Astăzi, pentru majoritatea companiilor internaționale mari, sarcina urgentă este să asigure respectarea cerințelor legislației externe a diferitelor țări care utilizează sistemul de control intern. Cele mai stricte cerințe sunt cele care au intrat în vigoare în martie 2005 în Statele Unite odată cu adoptarea Actului Sarbanes-Oxley. În temeiul acestei legi, conducerii societăților comerciale îi revine obligația de a confirma personal corectitudinea situațiilor financiare, precum și responsabilitatea acestora pentru eficacitatea sistemului de control intern și, în primul rând, în întocmirea situațiilor financiare. În plus, pentru a se conforma legii, este necesară obținerea unei opinii de la un auditor extern cu privire la eficacitatea sistemului de control intern al companiei.
Legislație de acest fel există în multe țări, de exemplu, în Marea Britanie, Canada etc. În Rusia se iau și măsuri în această direcție. Un exemplu este Decretul Serviciului Federal al Piețelor Financiare din 15 decembrie 2004 N 04-1245 / pz-n „Cu privire la aprobarea Regulamentului privind organizarea tranzacționării pe piața valorilor mobiliare”, care prevede prezența în societățile emitente a o prevedere privind controlul intern aprobată de directorii consiliului. În plus, compania trebuie să creeze o unitate separată care să monitorizeze implementarea acestei prevederi și să raporteze rezultatele comitetului de audit.
În prezent, comunitățile de auditori, manageri, contabili și profesioniști IT lucrează activ pentru îmbunătățirea sistemelor de control intern. În urma acestei lucrări, au fost create următoarele documente:
Standardul Obiectivele de control ale Fundației de Audit și Control al Sistemelor Informaționale pentru Informații și Tehnologia aferentă oferă o soluție la întrebările privind conformitatea tehnologiilor informaționale utilizate cu procesele de afaceri existente și reprezintă baza pentru crearea unor reguli comune de fiabilitate și a unui mecanism de monitorizare a eficacității utilizării. a sistemelor informatice. COBIT vă permite să aplicați cele mai bune practici în domeniul managementului IT, să determinați „maturitatea” proceselor IT și un nivel adecvat de fiabilitate și control atunci când utilizați tehnologia informației. Pentru auditorii IT, ajută la formarea unei opinii cu privire la eficacitatea controalelor interne;
documentul „Control Intern: O Abordare Integrată” (COSO) - (Comitetul Organizațiilor Sponsorizate al Controlului Intern al Comisiei Treadway - Cadrul Integrat) - conține principiile de bază pentru organizarea unui sistem de control intern într-o companie și este un nivel superior ghid pentru crearea și îmbunătățirea acestuia;
Documentul de auditare și control al sistemelor (SAC) al Institutului Auditorilor Interni al Fundației de Cercetare oferă suport auditorilor interni în materie de control și audit al sistemelor informaționale. Documentul definește sistemul de control intern și descrie componența acestuia, precum și clasificări ale controalelor, obiectivele și riscurile acestora;
Ghidul privind luarea în considerare a structurii de control intern într-un audit al situațiilor financiare (SAS 55, 78) - (Institutul American al Contabililor Publici Autorizați" Considerarea structurii de control intern într-un audit al situațiilor financiare) - este un ghid pentru auditorii externi în termeni de analiza eficacitatii controlului intern necesar asigurarii corectitudinii situatiilor financiare.
Documentele enumerate includ concepte generale de control intern, în timp ce documentele ulterioare sunt construite pe principiile dezvoltate în cele anterioare. În acest sens, ele sunt folosite de diferite grupuri de angajați și specialiști externi. Astfel, COBIT este axat pe management, profesioniști IT și auditori IT, COSO se adresează conducerii de vârf a companiei, SAC se adresează auditorilor interni, iar SAS 55 și 78 se adresează auditorilor externi.
Dacă vorbim despre practica utilizării acestor documente, atunci în cele mai multe cazuri ele conțin doar principiile de bază ale sistemului de control intern, care necesită clarificare pentru fiecare întreprindere și implicarea specialiștilor cu experiență în acest domeniu. Totuși, trebuie menționat că sistemul de control intern se bazează pe sistemul de management al riscului operațional. Acest lucru simplifică metodologic munca de creare și îmbunătățire a acestuia.
Pe baza cerințelor pentru sistemul de control intern, este posibil să se determine principiile de bază ale construcției acestuia:
Metodologia de gestionare a proceselor și a riscurilor este utilizată pentru a determina principalele puncte de control în cadrul companiei. Etapa principală este analiza proceselor de afaceri și identificarea riscurilor operaționale pe baza descrierii proceselor și a interacțiunii cu experții.
Există riscuri în orice activitate, iar sarcina angajaților este să gestioneze aceste riscuri, dar nu toată lumea poate și vrea să facă acest lucru. Scopul controlului intern la construirea unui sistem de management al riscului este de a introduce proceduri de control în procesele curente, care să permită reducerea la minimum a probabilității apariției unui risc sau a consecințelor acestuia, adică, de fapt, sistemul de control intern „obligă” angajații să gestionează riscurile. Pentru a asigura posibilitatea verificării eficacității procedurilor de control existente și create în procese, se asigură formarea dovezilor documentare ale îndeplinirii tuturor cerințelor procedurii de control. În continuare, cu ajutorul testării, eficacitatea controlului este verificată prin analiza dovezilor existente privind corectitudinea procedurii de control.
În ceea ce privește construirea unui sistem de control intern asupra întocmirii situațiilor financiare (SOX), acestui proces i se poate da următoarea definiție - un proces inițiat de consiliul de administrație, conducere și alți angajați, care vizează obținerea unui grad suficient de încredere. privind fiabilitatea situațiilor financiare în conformitate cu principiile general acceptate ale formării acestora pentru utilizatorii externi, inclusiv politici și proceduri în următoarele domenii:
Pe baza acestei definiții, putem concluziona că pentru a crea un sistem de control intern pentru o companie în ansamblu, este necesar să se construiască un proces care să vizeze formarea de norme, proceduri, tehnici și structuri organizatorice menite să ofere o asigurare rezonabilă că obiectivele de afaceri vor fi atinse și evenimentele nedorite – prevenite sau detectate și corectate (COBIT).
În figura sunt prezentate principalele etape ale proiectului de introducere a unui sistem de control intern menit să asigure fiabilitatea raportării financiare.
(Desen)
În general, implementarea unui sistem de control intern într-o companie include următoarele etape:
Este necesar să se definească o listă de reglementări externe care trebuie îndeplinite, precum și cerințele legilor de reglementare care trebuie îndeplinite în acest caz. Următorul pas este identificarea zonelor critice din mediul informațional, procesele de afaceri și infrastructura.
Adesea, pentru reprezentanțele rusești ale companiilor occidentale, cerințele pentru controlul intern „coboară de sus”, unde sunt formate central la nivel corporativ, ceea ce nu corespunde întotdeauna cu procesele reale de afaceri ale companiei și cu realitățile rusești. realitate. În acest sens, sarcina acestei etape este de a determina ce anume din „coborât de sus” are legătură cu procesele din viața reală.
Formalizarea proceselor
Este furnizată o descriere a proceselor existente ale companiei, care sunt critice din punct de vedere al sistemului de control intern, care oferă o bază pentru identificarea riscurilor. Pentru a rezolva această problemă, este recomandabil să se mute „de sus în jos”, formalizând activitățile de la nivelul superior la nivelul locurilor de muncă, descriind fluxul de muncă între performeri, precum și informațiile de intrare și de ieșire. Acest nivel de detaliu este necesar pentru analiza ulterioară a riscurilor din procese și formarea procedurilor de control. În această etapă, puteți utiliza sisteme de instrumente pentru a descrie procesele de afaceri: ARIS sau, în cazuri mai simple, VISIO.
Ar trebui determinat cât de riscante sunt procesele existente în companie în ceea ce privește nerespectarea cerințelor legilor de reglementare. Astfel, pentru a îndeplini cerințele SOX, este necesar să se țină cont de toate riscurile care pot duce la denaturarea intenționată sau accidentală a datelor financiare și, în consecință, a situațiilor financiare, precum și la fraudă. Dacă comparăm numărul total de riscuri critice și riscuri care afectează situațiile financiare, putem concluziona că riscurile din domeniul raportării financiare reprezintă cel puțin un sfert din toate riscurile operaționale ale companiei. Numărul de riscuri poate depăși o mie, ceea ce determină sfera de aplicare a proiectului de construire a unui sistem de control intern.
Identificarea riscurilor se realizează pe baza unei analize a unei descrieri detaliate a proceselor. Pe baza rezultatelor sale se formează o listă de riscuri, legată de procesele și funcțiile în care au fost descoperite. Procedura de întocmire a acestei liste doar pe baza unui sondaj de experți și fără analiza proceselor, de regulă, nu permite obținerea completității acesteia. Acest lucru duce la faptul că un audit extern dezvăluie multe riscuri nesocotite, iar sistemul de control intern este recunoscut ca ineficient.
Este determinată o strategie eficientă de minimizare și prevenire a riscurilor, în timp ce evaluarea riscurilor permite ierarhizarea acestora în funcție de gradul de criticitate și eliminarea riscurilor care nu sunt periculoase pentru companie. Gestionarea tuturor riscurilor este neprofitabilă din punct de vedere economic pentru companie, deoarece pentru unele riscuri este mai ușor să accepti pierderi decât să creezi și să implementezi o procedură de control. În acest caz, cel mai des este utilizată metoda evaluărilor calitative, care permite ierarhizarea riscurilor după criteriile „probabilitate” și „pierderi” pe baza opiniilor experților. Este utilizat pentru a compila o listă (folosind ratinguri) a tuturor riscurilor operaționale identificate care sunt relevante pentru sistemul de control intern.
În viitor, perfecţionarea evaluărilor calitative ale riscurilor operaţionale se realizează ca parte a evaluării lor cantitative (cost), care necesită mult timp. Prin urmare, sarcina cheie a unei evaluări calitative, pe lângă determinarea semnificației riscurilor, este de a „taia” acele riscuri care, cu un grad ridicat de probabilitate, nu vor justifica costuri suplimentare pentru minimizarea lor sau nu afectează informațiile critice. . Metoda evaluărilor cantitative bazată pe calculul daunei și probabilitatea riscului este dificil de aplicat în acest caz.
Dezvoltarea procedurilor de control
Activitățile de optimizare a proceselor sunt întotdeauna prezente (implicit sau explicit) în orice companie. Dar, de obicei, este cauzată de motive interne: dorința de a crește eficiența muncii, de a reduce costurile cu forța de muncă, de a controla activitățile. Apariția cerințelor externe care trebuie îndeplinite reprezintă, din acest punct de vedere, un puternic impuls suplimentar pentru dezvoltarea sau extinderea acestui domeniu de activitate în companie.
Există patru strategii de management al riscului operațional:
Astfel, în acest caz, ultimele două strategii sunt aplicabile, iar activități precum optimizarea proceselor, implementarea procedurilor de control și testarea vizează realizarea acestora.
Cea mai simplă modalitate este evaluarea riscurilor folosind metoda evaluărilor calitative și minimizarea ulterioară a acestora.
Scopul și criteriul pentru îmbunătățirea cu succes a proceselor în ceea ce privește organizarea sistemului de control intern este de a minimiza riscurile operaționale identificate prin crearea și implementarea procedurilor de control în procese.
Cele mai eficiente sunt procedurile de control preventiv care permit minimizarea însăși probabilitatea apariției unui eveniment de risc, totuși, pentru a crește fiabilitatea procesului, ele sunt adesea utilizate simultan cu procedurile de verificare. De exemplu, alături de procedura de eliminare a legitimației la plecarea unui angajat, ar trebui să existe o procedură de control pentru reconcilierea listei de angajați cu legitimație cu lista celor disponibilizați pentru o anumită perioadă.
Riscul poate fi definit prin conceptul de acțiune de control: un defect de control există atunci când proiectarea sau implementarea controalelor nu permite conducerii sau angajaților companiei să prevină sau să detecteze denaturarea situațiilor financiare în timp util, ca parte a sarcinilor lor zilnice.
În funcție de viciul detectat, este necesară influențarea fie a procesului, fie a angajatului care îl efectuează, prin urmare, pentru a asigura eficacitatea procedurilor de control, trebuie create dovezi documentare ale derulării fiecărei proceduri de control, așa-numitele probe de control. .
Pentru a fi siguri că sistemul de control intern este eficient, este necesar să se verifice la intervale regulate cât de bine sunt efectuate procedurile de control existente.
Această verificare se efectuează folosind un set de teste, care constau din mai multe etape succesive:
se stabilește prezența documentului principal (politică, regulament), care determină procedura și regulile de implementare a acestui proces;
se verifică îndeplinirea în practică a cerințelor descrise în documentul principal și se documentează exemple specifice de implementare.
Pe baza rezultatelor testului, se ia o decizie cu privire la eficacitatea sau ineficiența acestei proceduri de control. Numărul de teste depinde de numărul de procese care trec prin procedura de control testată. Frecvența testării este stabilită în funcție de criticitatea procesului și poate varia.
O complexitate suplimentară în organizarea procesului de testare poate fi cerința ca testarea să fie efectuată de către angajați care nu sunt implicați în procesele testate. O mie de teste care trebuie finalizate într-o lună reprezintă o situație normală pentru sistemul de control intern al unei companii mari. Este clar că toată această diversitate trebuie gestionată și documentată. Pentru această sarcină, poate fi utilizat produsul ARIS Audit Manager, care vă permite să automatizați procedurile de testare și raportare pentru auditorii externi.
În condițiile actuale, numărul tranzacțiilor din activitățile companiei ajunge la sute de mii pe secundă, iar numărul riscurilor depășește o mie, în timp ce este destul de dificil să se asigure eficacitatea implementării procedurilor de control „la nivel manual” , deci singura modalitate eficientă este automatizarea atât a proceselor, cât și a procedurilor de control.
În prezent, există un număr suficient de produse software importate (ERP, DMS etc.) care oferă o soluție la această problemă în ceea ce privește introducerea unor proceduri de control în funcționalitatea sistemelor informaționale. Cu toate acestea, chiar și prin implementarea unei soluții specifice furnizorului, este posibil să nu se realizeze un sistem eficient de control intern, deoarece majoritatea procedurilor de control vor necesita în continuare execuție și fixare manuală, ceea ce lasă dezvoltatorilor un mare potențial de a-și îmbunătăți soluțiile IT în acest domeniu.
În concluzie, aș dori să subliniez că controlul intern ar trebui să fie un proces regulat. Ca orice proces, necesită o planificare, execuție, implementare și îmbunătățire adecvate.
A. KOPTELOV , Director al Departamentului de Consultanță IT al IDS Scheer Rusia și țările CSI
Controlul intern este definit în linii mari ca procesul desfășurat de organul de conducere al unei entități sau de alți angajați pentru a obține informații cu privire la îndeplinirea următoarelor sarcini:
Eficiența și raționalitatea activității.
Fiabilitatea raportării financiare.
Respectarea legilor și reglementărilor.În acest caz, auditorul trebuie să țină cont de două aspecte: ce fel de metode și proceduri sunt prevăzute în întreprindere și dacă sunt aplicate în practică.
Sistemul de control intern include următoarele elemente:
1. mediu de control;
2. procesul de evaluare a riscurilor de către entitatea auditată;
3. sistem informatic, inclusiv cele legate de intocmirea situatiilor financiare (contabile);
4. actiuni de control;
5. monitorizarea controalelor.
1. Mediul de control include următoarele elemente:
a) comunicarea către public și menținerea principiului onestității și a altor valori etice.
b) profesionalism (competenţa angajaţilor).
Profesionalismul reprezintă cunoștințele și aptitudinile profesionale necesare îndeplinirii sarcinilor care determină esența activității unui anumit angajat.
c) participarea proprietarului sau a reprezentanţilor acestuia.
Reprezentanții proprietarului au o influență semnificativă asupra conștiinței angajaților entității auditate în ceea ce privește controlul. Trăsăturile caracteristice care ar trebui să fie inerente reprezentanților proprietarului sunt: independența față de conducere; experiența și statutul lor; gradul de implicare și de supraveghere a acestora în activități; caracterul adecvat (natura adecvată) a acțiunilor lor; natura informațiilor pe care le primesc.
d) competenţa şi stilul de conducere.
e) structura organizatorica.
Entitatea auditată dezvoltă o structură organizatorică adecvată nevoilor sale. Caracterul adecvat al structurii organizatorice a entității depinde, printre altele, de natura și amploarea activităților acesteia;
e) acordarea de responsabilitate si autoritate.
Acest element presupune împărțirea responsabilităților și a autorităților în cursul activităților și stabilirea unei ierarhii de responsabilitate a angajaților și acoperă, de asemenea, politicile privind bunele practici de afaceri, cunoștințele și experiența personalului cheie și oportunitățile oferite pentru îndeplinirea atribuțiilor. .
g) politica si practica de personal.
Politica si practica de personal cu privire la angajati presupune: recrutare; adaptare (instruire la angajare); preparare; educaţie; evaluare; consiliere; avansare în carieră; remunerația angajaților.
2. Evaluarea riscurilor de către entitatea auditată este procesul de identificare și, acolo unde este posibil, de abordare a riscurilor de afaceri și a potențialelor consecințe ale acestora. În scopul raportării financiare (contabile), întrebarea importantă este cum, în procesul de evaluare a riscurilor de către o entitate auditată, conducerea identifică riscurile legate de situațiile financiare (contabile), determină semnificația acestora, evaluează probabilitatea apariției acestora și decide cum să le gestionezi.
3. Funcționarea sistemelor informaționale legate de întocmirea situațiilor financiare (contabile) este asigurată prin: a) mijloace tehnice; b) software; c) personalul; d) proceduri relevante; e) baze de date.
Majoritatea sistemelor informatice folosesc în mod activ instrumente informatice și tehnologia informației.
O parte integrantă a sistemelor informaționale este sistemul informațional al personalului, care asigură că angajații înțeleg îndatoririle și responsabilitățile asociate cu organizarea și aplicarea sistemului de control intern în legătură cu raportarea financiară (contabilă).
Sistemul informațional asigură că personalul înțelege rolul participării lor la procesul de întocmire a situațiilor financiare (contabile), modul în care acțiunile lor în sistemul informațional sunt legate de munca celorlalți angajați, precum și înțelegerea modului de a aduce informații. managerilor de nivelul corespunzător despre orice situații excepționale.
4. Activitățile de control includ politici și proceduri care ajută la asigurarea că directivele managementului sunt respectate, cum ar fi că sunt luate măsuri adecvate pentru a aborda riscurile care pot interfera cu atingerea obiectivelor entității. Activitățile de control, desfășurate manual sau folosind sisteme informaționale, au scopuri diferite și sunt aplicate la diferite niveluri organizaționale și funcționale.
În general, activitățile de control care pot fi relevante pentru obiectivele auditului pot fi grupate în următoarele categorii de metode și proceduri:
a) verificarea performanței.
b) prelucrarea informaţiei.
c) verificarea prezenţei şi stării obiectelor.
d) separarea sarcinilor.
Împuternicirea diferiților angajați cu autoritatea de a autoriza tranzacții (a acorda permisiunea pentru o tranzacție), de a înregistra tranzacțiile în contabilitate și de depozitare a activelor are scopul de a reduce posibilitatea comiterii și ascunderii erorilor sau acțiunilor necinstite în cursul performanței normale a personalului. atribuțiile.
5. Monitorizarea controalelor
O responsabilitate importantă a conducerii este stabilirea și menținerea unui sistem de controale interne în funcționare continuă. Controalele de monitorizare includ verificarea dacă acestea funcționează și dacă au fost modificate după cum este necesar și pot include activități precum monitorizarea de către conducere a faptului că reconciliările bancare sunt pregătite în timp util, evaluarea de către auditorii interni a oportunității acțiunilor personalului implicat în vânzări, politicile entității cu privire la anumiți termeni ai contractelor cu clienții și supravegherea conformității acțiunilor personalului cu politicile de etică sau practicile de afaceri ale entității.
Împărțirea sistemului de control intern în 5 elemente oferă auditorilor o abordare convenabilă pentru a analiza modul în care diferitele elemente ale sistemului de control intern al auditatului pot afecta auditul. Această abordare nu reflectă neapărat modul în care entitatea a stabilit și aplică controale interne. Este important ca auditorul să stabilească că controalele specifice previn sau detectează și elimină în mod eficient denaturările semnificative la nivelul aserțiunilor de raportare financiară (contabilă) în grupuri de tranzacții similare, solduri ale conturilor sau dezvăluiri.
Multe companii din întreaga lume suferă din cauza utilizării ineficiente a diverselor tipuri de resurse - umane, financiare, materiale, din lipsa informațiilor necesare pentru luarea deciziilor corecte, denaturarea neintenționată și deliberată a raportării, fraudă directă din partea personalului și managerilor. . Astfel de probleme pot fi evitate prin crearea unui sistem eficient de control intern în cadrul companiilor înseși. Care este rolul și importanța controlului intern?
Orice activitate în organizație are loc în cadrul a două sisteme. Unul este un sistem operațional (organizațional) construit pentru a atinge obiectivele specificate. Celălalt sistem este sistemul de control care pătrunde în sistemul de operare. Constă, în termeni generali, din politici, proceduri, reguli, instrucțiuni, bugete, sisteme de contabilitate și raportare. Acest sistem are ca scop, în cele din urmă, crearea condițiilor preliminare necesare și creșterea probabilității ca întreprinderea în ansamblu și managerii în special să își atingă obiectivele.
Controlul intern este un proces care vizează atingerea obiectivelor companiei și este rezultatul acțiunilor conducerii în planificarea, organizarea, monitorizarea activităților companiei în ansamblu și ale diviziilor sale individuale. Managerii companiei trebuie, în primul rând, să stabilească obiective și să definească sarcinile companiei și ale departamentelor individuale și să construiască o structură organizatorică corespunzătoare acesteia. Și, în al doilea rând, să asigure funcționarea unui sistem eficient de documentare și raportare, separarea puterilor, autorizare, monitorizare pentru atingerea obiectivelor stabilite și rezolvarea sarcinilor ce urmează.
Controlul intern este control din interiorul companiei, spre deosebire de controalele externe, cum ar fi reglementarea, controlul de către organizațiile externe de reglementare etc. în acest context, conceptul de control intern este sinonim cu conceptele de control managerial, control operațional.
De asemenea, este necesar de remarcat un detaliu atât de important încât controlul intern este util doar dacă are ca scop atingerea unor obiective specifice și înainte de evaluarea rezultatelor controlului este necesară determinarea acestor obiective.
actul de control intern
Sistemul de control intern este organizat de conducerea întreprinderii. Aceasta este prima și principala diferență între controlul intern și alte tipuri de control.
Un audit independent este efectuat de un auditor independent, formele și tipurile de acțiuni de control sunt, de asemenea, determinate de auditor (clauza 9 din Regulile provizorii de audit în Federația Rusă și clauza Legii „Cu privire la audit”). Auditul este efectuat de către un auditor de personal al oricărui departament, formele și tipurile de acțiuni de control sunt determinate și de acest departament.
Controlul intern este un sistem de măsuri organizate de conducerea întreprinderii și desfășurate la întreprindere pentru a-și îndeplini cât mai eficient sarcinile tuturor angajaților în cursul tranzacțiilor comerciale. Controlul intern determină legalitatea acestor operațiuni și fezabilitatea lor economică pentru întreprindere.
Obiectivele organizării sistemului de control intern la întreprindere sunt:
1) implementarea unei funcționări ordonate și eficiente a întreprinderii;
2) asigurarea respectării politicii de management a fiecărui angajat al întreprinderii;
3) asigurarea securității bunurilor întreprinderii.
Pentru atingerea obiectivelor de mai sus, o condiție necesară este coerența sistemului contabil (în sens mai larg - Contabilitate) și a sistemului de control intern, deoarece sistemul de intrare dublă care stă la baza oricărui sistem contabil (inclusiv sistemele contabile automatizate) determină procedura de înregistrare a tranzacțiilor comerciale. și să asigure un control adecvat.
Pentru a atinge obiectivele organizării sistemului de control intern, este necesară rezolvarea problemelor individuale. Conducerea întreprinderii este obligată să asigure organizarea și menținerea la nivelul corespunzător a unui astfel de sistem de control intern care ar fi suficient pentru:
* situatiile contabile (financiare) au inclus tot ceea ce ar trebui sa fie cuprins in ele, si nimic din ceea ce nu ar trebui sa fie inclus in ele a fost inclus, iar ceea ce a fost inclus in situatii ar fi corect identificat, clasificat, evaluat si inregistrat;
* raportarea contabilă (financiară) a dat o idee adevărată și obiectivă a întreprinderii în ansamblu;
* nu au putut fi falsificate programele informatice care controlează funcționarea sistemului contabil, inclusiv formarea documentelor primare, analiza și înregistrarea acestora în conturi;
* fondurile întreprinderii nu au putut fi deturnate sau utilizate ineficient;
* toate abaterile de la planuri au fost identificate, analizate cu promptitudine, iar autorii au fost trași la răspundere;
* raportarea interna a fost transferata cu promptitudine catre persoanele autorizate sa ia decizii de management pentru utilizarea sa optima. Din sarcinile conducerii întreprinderii enumerate mai sus pentru organizarea controlului intern, este vizibilă legătura inextricabilă dintre sistemul de control intern și două tipuri de contabilitate; contabilitate financiară şi contabilă de gestiune contabilă.
Primele trei sarcini sunt asigurate de conectarea sistemului de control intern cu sistemul financiar-contabil, iar ultimele trei cu sistemul de contabilitate de gestiune.
De aceea, în cele ce urmează vom distinge două sisteme:
* sistem de control financiar intern;
* sistem de control intern al managementului.
După cum se poate observa din conținutul sarcinilor stabilite, crearea unui sistem de control intern este un proces destul de complicat, iar sistemul de control intern în sine este un organism foarte complex și delicat, ale cărui părți integrante sunt absolut toate diviziile întreprindere, toate domeniile de activitate ale acesteia și activitățile fiecărui angajat-întreprindere. Sistemul de control intern este un fel de organizație în cadrul unei organizații (întreprindere).
Gradul de complexitate al controlului intern trebuie să corespundă structurii organizatorice a întreprinderii, numărul de angajați, ramificarea rețelei de sucursale și divizii, gradul de centralizare a contabilității și alte caracteristici ale întreprinderii în ansamblu.
Obiectele controlului intern sunt ciclurile activităților organizației - ciclurile de aprovizionare, producție și vânzări. Cea mai importantă funcție a controlului intern este de a se asigura că angajații întreprinderii își îndeplinesc îndatoririle,
Metodele utilizate în implementarea controlului intern sunt foarte diverse și includ elemente ale unor metode precum:
* contabilitate contabila financiara (conturi si inregistrare dubla, inventariere
și documentație, rezumatul soldului);
* contabilitate de gestiune contabila (alocarea centrelor de responsabilitate,
raționalizarea costurilor);
* revizuire, control, audit (verificarea documentelor, verificarea calculelor aritmetice, verificarea respectarii regulilor de contabilitate pentru anumite tranzactii comerciale, inventariere, interviu oral cu personalul, confirmare si urmarire);
* teoria managementului.
Toate metodele de mai sus sunt integrate într-un singur sistem și utilizate în scopuri de management al întreprinderii.
În condițiile moderne, un nou concept numit „contabilitate” intră treptat în viața întreprinderilor. Acesta este un concept economic extrem de încăpător, care se bazează pe contabilitate - contabilitate în conformitate cu standardele general acceptate. Cu toate acestea, contabilitatea este doar un element fundamental al contabilitate.Prin Contabilitate se creeaza baza de informatii necesara managementului intreprinderii.
Activități profesionale legate de formarea acestor informații
de bază și se numește contabilitate.
Acest concept include:
* planificat;
* pentru raportare;
* Control;
* analitic.
Astfel, controlul este o parte integrantă a contabilității.
În unele cazuri, actele nu doar consemnează faptele și evenimentele constatate, ci conțin și concluzii, recomandări și propuneri (acte de inspecții, anchete, audituri etc.).
Actele se disting printr-o mare varietate în scopul și conținutul lor:
livrare si receptie (lucrari, bunuri materiale, documente);
sondaje (stare de siguranță, securitate la incendiu; condiții de muncă; rezultate de performanță);
Teste (probe, sisteme, tehnologii);
alocare pentru distrugere (bunuri materiale, documente);
transferul (al unei unități structurale de la o organizație la alta);
Încălcări ale regulilor stabilite;
audituri, inventariere;
investigarea accidentelor, accidentelor;
lichidarea organizaţiei etc.
Actele se intocmesc colectiv (cel putin doi redactori). Adesea, actele sunt întocmite de comisii special create, a căror componență este aprobată prin actul administrativ al șefului organizației. De asemenea, actele pot fi întocmite de comisii permanente în mod regulat.
Principalul lucru în întocmirea actului este stabilirea stării de fapt efective și o reflectare obiectivă în act. Actul se întocmește pe baza unor proiecte de înregistrări care se păstrează în timpul activității comisiei sau a unui grup de persoane și conțin date faptice, indicatori cantitativi și alte informații.
Proprietarului oricărui obiect economic îi pasă întotdeauna de calitatea organizării activității sale economice. Orice întreprindere profitabilă aduce un profit potențial pentru proprietarul său. Ce antreprenor competent nu ar fi interesat de condițiile de funcționare ale propriilor urmași, aducându-i venituri atât de serioase? Probabil, trebuie să fii prost să lași totul să-și urmeze cursul și să presupui că așa va fi întotdeauna, că munca în organizație va decurge conform planului și va aduce aceleași rezultate financiare pozitive pentru totdeauna, fără a aprofunda și fără a interveni în procesul de muncă al subordonaților dvs. Tocmai pentru că fiecărui om de afaceri înțelept și cu o atitudine obiectivă față de conducerea companiei sale îi este frică să nu-și piardă profiturile și să devină faliment într-o zi, el introduce un sistem de control intern asupra activităților organizației. Ce este? Ce oferă acest sistem? Cum este organizat? Și care sunt obiectivele? Despre totul în ordine.
Un exemplu de orice entitate comercială demonstrativă este o întreprindere care își desfășoară neîntrerupt activitatea economică și îndeplinește condiția principală a existenței sale - realizează profit, crescându-l în mod regulat. Proprietarul companiei orientează întotdeauna toate eforturile și investițiile doar către ceea ce face organizația sa și mai puternică și mai puternică, extinzând sursele de rentabilitate sub formă de venit. Desigur, orice proprietar dorește ca compania sa să funcționeze fără probleme. Și înțelege că pentru aceasta trebuie să luați măsurile adecvate. Aici apare nevoia globală de organizare a sistemului de control intern al organizației. Aici se vede clar necesitatea formării în cadrul întreprinderii a unui astfel de aparat pentru monitorizarea și identificarea deficiențelor în procesul de management, care va semnala proprietarului orice încălcări și inconsecvențe. Ce ar trebui să fie un astfel de dispozitiv?
Sistemul de control intern în managementul unei organizații este un ansamblu de metode de monitorizare, monitorizare, verificare, evaluare și analiză a tuturor procedurilor și proceselor de afaceri care au loc în întreprindere, care au legătură directă cu rezultatele activității economice ale întreprinderii. companiei în ansamblu. Cu alte cuvinte, aceștia sunt angajați speciali, metode de cercetare specifice, o listă de echipamente analitice și tehnologii aferente, care împreună dau chiar efectul de control cu care dorește să i se asigure proprietarul afacerii. El are nevoie de un astfel de control pentru a se proteja de subalternii necinstiți sau de îndeplinirea de proastă calitate a atribuțiilor lor, care în cele din urmă poate afecta rezultatul financiar al întreprinderii în ansamblu. Dar cum este organizat acest proces?
Controlul intern într-o companie este formarea unui teren atât de favorabil pentru funcționarea organismelor de reglementare, împreună cu accesul acestora la echipamente tehnice și toate informațiile necesare unei entități comerciale care poate oferi un control de înaltă calitate în monitorizarea muncii lucrătorilor și îndeplinirea sarcinilor lor imediate în conformitate cu fișele posturilor lor . Simplu spus, crearea unui aparat de control la o întreprindere presupune efectuarea de audituri de către auditori specialiști în toate domeniile funcționale ale companiei.
Un om de afaceri competent nu face niciodată nimic fără scop, prin urmare, el se gândește la fiecare detaliu al acțiunii sale, inovației, ordinii sau ordinii date prin director și le implementează în activitățile de afaceri ale întreprinderii sale pentru a obține un anumit rezultat. În consecință, este același lucru cu aparatul de control. Există patru obiective principale ale sistemului în organizație, care ghidează orice proprietar pentru a evita problemele:
Încercând să se protejeze pe sine și fructele funcționării companiei sale sub formă de venituri, proprietarul acesteia își stabilește obiective specifice. Aceste obiective sunt implementate cu succes datorită organizării eficiente a sistemului de control intern în organizație.
Mecanismul de control la orice întreprindere se realizează prin subordonarea ierarhică a organismelor de reglementare. La fiecare amplasament există organisme responsabile cu desfășurarea activităților de monitorizare și verificare. Cum arată un exemplu de sistem de control intern într-o organizație din punct de vedere al subordonării structurale și ierarhice?
Desigur, mult depinde de forma de guvernare a întreprinderii. Cu o firmă mică și un personal de trei-patru oameni, totul este clar, nu este nimic special de controlat, acest lucru este făcut de supervizorul imediat. Dar în întreprinderile mari, totul este diferit: cu cât compania este mai mare, cu atât măsurile de control intern mai relevante ar trebui distribuite departamentelor sale structurale. De exemplu, organizarea controlului intern în sistemele corporative se realizează în contextul mai multor blocuri structurale:
Pe baza structurării în bloc a organelor de control din companie, putem concluziona că există două direcții în formele corporative de guvernare: acestea sunt organisme structurale separate în cadrul întreprinderii și șefii de departamente care le monitorizează subordonații. De multe ori exact așa are loc organizarea sistemului de control intern la întreprindere.
Structura de supraveghere a instituțiilor financiare arată puțin diferită. Sistemul de control intern al unei instituții de credit prevede șase surse principale de diseminare a măsurilor relevante la anumite niveluri ale ierarhiei:
Clasificarea soiurilor de supraveghere internă este destul de multifațetă datorită numărului mare de caracteristici ale unității. Astfel, crearea unui sistem de control intern al unei organizații prevede mai multe ramuri în principalele domenii.
În ordinea implementării:
Conform formei de depunere:
Pe o bază temporară:
În ceea ce privește acoperirea:
Pe lângă tipurile de supraveghere enumerate, procedurile de audit efectuate la întreprindere se pot manifesta în implementarea diferitelor abordări metodologice de verificare. Prin urmare, organizarea sistemului de control intern la întreprindere presupune utilizarea unui set de trei domenii metodologice principale.
Metode generale:
Metode de control documentar:
Metode de control efectiv:
Organizarea unui sistem de supraveghere internă într-o organizație de orice formă de proprietate prevede îndeplinirea unor funcții specifice de către organismele relevante. La urma urmei, fiecare operațiune de control implică obținerea unui anumit rezultat. Rezultatul global ar trebui să fie funcționarea neîntreruptă a întreprinderii cu un venit regulat și stabil. Și pare posibil să se realizeze numai atunci când îndeplinesc un set de funcții strategice. Aici sunt câțiva dintre ei:
Trecând de la general la particular, se pot evidenția funcțiile curente ale sistemului de control intern al contabilității din organizație ca date de informații fundamentale pentru efectuarea inspecției interne de înaltă calitate la întreprindere:
La fel ca orice altă procedură economică sau procedurală, implementarea măsurilor de control prevede o succesiune în etape a îndeplinirii sarcinilor specifice. Iată principalele etape în organizarea sistemului de control intern prin care se caracterizează acest tip de procesiune:
Analiza sistemului de control intern în organizație are o importanță nu mică în menținerea calității și corectitudinii auditului intern în întreprindere. De ce este atât de important în sistemul modern de afaceri? Pentru că analiza și evaluarea sistemului de control intern al organizației reprezintă impulsul pentru elaborarea de recomandări pentru îmbunătățirea acestuia și modernizarea procesului de afaceri în ansamblu. Nu numai că este importantă în sine verificarea operațiunilor procedurale ale activităților economice ale unei întreprinderi, dar nivelul de eficacitate al implementării acesteia poate afecta prosperitatea și funcționarea profitabilă a companiei ca atare.
Analiza sistemului de organizare internă se realizează de către organele competente de subordonare centralizată a companiei în următoarele domenii:
Conceptul de analiză este indisolubil legat de conceptul de evaluare. În sens larg, acest termen presupune stabilirea valorii absolute sau relative a obiectului, subiectului, fenomenului investigat. În ceea ce privește implicația economică, evaluarea sistemului de control intern al organizației presupune o comparație cu norma a acțiunilor desfășurate de auditori în timpul auditului, precum și luarea în considerare a calității măsurilor elaborate de aceștia care vizează identificarea neconcordanțelor. , inexactități și erori în cursul activităților comerciale. Mai simplu spus, acesta este un test al calității muncii inspectorilor înșiși.
Combinația a două concepte înrudite - evaluare și analiză - predetermină necesitatea unor activități suplimentare după audit. La urma urmei, pe baza rezultatelor analizei sistemului de control intern al contabilității în organizație, necesitatea de a înăspri, de exemplu, reglementările de muncă privind execuția și stocarea fluxului de documente, sau se iau decizii cu privire la mai amănunțit și mai frecvent. inventarele mijloacelor fixe ale întreprinderii, deoarece în această parte a contabilității există adesea neconcordanțe cu scorurile anterioare și așa mai departe. Și acest lucru se aplică nu numai în mod specific departamentului de contabilitate al întreprinderii. Adică, cu alte cuvinte, evaluarea rezultatelor obținute în timpul auditului face posibilă aprecierea necesității îmbunătățirii sistemului de control intern al organizației sau, dimpotrivă, tragerea de concluzii despre funcționarea calității acesteia în această etapă anume. Evaluând indicatorii finali dobândiți în timpul auditului, se poate evalua și activitatea organelor de reglementare înseși, pe baza profunzimii și conținutului raportului acestora la finalul activităților de control.
Cu toate acestea, nu trebuie uitat că sistemul de control intern utilizat de organizație trebuie să respecte normele și reglementările stabilite. Mai mult, această conformitate ar trebui realizată atât la nivelul întreprinderii, cât și în ceea ce privește respectarea legislației în vigoare. Serviciul Fiscal Federal prevede că toate organizațiile existente ca entități de afaceri urmează ordinul din 16 iunie 2017 „Cu privire la aprobarea cerințelor pentru organizarea sistemului de control intern”. Iată care sunt aceste cerințe:
Pe baza cerințelor de organizare a sistemului de control intern, putem trage concluzii cu privire la o cotă serioasă de importanță care este atribuită în mod specific riscurilor - posibile amenințări existente care sunt un element integral al potențialelor temeri ale antreprenorilor.
Modelul de control intern orientat spre risc este un model care vă permite să analizați amenințările unei întreprinderi din cauza necesității de a obține informații fiabile despre activele și pasivele unei anumite entități economice. Orientarea spre risc în organizarea sistemului de control intern presupune scopul conducerii firmei de a obține un grad rezonabil de încredere că firma își va atinge obiectivele în cel mai eficient mod. Și în acest sens, scopul principal al controlului este acela de a asigura identificarea și analizarea în timp util a riscurilor privind fiabilitatea situațiilor financiare, conformitatea activităților angajaților cu reglementările și normele de reglementare a procesului de muncă prevăzute de politica contabilă. a întreprinderii, precum și implementarea planurilor financiare și economice, utilizarea eficientă a resurselor, veridicitatea informațiilor financiare și manageriale. Prin urmare, principalul scut pentru o entitate comercială care desfășoară activități economice în lupta împotriva amenințărilor și riscurilor care o împiedică să funcționeze în condiții normale este un control bine construit și bine organizat.
Eficacitatea deciziilor de management depinde în mare măsură de fiabilitatea contabilității și a raportării manageriale. Denaturarea datelor în raportare se poate datora erorilor în procesarea documentelor primare, proceselor de afaceri construite incorect ale companiei, comportamentului necinstit al personalului. Introducerea unui sistem de control intern va asigura fiabilitatea informațiilor financiare, precum și va reduce riscul de a lua decizii eronate.
În acest articol veți învăța:
Construirea unui sistem de control intern (ICS) presupune identificarea celor mai semnificative riscuri (care pot implica pierderi financiare), dezvoltarea procedurilor de control și crearea unui sistem de testare a eficacității procedurilor de control.
Experienta personala
Vera Troshina, Director general adjunct pentru Economie, Comerț și Finanțe al SA „Portul Maritim Azov”
Sistemul de control intern este necesar atât pentru persoanele juridice independente, cât și pentru grupurile de întreprinderi cu management centralizat. În ciuda faptului că ICS a devenit larg răspândit în practica străină, puțini directori financiari și oficiali de top ai întreprinderilor rusești sunt conștienți de necesitatea acestuia. Acest lucru se explică prin faptul că efectul introducerii procedurilor de control intern nu poate fi întotdeauna obținut instantaneu și poate fi cuantificat.
Pentru compania noastră, decizia de a utiliza ICS a fost dictată de necesitatea implementării unui sistem de management al calității (ISO 9000/2001). Primele rezultate ale aplicării procedurilor de control intern au fost obținute în domeniul logisticii, al cărui cost este egal cu zeci de milioane de ruble (al doilea articol de cheltuieli ca mărime din bugetul companiei). Ca urmare, economiile s-au ridicat la aproximativ 5–8%.Igor Mironov, Șef al Departamentului de Audit Intern la SABMiller (TransMark LLC și Kaluga Brewing Company LLC)
SABMiller implementează documentarea controalelor interne ca parte a cerințelor legii Sarbanes-Oxley (vezi referința despre această lege. - Nota editorului).
Proiectul de certificare Sarbanes-Oxley ICS în compania noastră este de așteptat să dureze mai mult de doi ani și se află la jumătatea drumului. Acum există o descriere a proceselor cheie de afaceri, identificarea riscurilor și documentarea controalelor interne. În etapele ulterioare se va testa eficacitatea controalelor.
Atunci când organizez ICS, aș sfătui să te concentrezi pe controlul preventiv (control preventiv) mai degrabă decât pe controlul ulterior (control detectiv) în companie. Costurile controlului preventiv sunt complet compensate de pierderile prevenite.Mihail Podlazov, director financiar al Baltic Beverages Holding AB (Sankt Petersburg)
Sistemul de control intern este necesar pentru ca firma, in primul rand, sa gestioneze eficienta departamentelor. Ar trebui să rezolve cinci sarcini principale în companie:
- asigurarea fiabilității și fiabilității informațiilor;
- protectia bunurilor si proprietatii;
- utilizarea eficientă a resurselor întreprinderii;
- asigurarea conformitatii muncii efectuate cu politicile, procedurile si reglementarile companiei;
- Asistarea managerilor in atingerea scopurilor si obiectivelor companiei.
În mod convențional, procesul de implementare a unui sistem de control intern include patru etape principale:
- determinarea directiilor de control;
- descrierea proceselor de afaceri;
- analiza si controlul riscurilor;
- testarea calitatii ICS. Să ne oprim mai în detaliu asupra etapelor enumerate ale implementării sistemului de control intern, precum și asupra problemelor pe care compania le poate întâmpina în cursul acestei lucrări.
Introducerea unui sistem de control intern ar trebui să înceapă cu definirea departamentelor și domeniilor de activitate pentru care vor fi elaborate proceduri de control. Introducerea procedurilor de control în toate departamentele și domeniile de activitate va duce la faptul că implementarea unui astfel de proiect va necesita costuri semnificative, dintre care cele mai multe nu vor da roade. De exemplu, într-o întreprindere de producție, nu are sens să se implementeze metode de control pentru departamentul de personal. De regulă, ICS este utilizat în departamentele de vânzări, aprovizionare, producție, contabilitate și trezorerie, adică în acele unități structurale care au legătură directă cu raportarea, gestionarea fluxurilor de numerar și de stocuri într-o companie. Problema este rezolvată în mod similar pentru un grup de companii. Componența activităților întreprinderii, pentru care se vor introduce proceduri de control, este stabilită de un expert. În calitate de experți pot acționa șefii de departamente sau directorul general al companiei, adică acei specialiști care au experiență și cunoștințe despre procesele de afaceri care sunt mai susceptibile la diverse riscuri.
Experienta personala
Serghei Kachalov, controlor financiar al Apteka 36.6
Sistemul de control intern va fi incomplet dacă nu acoperă activitățile tuturor angajaților companiei, indiferent de munca pe care o desfășoară. Acest lucru vă permite să gestionați numărul maxim de riscuri la care sunt expuse activitățile companiei.
După ce se stabilesc limitele sistemului de control intern, se întocmește un program de lucru și se formează un grup de lucru pentru elaborarea metodelor de control. Se poate recomanda includerea unui auditor intern și a unui specialist în analiza și identificarea riscurilor, precum și implicarea în calitate de experți a șefilor acelor unități funcționale pentru care se creează proceduri de control.
Pentru a construi un SCI eficient, nu este nevoie să descriem toate procesele de afaceri ale unităților care au fost selectate pentru implementarea procedurilor de control intern. Într-o astfel de situație, ICS va fi nerezonabil de greoaie și de negestionat. Pentru a limita compoziția proceselor de afaceri, trebuie să definiți conturi de materiale. Acestea sunt conturi de contabilitate sau de gestiune, denaturarea informatiilor asupra carora poate induce in eroare conducerea companiei sau potentialii investitori. În plus, acestea pot fi conturi contabile, cifra de afaceri pentru perioada pentru care este mai mare de 10% în raport cu veniturile companiei. Judecățile experților pot fi, de asemenea, utilizate pentru a determina caracterul semnificativ al facturilor. De exemplu, activitățile companiei depind de brevetele și licențele pe care le folosește, a căror valoare nu depășește 5% din bilanţ. Cu toate acestea, conturile de brevet și licență vor fi clasificate ca materiale, deoarece eficiența controlului asupra acestor active va depinde de rezultatele întreprinderii.
Următorul pas în procesul de construire a unui sistem de control intern ar trebui să fie o descriere a proceselor de afaceri legate de reflectarea informațiilor asupra conturilor semnificative. Trebuie remarcat faptul că descrierea proceselor de afaceri ar trebui să fie cât mai detaliată posibil și să țină cont de circulația documentelor individuale în cadrul companiei 2
Experienta personala
Natalia Startseva, Vicepreședinte pentru finanțe, Gamma Management Group (Kaliningrad)
Principala problemă pe care am întâlnit-o la organizarea ICS în cadrul companiei a fost lipsa sau conținutul nu foarte clar al standardelor și reglementărilor interne. Prima sarcină a angajaților serviciului de control intern a fost dezvoltarea unui sistem de standarde interne ale companiei. După aprobarea unor standarde precum regulamentul privind fluxul documentelor, regulamentul privind sistemul bugetar, politicile contabile (separat pentru contabilitate și contabilitatea de gestiune), reglementările pentru depunerea situațiilor financiare periodice la consiliul de administrație, regulamentul privind auditul intern al companiei, „regulile jocului” au devenit clare pentru toată lumea, iar serviciul de control intern a primit un adevărat instrument de organizare a muncii sale.
Sistemul de management matricial si responsabilitatea directa a serviciului de control intern fata de consiliul de administratie fac posibila informarea prompta si obiectiva cu privire la conformitatea activitatilor societatii cu reglementarile in vigoare si corectarea actiunilor managerilor in cazul incalcarii acestora.
Sarcina principală care trebuie rezolvată în cursul descrierii proceselor de afaceri este reprezentarea vizuală a întregii activități efectuate de angajații departamentelor pentru a identifica în continuare zonele asociate cu riscul de informații inexacte sau pierderi financiare semnificative pe baza acestor date.
Procesele de afaceri ale companiei sunt analizate pentru existența unor riscuri care pot duce la pierderi financiare semnificative pentru companie 3 .
Experienta personala
Mihail Podlazov
Trebuie remarcat faptul că ar trebui să se acorde atenție doar acelor riscuri care pot duce cu adevărat la pierderi financiare semnificative sau pot distorsiona raportarea financiară sau de gestiune. În practica mea, a existat un caz în care un auditor intern a insistat că depozitarea pieselor de schimb într-unul dintre depozite era asociată cu riscul pierderii acestora din cauza golurilor din podeaua depozitului. La analiza acestui risc a rezultat că podeaua din depozit era acoperită cu gresie, iar fantele însemnau găuri la îmbinarea plăcilor. Evident, singurele pierderi pe care le poate suferi o companie din cauza „defectelor” identificate ale pardoselii sunt pierderea a una sau două nuci în valoare de câteva copeici. Desigur, nu au fost instituite proceduri pentru a controla acest risc.
Este posibilă identificarea cât mai exactă a riscurilor asociate cu anumite procese de afaceri prin analizarea informațiilor acumulate de companie despre evenimente negative (erori de raportare, furt, deteriorare a stocurilor etc.), frecvența apariției acestora și valoarea pagubelor. cauzat.
Totuși, această situație poate exista doar în companiile care au implementat un sistem de management al calității. O întreprindere care, anterior introducerii sistemului de control intern, nu a efectuat un management sistematic al riscului, de obicei nu dispune de astfel de date statistice. Într-o astfel de situație, identificarea riscurilor poate fi încredințată în totalitate experților - șefi de departamente. De exemplu, un contabil șef care a lucrat într-o companie de mult timp poate prezice întotdeauna destul de precis unde ar fi putut fi făcută o greșeală dacă elementele de activ și pasiv nu converg. Experții vor trebui, de asemenea, să evalueze frecvența de apariție a evenimentelor adverse și daunele probabile. În etapa implementării ICS, evaluările experților asupra riscurilor existente pot avea o mare eroare. Cu toate acestea, în viitor, prin introducerea unui sistem de control intern și acumularea unei cantități suficiente de date cu privire la erorile care au apărut în activitatea departamentelor, compoziția riscurilor și materialitatea acestora pot fi evaluate cu mare acuratețe.
Pentru cele mai semnificative riscuri asociate cu pierderi financiare grave, sunt în curs de dezvoltare proceduri de control 4 .
De regulă, introducerea procedurilor de control presupune crearea unor niveluri suplimentare de aprobare. De exemplu, pentru ca un contabil să efectueze o plată la solicitarea unei unități de producție, este necesar să o avizeze cu directorul financiar. Procedurile de control pot consta, de asemenea, în repartizarea responsabilității. Pentru procesul de achiziție, controlul se va reduce la faptul că clientul este unitatea de producție a companiei și controlează și calitatea materialelor achiziționate; căutarea unui furnizor și lucrul pe contracte de furnizare se realizează de către departamentul de aprovizionare, iar procesul de plată este controlat de directorul financiar.
Experienta personala
Serghei Pustovalov, CFO Bridgetown Foods CJSC (Moscova)
Un exemplu de control intern este formarea actelor de împăcare cu debitorii. S-ar părea că un instrument simplu și de înțeles, dar nu toate întreprinderile formează acte de reconciliere cu toate contrapărțile lor. Absența unor astfel de acte poate duce la următoarea situație. Să presupunem că societatea debitoare are cereri reconvenționale împotriva companiei, de exemplu, o plată în avans a fost plătită pentru o livrare viitoare. Dacă în viitorul apropiat societatea debitoare dă faliment și se formează o comisie de lichidare, atunci va fi extrem de dificil să dai în judecată avansul primit fără acte de reconciliere. Și este practic imposibil de demonstrat că acest avans ar trebui compensat cu rambursarea creanțelor contractate anterior.Mihail Podlazov
Eficacitatea procedurilor de control create va depinde de următorii factori:
- responsabilitatea funcționarilor pentru implementarea procedurilor de control este clar definită și de înțeles;
- acces restricționat la informații sau acțiuni;
- toate tranzactiile sunt autorizate in conformitate cu reglementarile adoptate;
- există o descriere documentată a procedurilor de control;
- sarcinile de control, execuție și luare a deciziilor sunt repartizate între angajați.
Este important de menționat că pentru executarea procedurilor de control create este necesară documentarea acestora. Descrierea procedurii de control trebuie să conțină următoarele prevederi principale: obiective de control; secvențiere; frecvența controlului; persoana responsabila cu controlul; un document care reflectă faptul controlului (de exemplu, o listă de aprobări).
Experienta personala
Igor Mironov
Evaluarea celor mai semnificative riscuri se realizează în compania noastră anual. Un fragment condiționat al unui raport de sinteză privind riscurile existente, procedurile de control create și auditurile planificate este prezentat în tabelul de la p. şaisprezece.
Un sistem eficient de control intern presupune testarea procedurilor de control și evaluarea calității acestora.
Testarea sistemului de control se efectuează în două direcții:
- respectarea reglementărilor elaborate de proceduri de control;
- aparitia erorilor in raportare care nu au fost prevenite de sistemul de control.
Respectarea reglementărilor elaborate se evaluează prin verificarea aleatorie a documentelor, care ar trebui să reflecte faptul controlului. De exemplu, pentru un număr de ordine de plată, se verifică prezența foilor de aprobare corect executate și semnate.
Apariția erorilor în raportare este detectată în timpul auditului raportării și al documentației primare.
Experienta personala
Igor Mironov
După efectuarea auditului procedurilor de control existente, se formează un raport de audit, care conține următoarele secțiuni: comentarii de audit; riscuri potențiale; rating de risc (înalt, mediu, scăzut); recomandările auditorilor; acțiuni de management planificate; data eliminării remarcii; persoana responsabila. În primul rând, raportul este discutat cu managerii de departamente, la care se fac comentarii. Este extrem de important să obțineți un răspuns de la ei: sunt de acord cu comentariile făcute și în ce interval de timp se va lua pentru a elimina neajunsurile. Abia după aceea raportul este înaintat consiliului de administrație și comitetului de audit al companiei.
masa Evaluare a riscurilor
| Procesul de afaceri | Principalele riscuri | Probabilitatea realizării riscului și gradul de impact asupra afacerii înainte de implementarea ICS | Controlul riscurilor | Probabilitatea realizării riscului și gradul de impact asupra afacerii după implementarea ICS | Cereri ale managementului pentru audituri | Data ultimului audit |
| Vânzări | ||||||
|
Expedieri produse |
Expedieri pe facturi incorecte |
Separarea responsabilităților pentru pregătirea documentelor de expediere și controlul expedierii. Vânzări confirmate prin relație contractuală |
Audit anual |
eu mp. 2005 |
||
|
Oferirea de reduceri |
Oferirea de reduceri care nu fac obiectul politicii de reduceri |
Procedura de monitorizare a acordării reducerilor a fost elaborată și este în curs de respectare. Conducerea revizuiește în mod regulat implementarea acesteia |
Audit la solicitarea directorului comercial |
- | ||
|
Gestionarea depozitului de produse finite |
Supra stocare sau lipsa de bunuri |
Planificarea vanzarilor si productiei (achizitiilor). Analiza si prognoza |
Audit anual |
trimestrul IV. 2004 |
||
|
Productie |
||||||
|
Achizitie de materii prime si materiale |
Materii prime de proastă calitate sau scumpe |
licitatie pentru furnizori. Monitorizarea prețului pieței. Control de calitate |
Audit la solicitarea Directorului de Achizitii |
|||
De menționat că în prima jumătate a anului de la introducerea sistemului este necesară testarea lunară a procedurilor de control. Acest lucru va elimina greșelile făcute în timpul dezvoltării. În viitor, testarea sistemului de control intern poate fi efectuată o dată la șase luni.
Experienta personala
Mihail Podlazov
Sistemul de audit trebuie construit pe baza materialității riscurilor controlate. În practica noastră, toate diviziile companiei au fost împărțite în trei grupe în funcție de mărimea și volumul fluxurilor de numerar. Pentru prima categorie, auditul procedurilor de control și al proceselor în sine se efectuează o dată pe an, pentru a doua categorie - o dată la doi ani, pentru a treia - o dată la trei până la cinci ani.
Pe baza rezultatelor testelor ar trebui întocmit un raport privind rezultatele acestuia, care să cuprindă și recomandări pentru eliminarea deficiențelor identificate în procedurile de control.
Este posibilă asigurarea implementării stricte a procedurilor de control dezvoltate prin introducerea de sisteme informatice. De exemplu, un sistem informatic poate asigura gestionarea electronică a documentelor și bloca plățile care nu au fost autorizate, sau nu permite generarea de documente necesare expedierii produselor către un cumpărător dacă acesta și-a epuizat limita de credit.
Există și software care vă permite să testați procedurile de control create, precum Aris Audit Manager; există module separate în Axapta, SAP, Oracle.
Experienta personala
Igor Mironov
În practica noastră, folosim programul Team Mate dezvoltat de Pricewater-houseCoopers. Acest sistem vă permite să automatizați activitățile de audit în toate etapele: de la planificarea unui audit și efectuarea testelor de audit până la generarea de rapoarte de audit și controlul ulterior al acțiunilor de management.
În concluzie, trebuie menționat că funcționarea eficientă a sistemului de control intern va depinde în mare măsură de unitatea de testare a procedurilor stabilite. De regulă, aceste sarcini sunt atribuite serviciului de audit intern. Pentru ca rezultatele testelor să fie obiective, această unitate trebuie să fie direct subordonată proprietarilor de afaceri, adică munca ei să nu fie influențată de deciziile conducerii de vârf a companiei.
Interviu cu auditorul intern al reprezentanței Moscow Cablecom Peter Skuridin
- Ce a determinat necesitatea introducerii unui sistem de control intern în companii?
- Ideea însăși de a construi sisteme de control intern nu este nouă pentru comunitatea de afaceri - principalele abordări au fost dezvoltate de COSO 5 în urmă cu 15-20 de ani. Acum a devenit larg răspândit în legătură cu adoptarea în Statele Unite a Legii Sarbanes-Oxley, care prevede responsabilitatea primelor persoane ale companiei. De exemplu, dacă se dovedește că raportarea companiei a fost denaturată în mod deliberat, atunci managerul acesteia riscă o amendă de până la 5 milioane de dolari sau închisoare de până la 20 de ani.
Acțiunile companiei noastre de management sunt listate la Bursa Americană. Inițial, raportul conducerii cu privire la nivelul controlului intern era cerut la 31 decembrie 2005. Cu toate acestea, Comisia pentru Valori Mobiliare a decis
Amânarea intrării în vigoare a cerințelor secțiunii 404 din Legea Sarbanes-Oxley pentru anumite tipuri de companii până la 31 decembrie 2006.
Peter, de ce este necesar să descriem procesele de afaceri ale unei întreprinderi atunci când se creează un sistem de control intern?
- Sarcina principală a descrierii proceselor de afaceri este de a defini cu exactitate activitățile din cadrul proceselor de afaceri, în timpul implementării cărora există riscuri. Trebuie remarcat faptul că, de regulă, mai multe departamente sunt implicate într-un proces de afaceri. Dacă am încerca să identificăm riscurile, de exemplu, pe baza structurii organizatorice a companiei, atunci nu am ține cont de numeroasele riscuri asociate cu tot felul de conflicte între departamente, ceea ce înseamnă că sistemul de control intern ar fi ineficient. În compania noastră, procesele de afaceri sunt descrise fără utilizarea unui software specializat în Visio (vezi Figura 1).
Figura 1. Un exemplu de descriere a unui proces de afaceri
Dar o reprezentare vizuală a procesului de afaceri nu este suficientă. O descriere detaliată a procesului este necesară pentru a elimina inexactitățile în interpretarea acestuia, precum și pentru a conveni această descriere „ca atare” cu proprietarul procesului și pentru a emite o confirmare pas cu pas. De exemplu, un plan de numerar, o cerere de plată, o factură de plată, un ordin de plată, un extras bancar și alte documente sunt depuse în procesul de afaceri de efectuare a plăților prezentat în Figura 2, ceea ce face posibilă urmărirea modului în care o tranzacție trece prin diverse sisteme contabile și se reflectă în documente. Legăturile leagă o dovadă pas cu pas la o descriere a procesului, permițându-vă să ilustrați aproape orice pas dintr-un proces.
Figura 2. Descrierea procesului de afaceri „Plăți de fonduri din conturile de decontare”
- După ce procesele de afaceri sunt descrise, cum să identifice riscurile lor inerente?
- Din păcate, analiza și identificarea riscurilor sunt întotdeauna evaluări ale experților. Bibliotecile de risc sunt întreținute de companiile Big Four, dar chiar și acestea nu oferă întotdeauna soluții suficient de detaliate. Faptul este că riscurile oricărei întreprinderi sunt asociate cu specificul industriei. Odată, din întâmplare, am cumpărat o carte de L.V. Sotnikova într-o librărie din Veliky Novgorod. „Auditul tranzacțiilor cu numerar”, care a descris exemple de proceduri de control și semne de deficiențe ale sistemului de control, pe baza cărora este posibilă identificarea riscurilor în plata fondurilor. Procesul de plată în numerar are mulți pași comuni pentru companiile care operează în diferite industrii, dar acest exemplu este mai degrabă o excepție. Prin urmare, riscurile sunt identificate și descrise pe baza experienței de audit. Un auditor cu experiență poate fi considerat un auditor care a lucrat într-o industrie de mai mult de trei ani.
Pentru fiecare risc se determină un cont semnificativ, ale cărui date pot fi distorsionate ca urmare a apariției unui eveniment de risc. De regulă, diferitele companii utilizează metode diferite pentru a determina semnificația situațiilor financiare. De exemplu, conturile cu cifre de afaceri sau solduri care depășesc 5% din profit înainte de impozitul pe profit, dividende și dobânzi la împrumuturi pot fi recunoscute ca semnificative. Un alt criteriu pentru semnificația unui cont este lichiditatea activelor și pasivelor contabilizate în cont. Să presupunem că fondurile au lichiditate ridicată, prin urmare, sunt asociate cu riscuri mari de pierdere. Prin urmare, conturile de numerar pot fi întotdeauna considerate semnificative. De asemenea, este necesară analizarea procedurilor de control existente (vezi tabel).
masa Descrierea riscurilor și a procedurilor de control curente
| Risc <1> | |||
|
Plata pentru bunuri si servicii necomandate |
2. Plata pentru bunuri și servicii necomandate (modificarea cerinței) |
3. Acces neautorizat la sistemul „Bancă-client”. |
4. Contabilul nu anulează datoria sau o face într-o sumă inexactă |
| Descrierea riscului | |||
|
Antreprenorul va crea o cerere de plată pentru bunuri și servicii necomandate de companie în scopuri personale |
Cererea de plată va fi modificată după aprobare, ceea ce poate duce la o achiziție necomandată de companie |
Un angajat cu drepturi de acces la oficiul de trezorerie va crea un ordin de plată pentru plata bunurilor și serviciilor necomandate de companie în scop personal |
Contabilul nu va efectua sau va efectua o operațiune de anulare a conturilor de plătit într-o sumă inexactă |
| Numele pasului procesului de afaceri | |||
|
Crearea unei cereri de plata si transferul documentelor catre departamentul de contabilitate |
Crearea unui ordin de plată |
Cablaje Dt XX Kt 51.XX |
|
| Materialitatea riscului | |||
| Descrierea detaliată a procedurilor de control, obiectivelor, frecvența controlului | |||
|
Aprobarea cererii de plată. Scopul controlului este de a preveni pierderea bunurilor. Descrierea procedurii de control: de îndată ce o cerință este creată, aceasta devine disponibilă pentru vizualizare. Cerința este verificată de: șeful de compartiment, șeful de compartiment, controlorul de buget. O cerință ajunge la următorul nivel de aprobare numai dacă este aprobată la toate nivelurile anterioare. Frecvența de control: pentru fiecare cerință. Documente primite: cerere de plată |
- | Aprobarea ordinului de plată. Scopul controlului este de a preveni pierderea bunurilor. Descrierea procedurii de control: de îndată ce un ordin de plată este creat, acesta devine disponibil pentru aprobare în sistemul distribuit Bancă-Client. Cerința este aprobată de funcționarii care au dreptul de a semna ordine de plată. La aprobarea ultimului oficial, ordinul de plata este trimis automat la banca. Frecvența de control: pentru fiecare cerință. Documente primite: șablon de ordin de plată cu detalii de plată | Reconcilierea decontărilor. Scopul controlului: o reflectare exactă a stării calculelor. Descrierea procedurii de control: contabilul se reconciliază cu contrapartea trimestrial. Frecvența monitorizării: trimestrial. Documente primite: afișări, documente primare |
| Dovada implementării controlului (document/dosar)< | |||
| Semnătura cerinței de către fiecare angajat care face aprobarea | - | O marcă pe aprobarea ordinului de plată în sistemul „Bancă-Client”. | Act de reconciliere a decontărilor, analiza trimestrială a reconcilierii cu debitorii/creditorii |
| Controlul acoperă riscul | |||
| - | da | da | |
| Eficacitatea procedurii de control selectate | |||
| - | |||
| Cont substanțial | |||
|
Bani gheata |
Creanțe |
||
|
Procedura de control este ineficienta, intrucat alegerea contrapartidelor se face doar pe baza unor solduri mari de debitori/creditori si nu tine cont de cifrele de afaceri mari. Rafinați instrucțiunile privind procedura de reconciliere cu contrapărțile |
|||
|
<1>Numerele corespund numărului de risc din diagrama procesului de afaceri. - Notă. editii. |
|||
- Sarcinile dumneavoastră includ dezvoltarea procedurilor de control?
- Nu întotdeauna, departamentul nostru face recomandări pentru eliminarea neajunsurilor existente, iar metodologia și implementarea procedurilor de control sunt, de regulă, responsabilitatea șefilor unităților funcționale. Există însă situații în care formăm recomandări pentru îmbunătățirea sistemului de control și facilităm implementarea acestora.
Întrebarea noastră tradițională: ce putem sfătui companiile care abia încep să implementeze un sistem de control intern?
- Descrierea proceselor de afaceri sub forma creării de reglementări scrise, proceduri și instrucțiuni care determină ordinea în care se desfășoară procesul este punctul de plecare pentru orice companie la crearea unui sistem de control intern. Numai după descrierea proceselor financiare, precum și a principalelor procese de achiziție, producție și marketing, folosind exemplul unei companii de producție, se poate începe identificarea riscurilor.
Intervievat de Alexander Afanasiev
1 Textul standardului, precum și informațiile de bază despre activitățile Federației Internaționale a Contabililor (IFAC) pot fi găsite la www.ifac.org. - Notă. editii.
2 Pentru mai multe detalii, vezi interviul „Cum să descrii și să optimizezi procesele de afaceri” („Director financiar”, 2003, nr. 7–8, p. 30). - Notă. editii.
3 Despre analiza proceselor de afaceri pentru identificarea riscurilor, a se vedea articolul „Asigurarea continuității afacerii” („Director financiar”, 2003, nr. 9, p. 26). - Notă. editii.
4 Despre managementul riscurilor companiei, a se vedea articolul „Construirea unui sistem de management al riscului corporativ” („Director financiar”, 2005, nr. 2, p. 27). - Notă. editii
5 Comitetul organizațiilor de sponsorizare al Comisiei Treadway (a se vedea www.coso.org pentru detalii) este o organizație non-profit înființată pentru a dezvolta recomandări pentru îmbunătățirea calității raportării financiare prin stabilirea de proceduri de control intern și guvernanță corporativă îmbunătățită. - Notă. editii.
