Внесение дополнений и изменений в Политику
8.1 При изменении и дополнении законодательных актов, требований регуляторов и нормативных документов Общества, регламентирующих функционирование системы внутреннего контроля, изменения и дополнения в настоящую Политику могут быть внесены только надлежащим образом оформленными решениями Совета директоров Общества. Совет директоров Общества может также принять решение об утверждении новой редакции Политики.
Приложение 1. Компоненты СВК согласно методологии COSO[7]
Внутренний контроль, согласно руководству COSO «Internal Control-Integrated Framework», состоит из пяти взаимосвязанных компонентов, которые включают в себя:
Контрольную среду: Контрольная среда создает атмосферу в организации, которая влияет на осознание персоналом важности выполнения контролей. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая упорядоченность и дисциплину. К факторам контрольной среды относятся целостность, этические ценности, стиль работы руководства, система распределения полномочий и обязанностей, а также процессы управления и развития персонала в организации. Также эффективность контрольной среды зависит от внимания к данному вопросу со стороны Совета директоров.
Оценку рисков: каждая организация сталкивается с различными внешними и внутренними рисками, которые необходимо оценивать. Необходимым условием для оценки рисков является определение целей, поэтому оценка рисков подразумевает выявление и анализ соответствующих рисков связанных с достижением установленных целей. Оценка рисков является необходимым условием управления рисками.
Средства контроля: Средства контроля представляют собой политики и процедуры, которые обеспечивают исполнение решений руководства. Они помогают обеспечить исполнение необходимых действий в отношении рисков, которые могут помешать организации в достижении её целей. Средства контроля осуществляются в рамках всей организации, на всех её уровнях и во всех функциях. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, сохранению активов и разделению обязанностей.
Информацию и коммуникацию: Вся необходимая информация должна быть выявлена, сформулирована и своевременно доведена до соответствующих работников так, чтобы обеспечить им возможность полноценно исполнять свои должностные обязанности. Информационные системы также играют важную роль в системе внутреннего контроля, поскольку они содержат финансовую информацию, а также информацию по операционной деятельности и соблюдению законодательства, что позволяет управлять и контролировать бизнесом. Вопрос состоит не только в части распространения внутренней информации организации, но также важно информировать работников о внешних событиях и мероприятиях, которые необходимы для принятия различных решений. Эффективная коммуникация в более широком смысле должна обеспечить информационные потоки вниз и вверх, а также между подразделениями по всей организации. Важно, чтобы персонал организации получал от высшего руководства четко сформулированную позицию о важности исполнения обязанностей в части внутреннего контроля. Также важно, чтобы каждый работник четко понимал свою роль в системе внутреннего контроля, и как результат его труда связан с деятельностью других работников. Персонал должен осознавать необходимость сообщать всю важную информацию руководству организации. Эффективная коммуникация, по вопросам связанным с интересами организации, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.
Мониторинг: Система внутреннего контроля, требует мониторинга — процесса периодической оценки качества ее работы. Это достигается путем постоянного мониторинга качества исполнения тех или иных операций, путем отдельных проверок по оценке эффективности того или иного процесса либо путем комбинации этих двух вариантов. Постоянный мониторинг осуществляется на ежедневной основе, вкл. деятельность по руководству и управлению соответствующими процессами, а также другие мероприятия в рамках исполнения персоналом их обязанностей. Объем и частота проведения отдельных проверок зависит от уровня оценки соответствующих рисков, а также от результатов проведения постоянного мониторинга по данным операциям. Недостатки внутреннего контроля, выявленные в ходе мониторинга, следует доводить до сведения руководства, а наиболее существенные замечания должны доводиться до высшего руководства и Совета директоров.
Тесная взаимосвязь данных компонентов обеспечивает формирование интегрированной системы, которая способна оперативно реагировать на возникающие вызовы. Система внутреннего контроля является неотъемлемой частью операционной деятельности. Наиболее эффективной СВК является, если контроли встроены в инфраструктуру организации и являются частью ее сущности. Встроенные контроли усиливают качество и результативность мероприятий, а также помогают избегать дополнительных затрат и позволяют быстрее реагировать на те или иные события.
5.2 Уровни зрелости системы внутреннего контроля[8]
№ | Уровень | Базовый | Развивающийся | Устоявшийся | Продвинутый | Передовой |
Характеристики | ||||||
Общая характеристика | ||||||
Типы организации | Организации, на которые распространяется пункт 1 статьи 19 Закона (включая организации, не подлежащие обязательному аудиту, а также организации, в которых руководитель принял обязанность ведения бухгалтерского учета на себя) | Организации, на которые распространяется пункт 2 статьи 19 Закона, бухгалтерская (финансовая) отчетность которых подлежит обязательному аудиту. | ||||
Как правило, недавно созданные или приобретенные организации с небольшой численностью, непубличные. | Как правило, непубличные организации, планирующие выход на рынки капитала или соответствие требованиям и практике корпоративного управления. | Организации, как правило, публичные или выходящие на рынки капитала, акционеры или участники которых ожидают соответствие требованиям и практике корпоративного управления. | Крупные организации, как правило, публичные, акционеры или участники которых ожидают соответствие СВК требованиям и практике корпоративного управления, а также ее частичное соответствие передовому отраслевому или международному опыту. | Крупные организации, как правило, публичные, поддерживающие эффективную и рациональную СВК в соответствии с передовым отраслевым и международным опытом. | ||
Характеристика СВК в целом | СВК не формализована | СВК формализована частично, но функционирует непоследовательно. | СВК формализована, периодически оценивается на эффективность. | СВК регулярно оценивается на эффективность и проактивно совершенствуется с точки зрения рациональности. | СВК постоянно совершенствуется за счет регулярного мониторинга внутренних и внешних факторов. | |
Контрольная среда | ||||||
Стиль руковод-ства и этические принципы | Внутренний контроль не является частью корпоративной культуры. Этические принципы не формализованы. Иные методы доведения этических принципов до работников не используются. | Организация признает необходимость внутреннего контроля. Кодекс этики разработан, но не утвержден, не актуализирован, не доводится до сведения новых работников. | Кодекс этики разработан, утвержден, пересматривается раз в два-три года на необходимость изменений. Все работники ознакомлены с Кодексом этики и требованиями в области внутреннего контроля. | Этические принципы четко определены в Кодексе этики, который ежегодно пересматривается на необходимость изменений. В результате в организации формируется устойчивое поведение, основанное на этических ценностях. | Организация сформировала исключительные ценности, признаваемые как ее работниками, так и другими компаниями, и постоянно демонстрирует образцовое поведение. Этические принципы, формализованные в Кодексе этики, детализированы в политиках и процедурах. Работники организации вносят вклад в совершенствование корпоративной культуры в части этических ценностей. | |
Роль Совета директоров | Совет директоров и Высшее руководство не уделяют существенного внимания вопросам внутреннего контроля. | Совет директоров и Высшее руководство понимают важность внутреннего контроля, однако, его мониторинг осуществляется несистемно и не проактивно. | Совет директоров демонстрирует независимость от высшего руководства (для публичных организаций требования к независимости определяются соответствующими нормативными актами) и значительное внимание к вопросам внутреннего контроля. | Совет директоров периодически оценивает эффективность внутреннего контроля (в основном, в области финансовой отчетности) и раскрывает его основные характеристики внешним пользователям | Совет директоров регулярно оценивает эффективность внутреннего контроля (по всем категориям) и раскрывает его основные характеристики внешним пользователям. | |
Организационная структура и разграни-чение полномочий | Организационная структура определена нечетко или не формализована. Функции и обязанности распределяются не систематически и зачастую с нарушением принципа разделения обязанностей. | Верхнеуровневая организационная структура определена, однако, не утверждена официально и/или не детализирована. Функции и обязанности распределены и понятны, но не оформлены документально и не доведены до сведения работников. В отдельных процессах нарушается принцип разделения обязанностей. | Организационная структура определена, соответствуют стратегии и задачам организации, регулярно обновляется и в целом эффективно функционируют. Во всех существенных процессах соблюдается принцип разделения обязанностей. | Организационная структура четко определена, соответствует стратегии и задачам организации, последовательно внедряется в рамках всей организации, способствует повышению эффективности процесса выявления рисков и выполнения контрольных процедур. | Четко формализованная организационная структура разработаны в соответствии со стратегией и задачами организации, регулярно пересматривается в условиях изменения бизнеса, последовательно внедряется в рамках всей организации. Организационная структура позволяет осуществлять эффективный и действенный процесс обмена информацией, а также своевременно принимать решения в рамках всего бизнеса организации. Работники демонстрируют приверженность делу и независимо от функций и обязанностей устанавливают взаимоотношения, направленные на достижение стратегических целей и задач. | |
Компетент-ность и развитие персонала | Ограниченное количество квалифицированных и опытных работников, недостаточное для обеспечения эффективной системы внутреннего контроля. | Организация понимает, какие специалисты ей необходимы для реализации своей стратегии, но не располагает достаточным количеством работников требуемой квалификации. Существует высокая степень зависимости от небольшого числа ключевых специалистов. | Организация располагает работниками необходимой квалификации в количестве, достаточном для реализации текущих потребностей, которых может быть недостаточно для реализации долгосрочной стратегии. | Организация выявила и определила необходимость в специалистах соответствующей квалификации для обеспечения долгосрочных целей. Организация включила необходимые требования в программу по подбору и обучению работников и приступила к ее реализации. | Организация выявила и определила необходимость в специалистах соответствующей квалификации и включила необходимые требования в процедуры подбора и непрерывного обучения персонала, которые были последовательно внедрены в рамках всей организации. Наличие квалифицированного и опытного персонала дает организации конкурентное преимущество, позволяя превышать запланированные показатели и эффективно управлять рисками. | |
Ответственность в области внутреннего контроля | Ответственность за создание и поддержание системы внутреннего контроля не установлена, регулируется только внешними требованиями. Ключевые показатели деятельности не установлены. | Ответственность за создание и поддержание системы внутреннего контроля установлена только на уровне высшего руководства. Ключевые показатели деятельности установлены для отдельных групп работников. | Ответственность за создание и поддержание системы внутреннего контроля установлена на всех уровнях управления. Организация установила ключевые показатели эффективности для работников большинства подразделений для обеспечения соответствия их уровня квалификации установленным стандартам и периодически проводит их мониторинг. | Ответственность за создание и поддержание системы внутреннего контроля установлена на всех уровнях управления и связана с показателями деятельности организации. Ключевые показатели деятельности определены на достаточно детальном уровне и адаптированы для всех подразделений организации, регулярно оцениваются и учитываются в рамках программы развития персонала. | Ответственность за поддержание эффективной системы внутреннего контроля является неотъемлемой частью корпоративной культуры и распространяется на все бизнес-процессы организации. Для постоянного отслеживания выполнения ключевых показателей деятельности используется автоматизированная информационная система. | |
Оценка рисков | ||||||
Целеполагание | Цели и задачи организации не определены, не доведены до сведения работников и не реализуются. | Цели и задачи определены на общекорпоративном уровне, но не детализированы, не доведены до сведения работников. | Цели и задачи организации четко определены, полностью понятны и доведены до сведения работников. Установлены высокоуровневые критерии для приемлемости рисков, однако, которые не полностью формализованы и детализированы. | Цели и задачи четко определены, непосредственно связаны со стратегией, доведены до сведения работников и реализуются на уровне всех подразделений организации. Уровни приемлемости рисков определены в количественной оценке и регулярно отслеживаются. | Цели и задачи четко определены, полностью понятны, доведены до сведения работников, последовательно реализуются и оцениваются. Цели и задачи регулярно пересматриваются и совершенствуются с учетом изменений в организации и новых условий ведения бизнеса, что позволяет повышать показатели эффективности деятельности и занимать лидирующее положение на рынке. Для отслеживания уровня приемлемости рисков с большой глубиной детализации используются автоматизированная информационная система. | |
Выявление и анализ рисков | Процедуры выявления и оценки рисков не структурированы или не проводятся. | Процедуры выявления и оценки рисков проводятся нерегулярно. Подразделения организации проводят такие процедуры самостоятельно и независимо, сосредотачивая усилия на решении задач и управлении рисками конкретного процесса. | Процедуры выявления и оценки рисков четко определены, разработаны и применяются последовательно. Процедуры проводятся под централизованным контролем для обеспечения широкого понимания рисков организации в целом с учетом ее целей и задач, осуществляется координация процедур с текущими процессами и деятельностью в рамках отдельного подразделения. | Процедуры выявления и оценки рисков определены, четко структурированы, применяются последовательно и эффективно интегрированы в ключевые процессы и виды деятельности на уровне всей организации, позволяют эффективно распределять ресурсы в области управления рисками и обеспечения внутреннего контроля, а также определять приоритетные задачи в области управления рисками. | Процедуры выявления и оценки рисков четко определены, высокоэффективны и полностью интегрированы во все сферы управления и планирования бизнеса, что способствует достижению стратегических целей и является ключевым фактором успеха и устойчивого развития бизнеса организации. | |
Анализ рисков мошенничества и коррупции | Анализ рисков мошенничества и коррупции производится после его обнаружения. Формализованные процедуры по противодействию мошенничеству и коррупции отсутствуют. | Организация определяет наиболее рисковые области с точки зрения мошенничества и коррупции и внедряет дополнительные процедуры по его предотвращению или выявлению. Система противодействия мошенничеству и коррупции не централизована. | Организация определяет основные виды мошенничества и коррупции и разрабатывает адекватные механизмы противодействия. Система противодействия мошенничеству и коррупции включает как общекорпоративные политики, так и контрольные процедуры на уровне бизнес-процессов. | Организация внедрила процедуры противодействия мошенничеству и коррупции во всех подразделениях с учетом оценки рисков, а также изменяет организационную структуру и порядок распределения полномочий для снижения риска мошенничества и коррупции в целом. | Организация производит постоянный мониторинг рисков мошенничества и коррупции, в том числе с помощью автоматизированных информационных систем. Организация демонстрирует высокий уровень вовлеченности работников в программу противодействия мошенничеству и коррупции. | |
Мониторинг изменений | Организация реагирует на изменения реактивно и, в основном, под воздействием внешних факторов. Изменения во внешней среде, бизнес-модели или руководстве не оцениваются с точки зрения влияния на внутренний контроль. | Организация отслеживает ключевые изменения во внешней среде, бизнес-модели и руководстве с точки зрения влияния на внутренний контроль, однако, внедряет изменения только в ключевых областях. | Организация отслеживает изменения во внешней среде, бизнес-модели и руководстве с точки зрения влияния на внутренний контроль и внедряет необходимые изменения на всех уровнях управления. | Организация планирует потенциальные изменения в рамках общекорпоративного процесса выявления рисков и внедряет необходимые процедуры по их управлению. | Организация планирует и моделирует потенциальные изменения (в т.ч. с помощью автоматизированных информационных систем), оценивает их влияние и своевременно внедряет процедуры, позволяющие гибко реагировать на изменения. Работники организации активно участвуют в процессе изменений, предлагая меры по совершенствованию внутреннего контроля. | |
Контрольные процедуры | ||||||
Дизайн и операцион-ная эффективность контроль-ных процедур | Внедрены базовые контрольные процедуры, которые, как правило, покрывают не все области риска или являются неэффективными. Система внутреннего контроля не формализована. Недостатки внутреннего контроля не выявляются и/или не доводятся до сведения руководства. | Контроли в основных бизнес-процессах внедрены, но не формализованы. Их функционирование зависит от знаний и мотивации отдельных работников. Выявляются недостатки системы внутреннего контроля, в т.ч. существенные. Корректирующие действия руководства не приоритезированы и непоследовательны. Для целей финансовой отчетности: существуют прямые контроли корпоративного уровня, которые, однако, не формализованы. | Определены и задокументированы существенные процессы, влияющие на финансовую отчетность (включая, процесс закрытия периода и подготовки финансовой отчетности). Внедрены и формализованы контроли корпоративного уровня (прямые для финансовой отчетности). Контроли в существенных бизнес-процессах для целей финансовой отчетности задокументированы, однако, могут существовать отдельные недостатки внутреннего контроля, которые своевременно устраняются руководством. | В организации существует эффективная система внутреннего контроля и управления рисками. Формализованы контроли корпоративного уровня (прямые и непрямые для финансовой отчетности) и на уровне существенных бизнес-процессов, связанные с финансовой отчетностью, с операционной деятельностью и с соблюдением законодательства. | Общекорпоративная программа в области внутреннего контроля и управления рисками предотвращает появление существенных недостатков и обеспечивает их своевременное исправление. Система внутреннего контроля интегрирована с системой управления рисками и внутренним аудитом, функционирует на основе использования автоматизированных систем постоянного мониторинга. Система внутреннего контроля способствует достижению бизнес- целей, регулярно совершенствуется с учетом изменений в бизнесе или внешней среды. | |
Использование технологий | Информационные системы практически не используются либо используются в минимальной функциональности. ИТ общие контроли неэффективны. Отсутствуют стандарты и правила в области информационной безопасности. | Существуют общие ИТ контроли, влияющие на финансовую отчетность, однако, они не формализованы и могут иметь существенные недостатки. Ручные контроли составляют высокую долю в СВК. Имеющиеся информационные системы не интегрированы. | Внедрены и формализованы общие ИТ контроли, влияющие на финансовую отчетность. Организация разработала стандарты и правила в области информационной безопасности. В существенных бизнес-процессах часть контрольных процедур автоматизирована. | Внедрены и формализованы общие ИТ контроли во всех существенных бизнес-процессах и системах. Организация применяет автоматизированные процедуры тестирования автоматизированных контрольных процедур и конфигурации системы информационной безопасности. Автоматизированные контрольные процедуры составляют большую долю в бизнес-процессах. | Автоматизированные контрольные процедуры имеют значительную долю в бизнес-процессах. Организация внедрила технологии для профилактики нарушений информационной безопасности на уровне внешних компонентов системы. Процедуры непрерывного мониторинга контрольных процедур автоматизированы и оптимизированы на уровне всех подразделений организации. | |
Политики и процедуры | Основные принципы внутреннего контроля не формализованы в виде политики. Политики и процедуры в отношении бизнес-процессов не формализованы и не доведены до сведения работников. | Общие принципы организации системы внутреннего контроля формализованы в виде политики по внутреннему контролю, которая доведена до сведения работников. Политики и процедуры существуют в отдельных областях. Для целей финансовой отчетности существуют прямые контроли корпоративного уровня, например: - процесс разработки, подготовки к утверждению и обновления учетной политики; - процедуры и графики закрытия периода и подготовки финансовой отчетности. | Общие принципы организации системы внутреннего контроля формализованы в виде политики по внутреннему контролю, которая доведена до сведения всех работников и других заинтересованных лиц. Политики и процедуры в части существенных процессов разработаны и утверждены, доведены до сведения работников, но могут применяться не на всех уровнях организации. | Политики и процедуры (в области внутреннего контроля, финансовой отчетности, операционных процессов и в области соблюдения законодательства) полностью разработаны и последовательно применяются в рамках всей организации, а также постоянно совершенствуются с учетом изменений стратегии и задач бизнеса и других требований. | Политики и процедуры организации регулярно приводятся в качестве примера передовой практики третьими сторонами и другими компаниями отрасли. | |
Информация и коммуникация | ||||||
Информационный обмен | Отсутствуют официально утвержденные системы или процессы обмена информацией в области внутреннего контроля. Обмен информацией в большинстве случаев односторонний (информация поступает от руководства работникам). | Процессы обмена информацией в области внутреннего контроля существуют, но они не формализованы. Информационные системы используются, однако недостаточно эффективно поддерживают процесс обмена информацией внутри организации. Обмен информацией остается преимущественно односторонним (информация поступает от руководства работникам). | Протоколы обмена информацией носят прозрачный и открытый характер, активно поддерживается двухсторонний процесс обмена информацией с заинтересованными сторонами. Информационные технологии широко используются для уведомления о принятых решениях, передачи ключевых сообщений, а также для повышения уровня культуры организации. Организация признает необходимость повышения эффективности процедур сбора данных и обмена информацией. | Информационные технологии способствуют эффективному процессу обмена информацией и играют ключевую роль в обеспечении двухстороннего обмена информацией. Установлены открытые и прозрачные схемы обмена информацией, которые согласуются с организационной культурой. Осуществляется сбор данных, однако существует необходимость повышения эффективности использования информационных технологий для обмена информацией и поддержания процесса на высоком уровне. | Информационные технологии позволяют максимально эффективно и своевременно осуществлять обмен знаниями, уведомлять о принятых решениях и распространять сообщения. Активно ведется открытый двухсторонний процесс обмена информацией, внедрены системы и процессы, позволяющие удостовериться в том, что вся необходимая информация была получена и принята к сведению. Эффективный процесс обмена информацией согласуется с культурой организации и, по мнению заинтересованных сторон, позволяет обеспечить существенное конкурентное преимущество. | |
Внутренние коммуника-ции в области внутреннего контроля | Вопросы внутреннего контроля не освещаются во внутренних коммуникациях организации. Политики и процедуры, поддерживающие внутренние коммуникации в области внутреннего контроля отсутствуют. | Вопросы внутреннего контроля периодически включаются во внутренние коммуникации, как правило, под влиянием внешних факторов. Существуют отдельные механизмы и процедуры коммуникации, однако, доступ к актуальной информации по внутреннему контролю ограничен. | Руководство организации поддерживает активную внутреннюю коммуникацию с работниками для понимания их ответственности в области внутреннего контроля. Внутренняя коммуникация является двухсторонней, т.е. работники используют открытые каналы обмена информацией с высшим руководством. | Существует несколько каналов внутренней коммуникации в области внутреннего контроля (как формальные, так и неформальные) на всех уровнях иерархии. Внутренняя коммуникация поддерживает функционирование внутреннего контроля за счет обмена информацией на всех уровнях иерархии (горизонтально и вертикально). | Для поддержания эффективной внутренней коммуникации активно используются информационные технологии, позволяющие получать оперативную и актуальную информацию в области внутреннего контроля. Внутренние коммуникация осуществляются с высокой скоростью с соблюдением принципа открытости и непредвзятости. Периодически проводится оценка эффективности используемых средств внутренней коммуникации. | |
Внешние коммуника-ции в области внутреннего контроля | Информация о внутреннем контроле не доводится до сведения внешних пользователей. Организация выполняет минимальные требования по раскрытию информации, установленные законодательством. | Информация о внутреннем контроле раскрывается по запросу внешних пользователей. | Информация о принципах функционирования внутреннего контроля в организации доводится до сведения различных внешних пользователей (акционеров, контрагентов, регулирующих органов и т.д.). | Организация наладила двусторонний обмен информацией о внутреннем контроле с внешними пользователями и использует некоторую информацию для принятия решений в области внутреннего контроля. | Организация получает информацию, касающуюся внутреннего контроля, из различных внешних источников и использует ее для постоянного совершенствования системы внутреннего контроля и бизнес-процессов. | |
Мониторинг | ||||||
Оценка функциони-рования системы внутреннего контроля | Руководство не проводит мониторинг и не оценивает систему внутреннего контроля в организации, а также не предпринимает активных действий по исправлению недостатков внутреннего контроля, выявленных независимыми подразделениями / организациями. Внутренний аудит отсутствует, либо фокусируется на выявлении нарушений, а не на оценке системы внутреннего контроля. Внешний аудит или не проводится, или выявляет большое количество существенных недостатков системы внутреннего контроля. | Руководство не проводит мониторинг и не оценивает самостоятельно систему внутреннего контроля в организации, но предпринимает действия по исправлению недостатков внутреннего контроля, выявленных независимыми подразделениями / организациями. При наличии внутреннего аудита проводится как выявление нарушений, так и оценка отдельных контрольных процедур в ключевых областях. При наличии внешнего аудита выявляются недостатки внутреннего контроля, в т.ч. существенные. | Мониторинг и оценка системы внутреннего контроля периодически проводится руководством, но не документируется. Внутренний аудит использует риск-ориентированный подход, тестирует контрольные процедуры и дает рекомендации по улучшению системы внутреннего контроля. Внешний аудит полагается на контрольные процедуры в отдельных областях учета, при этом могут выявляться отдельные недостатки системы внутреннего контроля. | Руководство осуществляет и документирует регулярный мониторинг и оценку системы внутреннего контроля и проводит необходимые изменения в системах и процессах. Внутренний аудит тестирует систему внутреннего контроля исходя из риск-ориентированного подхода и способствует общему совершенствованию процессов организации. Внешний аудит как проводит собственное тестирование контрольных процедур, так и использует результаты мониторинга тестирования внутренним аудитом и руководством организации. | Оценка системы внутреннего контроля проводится постоянно, основана на самооценке и встроена в бизнес-процессы. Информационная система позволяет постоянно отслеживать состояние системы внутреннего контроля на основании установленных метрик. Осуществляется активное взаимодействие между руководством, внутренним аудитом и внешним аудитом с четким распределением ответственности, позволяя избегать дублирования функций и обеспечивая комплексный мониторинг системы внутреннего контроля. Организация проводит сравнение системы внутреннего контроля с ведущими компаниями отрасли и совершенствует бизнес-процессы в соответствии с передовой практикой. | |
Отчетность в области системы внутреннего контроля | Отчетность в области внутреннего контроля не составляется. Политики и процедуры по подготовке отчетности в области внутреннего контроля не определены и не формализованы. Информация о недостатках внутреннего контроля не анализируется руководством. | Требования к отчетности в области внутреннего контроля определены, но не формализованы. Точность и оперативность информации в области внутреннего контроля не всегда обеспечивается. Информация о недостатках внутреннего контроля доводится до сведения высшего руководства, которое, однако, не всегда обеспечивает их своевременное исправление. | Отчеты о состоянии системы внутреннего контроля, как правило, содержат точную и актуальную информацию и предоставляются руководству на периодической основе. Высшее руководство обеспечивает своевременное реагирование на выявленные недостатки системы внутреннего контроля. | Руководство и заинтересованные стороны (например, Совет директоров, Комитет по аудиту) регулярно получают актуальную и точную информацию о состоянии системы внутреннего контроля. Обеспечивается постоянный обмен информацией (вертикальный и горизонтальный) по результатам анализа отчетности. Для подготовки отчетности по внутреннему контролю используются различные источники информации. | Отчетность о системе внутреннего контроля доступна в текущем режиме и обеспечивает руководство и работников полной и достоверной информацией, позволяя принимать оперативные решения по совершенствованию бизнес-процессов. |
Пример матрицы рисков и контролей
Риск | Существен-ный счет | Критерии достоверности | Влияние | Вероят-ность | Связан ли с риском мошенничества (да/нет) | Об-щая оценка | Контрольная процедура (КП) | Исполни-тель КП | Срок выполнения КП | Частота выполнения КП | Тип контроль-ной процедуры | Вид контроль-ной процедуры | Документальное подтверждение КП |
Некорректное отражение приобретения материалов и основных средств в учете | Запасы, Основные средства, Кредиторская задолженность | Существование, Оценка | Высокое | Низкая | Да | Сред-няя | Автоматическое формирование документа по приходу ТМЦ в соответствии с заказом. При оприходовании материала исполнитель контрольной процедуры в системе указывает номер заказа на поставку, из которого автоматически проставляется количество и сумма заказа. При этом система не позволяет изменить сумму заказа и оприходовать количество материала большее, чем указано в заказе. | [Указывается должность работника ИТ подразделения] | По мере необходимости | По мере необходимости | Автоматизированная | Предотвращающая | Не требуется |
Некорректный перенос данных из модуля учета ТМЦ в Главную книгу | Материалы, Основные средства | Полнота, Существование, Оценка, Представление и Раскрытие | Среднее | Низкая | Нет | Низ-кая | Сверка данных модуля по учету ТМЦ с модулем Главной книги. Исполнитель контрольной процедуры выгружает данные двух модулей и осуществляет сверку данных по остаткам в модулях в разрезе всех соответствующих счетов. В случае выявления расхождений Исполнитель контрольной процедуры дает соответствующие комментарии и при необходимости инициирует внесение корректировок в учет. | [Указывается должность работника] | До Х числа, следующего за отчетным | Ежемесячно | ИТ-зависимая ручная | Выявляющая | Отчеты из модулей, Файл Exсel по сверке с комментариями по расхождениям |
Несвоевременное отражение расходов в учете | Текущие расходы (по видам), Кредиторская задолженность | Полнота, Существование, Права и обязательства | Высокое | Высокая | Да | Высо-кая | Сверка взаиморасчетов с контрагентами. Ежекварта< Наши рекомендации
|