Нов-и Аудит
Нов-и Эксперты говорят
audit
eksperty-govoryat

Поделиться:

Как создать систему внутреннего контроля в компании

Как создать систему внутреннего контроля в компании: основные этапы и правила

2021-09-29 1597

Что такое внутренний контроль и для чего он нужен в компании — говорили в статье «Внутренний контроль: какую роль выполняет и что учесть при создании СВК». В этом материале разберем:

Система внутреннего контроля в том или ином виде существует в каждой компании. Помимо подразделений внутреннего контроля и внутреннего аудита, практически каждый руководитель и сотрудник выполняет определенные контрольные процедуры в своей работе. Как же создать эффективную СВК, чтобы она была действенной и рациональной?

Выделим 3 основных этапа создания и развития СВК в компании.

  1. 1. Анализ текущего состояния системы внутреннего контроля в компании, по результатам которого определяется текущая модель СВК и уровень ее зрелости.
  2. 2. Формирование целевой модели СВК, в том числе:
    • создание правил для эффективной работы системы;
    • распределение задач в сфере СВК между участниками процессов внутреннего контроля.
  3. 3. Разработка и реализация мероприятий, необходимых для перехода к целевой модели СВК с более высоким уровнем зрелости.

Первые два этапа — подготовительные, а третий — это этап внедрения целевой модели СВК в управленческую и операционную деятельности компании.

Ниже разберем подробнее каждый этап создания эффективной СВК.

Чтобы двигаться в правильном направлении, с учетом имеющихся ресурсов, необходимо проанализировать текущую модель СВК.

Определение текущей модели СВК

С точки зрения эволюции подходов к организации СВК, можно выделить 3 основные модели внутреннего контроля.

  • Подтверждающая модель — ориентирована на оценку соответствия работы проверяемых объектов контроля требованиям законодательства и внутренних документов компании.
  • Процессно-ориентированная модель — нацелена на анализ эффективности системы управления и базируется на процессном подходе. Согласно этой модели, каждое функциональное подразделение организации воспроизводит некий закрепленный за ним процесс, а компания рассматривается как цепочка или сеть таких процессов.
  • Риск-ориентированная модель внутреннего контроля появилась в 1985 году в США, когда национальная комиссия по борьбе с недостоверной финансовой отчетностью (комиссия Тредуэя) представила Интегрированную концепцию внутреннего контроля (COSO IC) и Концепцию управления рисками предприятия (COSO ERM).

Риск-ориентированная модель рассматривает внутренний контроль и риски как неотъемлемую часть самого бизнеса. И позволяют совету директоров, топ-менеджменту и остальному персоналу организации проверить:

  • эффективность и продуктивность операционной деятельности;
  • надежность отчетности;
  • соблюдение законов и внутренних регламентов.

Риск-ориентированный подход (РОП) к организации внутреннего контроля выглядит так:

  • вначале необходимо поставить цели (стратегические и тактические);
  • затем определить и оценить риски (угрозы достижения цели);
  • разработать меры, как их предотвратить;
  • постоянно проверять работоспособность и эффективность этих мер.

Согласно РОП, в любой деятельности есть риск не достичь ожидаемого результата из-за разных внешних и внутренних факторов: ошибок персонала, технических сбоев, неверных решений, изменений на рынках и пр. Если определить, где возникают риски, можно спрогнозировать реакцию на них и своевременно их предотвратить.

Именно поэтому контрольная деятельность во многих компаниях последние десятилетия переориентируется на работу с рисками. Затраты на такой превентивный контроль окупаются в полной мере за счет предотвращения более существенных потерь.

эволюция развития внутреннего контроля

Компания может сочетать элементы трех моделей внутреннего контроля, исходя из специфики и масштабов деятельности

Моя практика работы в крупных холдингах подтверждает описанную эволюцию подходов к организации внутреннего контроля: от фокуса на последующий контроль после наступления негативных последствий — к фокусу на выявление рисков до стадии принятия решений и разработки адекватных контрольных мер.

Важно! В компаниях, как правило, присутствуют элементы всех трех моделей внутреннего контроля, что обеспечивает принцип независимости контроля при проведении его разными специалистами. Необходимо найти оптимальное сочетание моделей с точки зрения эффективности и затрачиваемых ресурсов.

Согласно исследованию PWC, направления развития системы внутреннего контроля зависят от уровня зрелости СВК. Каждая компания проходит через несколько этапов развития СВК: от начального до совершенствуемого. И через промежуточные уровни: неформальный, формализованный и управляемый.

Таблица 1. Уровни зрелости системы внутреннего контроля

Уровень зрелости СВК Краткая характеристика
Начальный Контрольные процедуры отсутствуют или выполняются частично, но не формализованы.
Неформальный Процессы СВК формализованы частично, выполняются отдельные контрольные процедуры.
Формализованный Контрольная деятельность формализована и надлежащим образом документирована, но не стандартизирована. Отклонения могут быть не обнаружены своевременно.
Управляемый Внедрены как унифицированные контрольные процедуры, так и процедура их периодического тестирования.
Могут использоваться средства автоматизации для выполнения, тестирования или мониторинга эффективности контрольных процедур.
Совершенствуемый Процессы СВК соответствуют лучшим практикам, а также периодически оптимизируются за счет новых подходов.
Могут быть автоматизированы выполнение, тестирование и мониторинг эффективности контрольных процедур.

По данным PWC, 34% компаний оценивают уровень зрелости своей СВК как формализованный, 26% как управляемый. И всего 2% компаний достигло совершенствуемого уровня системы внутреннего контроля.

Компания может взять для оценки и другую градацию уровней зрелости СВК, в частности, определенную в рекомендациях различных регуляторов или в нормативных актах. Для успешного создания эффективной СВК необходимо прежде всего оценить и зафиксировать ее исходное состояние, а затем определить целевое видение СВК.

Если рассматривать СВК с точки зрения системного подхода, то можно сказать, что внутренний контроль функционирует как эффективная система только когда:

  • существуют основные элементы системы: цели, составные части, объекты, субъекты;
  • определены принципы функционирования, задачи и функции субъектов;
  • определены и скоординированы связи и влияние друг на друга всех элементов системы.

Работа СВК базируется на применении набора правил и принципов, соблюдение которых обеспечивает ее эффективность.

Есть базовые принципы внутреннего контроля для всех моделей СВК. Если они не соблюдаются, то система внутреннего контроля компании функционирует на низком уровне.

Таблица 2. Базовые принципы СВК

Принцип Характеристика
Законность Построение и функционирование СВК в соответствии с действующим законодательством и внутренними нормативными документами компании.
Регламентация СВК должна быть формализована на уровне, достаточном для корректного и однозначного понимания всеми сотрудниками компании
Регламентация бизнес-процессов, в т.ч. процессов внутреннего контроля и управления рисками, обеспечивает:
  • прозрачность процессов и методологическое единство;
  • правовое закрепление обязанностей и ответственности, целей и плановых/нормативных параметров деятельности;
  • преемственность процессов при смене их участников;
  • эффективный контроль и мониторинг для поддержания процессов в актуальном состоянии и развитии.
Распределение полномочий, обязанностей и установление ответственности Должна быть определена организационная структура с уровнями подчиненности, распределенными полномочиями, обязанностями, в т.ч. связанные с функционированием СВК и управления рисками.
Независимость Чтобы контроль был объективным, а проверяющие и проверяемые были относительно независимы друг от друга, одно должностное лицо не может выполнять функции исполнения и контроля.
Для этого необходимо правильно организовать подчиненность соответствующих подразделений (организационную структуру).
Непрерывность Внутренний контроль должен проводиться постоянно в силу непрерывности процесса управления. Для этого нужно организовать все функции управленческого цикла.
Действенность (принцип действенной «обратной связи») Необходимо устранить выявленные нарушения, определить виновных и разработать меры для предотвращения подобного в будущем.
Руководитель должен принимать соответствующее управленческое решение. А исправлением заниматься соответствующий уровень линейных руководителей.

Помимо базового набора правил, для создания эффективного внутреннего контроля с риск-ориентированным подходом необходимо внедрить в компании дополнительные принципы СВК.

  • Объективность. СВК должна предоставлять как можно более объективную информацию руководству для принятия оптимальных и рациональных решений.
  • Простота. Эффективный контроль должен состоять из простых процедур. Чтобы специалисты, отвечающие за него, могли их легко понять и выполнить. Если механизмы контроля сложные, есть риск, что их проигнорируют.
  • Эффективность по затратам. Затраты на внедрение СВК не должны превышать выгоды, которые она дает компании.
  • Интеграция. Необходима интеграция СВК с системой управления, в том числе, с системой планирования и принятия решений.
  • Целостность и комплексность. СВК должна охватывать все направления деятельности компании и бизнес-процессы на всех уровнях управления.
  • Самоконтроль. СВК должна, где это возможно, в лице линейных руководителей своевременно справляться с проблемами по мере их возникновения и предупреждать их. Не зависеть от последующей проверки или аудита.
  • Ориентированность на риски. СВК в компании тесно взаимодействует с системой управления рисками. При анализе контрольных процедур следует оценивать величину и вероятность возникновения рисков, степень их влияния на результаты финансово-хозяйственной деятельности и достижение целей компании. Это позволяет увидеть, достаточно ли существующих контрольных процедур, или нужно разработать новые.

Важно! Чтобы создать эффективную систему внутреннего контроля, нужно не только формализовать основные принципы функционирования СВК и зарегламентировать их, но и воплотить на практике. А также регулярно тестировать СВК, соответствует ли она установленным принципам.

К субъектам СВК относятся практически все причастные к деятельности компании: Совет Директоров, внутренний аудит, исполнительное и линейное руководство, сотрудники подразделений (в том числе внутренние контролеры).

Институт внутренних аудиторов в 2013 году официально признал, так называемую, модель «Три линии защиты». Она описывает то, как распределять и координировать функции контроля и управления рисками между субъектами СВК, независимо от размера и сложности организации.

Функции субъектов СВК

Эффективную СВК можно выстроить, когда в компании функционируют все три линии защиты с четко определенными обязанностями

Считается, что модель «Три линии защиты» обеспечивает более устойчивое и эффективное функционирование СВК. Но на практике, она далеко не всегда реализуется оптимальным образом.

Вместо конструктивного взаимодействия, часто в компаниях:

  • дублируются функции участников СВК — пересекаются роли первой и второй или второй и третьей линий;
  • возникают конфликты между первой и второй линиями из-за сопротивления бизнеса новым мониторинговым и контрольным процедурам;
  • конфликты между второй и третьей линиями бывают, когда внутренний аудит становится «внешним» — только фиксирует недостатки (играет роль ревизора, забывая, что он — третья линия именно защиты, а значит, член команды).

Важно! Чтобы выстроить партнерские взаимодействия с эффектом синергии, участникам СВК стоит договориться о взаимодействии и зонах ответственности. Распределить и закрепить в соответствующих внутренних документах функционал подразделений так, чтобы скоординированная работа всех «трех линий защиты»:

  • действительно защищала компанию от препятствий на пути к поставленным целям;
  • способствовала выявлению не только угроз, но и возможностей для повышения эффективности деятельности компании в целом.

В следующей статье рассмотрим третий этап создания и развития СВК — внедрение целевой модели СВК в управленческую и операционную деятельности компании.

Оцените материал

Поделиться:

Добро пожаловать!

Куда хотите войти:

В систему дистанционного
обучения

Войти

В личный кабинет пользователя
вебинаров

Войти

Рады приветствовать на нашем сайте!

У нас есть два полезных портала для повышения квалификации!
Скажите, что именно вас интересует?

Курсы повышения
квалификации

Зарегистрироваться

Вебинары об изменениях
в законодательстве

Зарегистрироваться