Компоненты системы внутреннего контроля. 8
Система органов внутреннего контроля и функции субъектов внутреннего контроля. 10
Ограничения системы внутреннего контроля. 14
4.Особенности построения системы внутреннего контроля над процессом подготовки финансовой отчетности. 15
4.1 Общие принципы построения системы внутреннего контроля над процессом подготовки финансовой отчетности. 15
4.2 Порядок построения системы внутреннего контроля над процессом подготовки финансовой отчетности 17
Описание существенных бизнес-процессов. 18
Выявление и оценка рисков на уровне бизнес-процессов. 18
Описание контрольных процедур бизнес-процессов. 19
Описание контрольных процедур корпоративного уровня. 20
Описание общих ИТ контролей. 21
Актуализация описания системы внутреннего контроля. 22
Мониторинг эффективности системы внутреннего контроля. 22
4.10 Отчетность в области системы внутреннего контроля над процессом подготовки финансовой отчетности 25
5.Приложения. 27
Пример политики по внутреннему контролю.. 27
Уровни зрелости системы внутреннего контроля. 39
Пример матрицы рисков и контролей. 51
Роли субъектов СВК в рамках «трех линий защиты». 52
ОБЩИЕ ПОЛОЖЕНИЯ
1.1 В соответствии с п.1 статьи 19 Федерального закона «О бухгалтерском учете» №402-ФЗ (далее - Закон) экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни.
1.2 Кроме того, согласно п. 2 вышеуказанной статьи экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
1.3 Методические рекомендации определяют цели и задачи системы внутреннего контроля в целом, основные принципы ее функционирования на основе риск-ориентированного подхода к осуществлению процедур внутреннего контроля и структуру системы внутреннего контроля (далее – СВК), характер взаимодействия субъектов внутреннего контроля, а также описывает особенности построения системы внутреннего контроля над подготовкой финансовой отчетности (далее – СВКФО).
1.4 Настоящие Методические рекомендации также устанавливают порядок организации и осуществления внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (далее - внутреннего контроля над процессом подготовки финансовой отчетности),
1.5 Принципы построения СВК, описанные в данном документе, рекомендуются к применению и в отношении других видов отчетности организации (например, налоговой, управленческой и пр.).
1.6 Действие настоящих Методических рекомендаций распространяется на лица (экономические субъекты), указанные в пп. 1-5 статьи 2 Федерального закона от 6 декабря 2011 года №402-ФЗ «О бухгалтерском учете».
1.7 При этом организации, на которые распространяется пункт 1 статьи 19 Закона (включая организации, не подлежащие обязательному аудиту, а также организации, в которых руководитель принял обязанность ведения бухгалтерского учета на себя), должны организовать и осуществлять внутренний контроль с учетом положений раздела 3 настоящих Методических рекомендаций в той степени, насколько это применимо с учетом особенностей организационной структуры, размеров организации, объема операций, наличия органов управления и т.д.
1.8 Организации, отчетность которых подлежит обязательному аудиту, и на которые распространяется пункт 2 статьи 19 Закона, должны учитывать требования к формализации системы внутреннего контроля над подготовкой финансовой отчетности, указанные в разделе 4 настоящих Методических рекомендаций.
1.9 Степень формализации вышеперечисленных элементов зависит от уровня зрелости СВК в организации. Уровень зрелости СВК можно определить, исходя из характеристик, присущих тому или иному элементу, перечисленному в Приложении 5.2 (критерии оценки уровня зрелости являются ориентировочными). При необходимости организация должна продемонстрировать наличие СВК в рамках выбранного уровня зрелости.
1.10 Для организаций, подлежащих обязательному аудиту, ожидаемым минимальным уровнем зрелости является «Устоявшийся», для прочих организаций – «Развивающийся».
1.11 Организациям необходимо самостоятельно утвердить и ввести в действие используемые критерии оценки уровней зрелости СВК и разработать план повышения уровня зрелости СВК до целевого уровня.
ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ
Бизнес-процесс (или процесс) – последовательность взаимосвязанных действий, направленная на достижение целей организации.
Владелец бизнес-процесса - работник организации, обладающий необходимыми полномочиями и несущий ответственность за организацию бизнес-процесса в соответствии с предъявляемыми требованиями.
Под внутренним контролем в широком смысле понимается деятельность, которая осуществляется Советом директоров, руководством и другими работниками организации, с целью предоставления разумных гарантий достижения организацией целей по следующим категориям:
− Эффективность и рациональность финансово-хозяйственной деятельности (включая сохранность активов);
− Достоверность финансовой и нефинансовой отчетности;
− Соответствие действующему законодательству и нормам.
Внутренний контроль над процессом подготовки финансовой отчетности – это деятельность, которая осуществляется Советом директоров, руководством и другими работниками организации с целью предоставления разумных гарантий в области достоверности ее финансовой отчетности. Таким образом, система внутреннего контроля над процессом подготовки финансовой отчетности является частью системы внутреннего контроля совершаемых фактов хозяйственной деятельности.
Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
Границы СВК - границы описания и тестирования СВК организации, определяющие объем документации по бизнес-процессам, рискам и контрольным процедурам, разрабатываемым организацией на определенный период для выявления и оценки рисков, оценки дизайна существующих и внедрения новых контрольных процедур, закрепления ответственности за их исполнение, отслеживание изменений в бизнес-процессах, оценки эффективности исполнения контролей и СВК в целом.
Контроль (контрольная процедура) - политики, процедуры, практики, действия работников или функциональность информационных систем, разрабатываемые для обеспечения разумных гарантий достижения организацией целей, а также своевременного выявления или предотвращения реализации рисков.
Ключевой контроль – контрольная процедура, обеспечивающая разумную уверенность в том, что цель контроля будет достигнута, и отсутствие которой даже при наличии других контролей не позволяет снизить риск в существенном процессе до приемлемого уровня.
Как правило, ключевые контроли покрывают несколько рисков, функционируют эффективно на постоянной основе, достаточно детально документируются или являются автоматизированными.
Альтернативный (компенсирующий) контроль - контрольная процедура, которая компенсирует неэффективность других контролей и позволяет получить (индивидуально или в комбинации с другими контролями) разумную уверенность в том, что риск, возникающий в бизнес-процессе, снижен до приемлемого уровня.
Автоматизированная (автоматическая) контрольная процедура -контрольная процедура, выполняемая автоматически в информационной системе. Примерами автоматизированных контрольных процедур являются: ограничения на ввод данных (например, отрицательных значений), автоматические сверки, расчеты, маршруты согласования и пр.
ИТ-зависимая ручная контрольная процедура – контрольная процедура, выполняемая вручную, но с использованием результатов автоматической обработки данных, проведенной соответствующей информационной системой. Примером ИТ-зависимой ручной контрольной процедуры является разбор специалистом ошибок на основании отчета, автоматически сформированного из системы.
Ручная контрольная процедура – контрольная процедура, выполняемая вручную без использования информационных систем. Например, ручная авторизация заказа на закупку, сверка счета с приходными документами или инвентаризация.
Контроль корпоративного уровня (ККУ)- управленческие механизмы, которые устанавливаются на уровне организации или подразделений и способствуют достижению целей организации, прямо или косвенно воздействуя на риски, присущие ее деятельности, позволяют более эффективно структурировать СВК за счет влияния на контрольную среду в целом и на эффективность и количество контрольных процедур процессного уровня.
Мониторинг – деятельность по оценке качества работы и эффективности системы внутреннего контроля.
Общие ИТ контроли- средства контроля, относящиеся ко всем компонентам ИТ-системы, процессам и данным, и включающие в себя разработку и внедрение программного обеспечения, внесение изменений в программное обеспечение, эксплуатацию ИТ-систем и доступ к программному обеспечению и базам данных.
Рациональная СВК – система внутреннего контроля с оптимальным соотношением затрат на ее поддержание и ожидаемых результатов.
Риск - событие, которое в случае его наступления негативно отразится на достижении целей организации. Риск представляет собой сочетание вероятности события и влияния его последствий.
Риск финансовой отчетности - событие, которое может привести к существенному искажению финансовой отчетности организации и/или несоответствию законодательству в области бухгалтерского учета.
Система внутреннего контроля – это совокупность организационных структур, политик, процедур и действий работников организации, направленных на минимизацию рисков, путем осуществления внутреннего контроля ее деятельности в соответствии с принятыми внутренними документами (методиками, регламентами, процедурами) для обеспечения достижения ее целей.
Факты хозяйственной жизни - сделка, событие, операция, которые оказывают или способны оказать влияние на финансовое положение экономического субъекта, финансовый результат его деятельности и (или) движение денежных средств.
Финансово-хозяйственная деятельность - совокупность совершаемых фактов хозяйственной жизни в рамках бизнес-процессов организации.
Эффективный контроль - контроль, имеющий эффективный дизайн и операционную эффективность, при этом:
- эффективность дизайна - потенциальная способность контроля при его выполнении согласно дизайну достичь цели и обеспечить достаточное покрытие риска;
- операционная эффективность - достижение цели контроля и обеспечение покрытия риска при выполнении контрольной процедуры согласно установленному дизайну.
ОБЩИЕ ТРЕБОВАНИЯ К СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ