Документирование внутреннего контроля у хозяйствующего субъекта.
Из письма МинФина ПЗ11/2013 следует, что порядок организации и осуществления внутреннего контроля оформляется документально на бумажном носителе и (или) в электронном виде. Положения, касающиеся организации внутреннего контроля, являются частью учредительных и внутренних организационно-распорядительных документов экономического субъекта.
Положения, касающиеся контрольной среды экономического субъекта, могут являться частью документов, определяющих:
а) стратегию, цели и ценности экономического субъекта, его поведение на рынке и методы управления им;
б) правила поведения руководства и иного персонала экономического субъекта при наступлении различных событий, процедуры рассмотрения жалоб (кодекс корпоративного управления, кодекс деловой этики);
в) организационную структуру экономического субъекта, в том числе место и роль его подразделений, уровни принятия решений, штатное расписание;
г) функции подразделений экономического субъекта, полномочия и ответственность их руководителей (положения об отдельных подразделениях экономического субъекта);
д) правила принятия управленческих решений и осуществления сделок и операций, в том числе учетную политику экономического субъекта;
е) кадровую политику, устанавливающую подходы к найму, обучению и развитию персонала экономического субъекта, критерии оценки результатов деятельности, систему оплаты труда.
Применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, контрольную среду могут описывать положение о бухгалтерской службе, учетная политика экономического субъекта, требования к квалификации бухгалтерского персонала и другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.
Документированию рисков, как правило, предшествует описание бизнес-процессов и процедур работы экономического субъекта. Достоверное описание бизнес-процессов экономического субъекта способствует выявлению и оценке всех существенных рисков вне зависимости от того, осуществляется ли в настоящее время в отношении них внутренний контроль.
Описание риска включает:
а) указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск;
б) причину и вероятность его возникновения;
в) возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.
По результатам оценки рисков экономический субъект определяет наиболее существенные риски и принимает решения для минимизации их посредством организации и осуществления внутреннего контроля.
С целью систематизации принятых экономическим субъектом процедур внутреннего контроля, относящихся к определенным выявленным рискам и зафиксированных в соответствующих внутренних организационно-распорядительных документах, а также оценки полноты покрытия внутренним контролем выявленных рисков, как правило, составляется матрица рисков и процедур внутреннего контроля. Матрица рисков и процедур внутреннего контроля содержит:
а) описание риска, на минимизацию последствий которого направлен внутренний контроль;
б) наименование области или процесса, который подвержен риску;
в) наименование и краткое описание процедуры (процедур) внутреннего контроля, посредством осуществления которой (которых) минимизируются последствия риска;
г) классификацию процедуры внутреннего контроля (если это необходимо для структурирования информации);
д) ссылку на регламент осуществления процедуры внутреннего контроля (документ, в котором устанавливаются детальные требования к осуществлению внутреннего контроля);
е) исполнителя процедуры внутреннего контроля (сотрудник или информационная система);
ж) частоту (периодичность) осуществления процедуры внутреннего контроля;
з) входящие документы (на основании которых осуществляется процедура внутреннего контроля);
и) исходящие документы (свидетельства осуществления процедуры внутреннего контроля).
Документами, устанавливающими правила коммуникации, могут являться: положение об информационной политике (в области внешних и внутренних коммуникаций), графики предоставления данных и составления отчетности, должностные инструкции.
Экономический субъект обеспечивает хранение документации, оформляющей организацию и осуществление внутреннего контроля, в течение разумных сроков.
Процедуры внутреннего контроля должны быть описаны в рабочих и отчетных документах. Рабочие документы составляют в ходе проверки. В них кратко описывают контрольную процедуру и порядок ее выполнения, фиксируют замечания. На основании рабочих документов заполняют Журнал (регистры) финансового контроля, в котором указывают:
- предмет контроля;
- должность, инициалы ответственных лиц проверяемого объекта (например, при проверке бухгалтерской отчетности указывают инициалы главного бухгалтера);
- должность, инициалы лица, ответственного за проведение проверки (руководитель службы внутреннего аудита, финансовый директор и т. д.);
- замечания и время на их устранение;
- подпись лица, осуществляющего проверку и составившего документ.
По окончании проверки составляют отчет и оценивают работу проверяемого подразделения. В отчете необходимо указать объект проверки, проведенные контрольные процедуры, выявленные замечания, риски и предложения по их устранению, сроки устранения, ответственных за исправление замечаний. Шкала и параметры оценки отражаются в Протоколе внутренней проверки, который прикладывается к отчету.
Подготовительным документом к проведению внутреннего контроля служит Карта внутреннего финансового контроля. Она содержит наименование объекта проверки, инициалы руководителя проверяемого объекта, периодичность контроля, инициалы должностных лиц, осуществляющих контрольные действия, а также иные необходимые данные.
При разработке Карты внутреннего финансового контроля учитывают следующее:
- актуальность проверок и их периодичность;
- степень обеспеченности ресурсами (трудовыми, техническими, материальными и финансовыми);
- равномерность распределения нагрузки контролеров.