуживающие функционирование учетной системы и включающие формирование первичных документов. Контролер должен уметь проводить их анализ, разноску по счетам, чтобы программы не могли быть сфальсифицированы.

Для таких целей можно использовать и специальные программные разработки для аудита информационных систем, которые автоматически проверяют положения учетной политики, заложенные в бухгалтерскую программу для автоматического исполнения; бухгалтерские итоги и бухгалтерские записи на отсутствие сальдо по количеству или по сумме у соответствующих счетов; ошибки переоценки валютных средств на конец отчетного периода; сомнительные бухгалтерские записи или бухгалтерские записи, которые недопустимы; постоянных и временных разниц; данных по расчетам с поставщиками.

Таким образом, главные бухгалтеры и внутренние контролеры (аудиторы) могут использовать для подготовки правил внутреннего контроля международные и национальные стандарты аудиторской деятельности и рекомендации финансового ведомства.

Внутренний контролер (аудитор) должен документально оформить все сведения, которые важны с точки зрения предоставления доказательств о каждом из элементов системы внутреннего контроля. Форма, содержание и объем рабочих документов являются предметом профессионального суждения внутреннего контролера (аудитора).

Кроме того, внутренний контролер (аудитор) должен своевременно доводить до своего руководителя и представителей собственника полученную информацию о недостатках в организации и применении системы внутреннего контроля. Здесь возможно либо провести совещание с работниками организации, либо направить руководству письмо с изложением своих замечаний и предложениями по их устранению. При этом сведения о выявленных недостатках системы внутреннего контроля в любом случае будут включены в письменную информацию, полученную по результатам проведения внутреннего контроля и доведенную до руководства, а также представителей собственника.

[1] Примерно те же положения содержатся и в международных стандартах аудита, в частности, в Федеральном правиле (стандарте) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» и в МСА 400 «Оценка рисков и внутренний контроль».