Какие программы включаются в правила внутреннего контроля организации

Расскажу про личный опыт создания службы внутреннего контроля и аудита с нуля, уверен, что эта тема будет интересна как собственникам бизнеса, которые уже задумывались о создании такой службы, но по каким-то причинам откладывают такое решение, так и внутренним аудиторам, которые могут столкнуться в своей карьере с такими вызовами. Хочу сразу отметить, что в компании, о которой пойдет речь, никогда не было ни функции внутреннего аудита, ни функции контроля.

Когда меня пригласили на интервью с акционерами компании и мы начали обсуждать цель создания службы, я понял, что акционерам нужна прежде всего независимая оценка того, что же происходит с их бизнесом на самом деле, насколько достоверны те отчеты – по продажам, исполнению бюджета, инвестициям, – которые им предоставляет операционный менеджмент. Компания на тот момент как раз находилась в стадии роста, и для того, чтобы поддерживать его и не перейти в стадию зрелости, компании был нужен новый импульс – кардинальные изменения как в реструктуризации процессов, так и в привлечении новых инвестиций. Одним из таких импульсов и должна была стать служба внутреннего контроля и аудита (далее СВКиА). Основная задача, стоявшая передо мной, – выстроить в компании функцию внутреннего аудита и систему внутреннего контроля (далее СВК).

Система внутреннего контроля

Международный Институт внутренних аудиторов (IIA) дает следующее определение внутреннего аудита:

Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

СOSO IC

Внутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками, направленный на обеспечение разумной уверенности в достижении целей компании, связанных с операционной деятельностью, подготовкой отчетности и соблюдением законодательства и нормативных актов. По сути, была поставлена задача создать в рамках одного подразделения две конфликтующие между собой функции (контроль и аудит).

В соответствии с моделью Трех линий [защиты] 1 , разработанной IIA в 2013 году, функция внутреннего контроля находится на второй линии защиты, а функция внутреннего аудита – на третьей, к тому же, в соответствии со Стандартом 1130.А1 Международных профессиональных стандартов внутреннего аудита, внутренние аудиторы должны воздерживаться от проведения оценки тех областей, за которые они раньше несли ответственность, а также предоставления гарантий в той области, за которую они отвечали в течение предшествующего года, поскольку иначе объективность и независимость подвергаются негативному воздействию. Чтобы минимизировать этот конфликт, было принято решение о разделении функции внутри службы на ВА и ВК: внутренние аудиторы не могут учувствовать в осуществлении контрольных процедур, а специалисты по внутреннему контролю не могут проводить аудиторские проверки. По мере зрелости СВК данная функция перейдет во вторую линию защиты. Этот подход был утвержден советом директоров.

Правила внутреннего контроля организации в целях ПОД/ФТ и изменения в 115-ФЗ. Обзор изменений.

Стандарт 1100 – Независимость и объективность

Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей. Примечание: Объективность аудитора считается нарушенной, если аудитор разрабатывает, внедряет, проектирует контрольные процедуры для систем или управляет такими системами.

Первые шаги

На этапе зарождения функции внутреннего аудита важно строго руководствоваться Международными профессиональными стандартами внутреннего аудита и применять лучшие практики в области управления функцией внутреннего аудита, доводить их важность и значимость до акционеров и высшего руководства. Был случай, когда на очередной встрече с высшим руководством мне было предложено взять в подчинение операционную функцию, т.е. подразделение, которое непосредственно занимается операционной деятельностью. И здесь было важно довести до руководства свою принципиальную позицию о том, что если внутренний аудит будет руководить операционной функцией, тогда объективность и независимость внутреннего аудита подвергнутся отрицательному воздействию, а внутренние аудиторы не смогут выполнять свои обязанности объективно и независимо в отношении этого подразделения.

Практическое указание 1130.A2-1: Ответственность внутреннего аудита за другие (неаудиторские) функции

• Проведены установочные встречи с высшим руководством и советом директоров, на которых были сформулированы ожидания от СВКиА и определены задачи и меры поддержки.
• Подготовлены и утверждены советом директоров и генеральным директором основополагающие документы (положение о СВКиА, методика проведения внутренних аудитов).

Стандарт 1000: Цели, полномочия и ответственность

Цели, полномочия и ответственность подразделения внутреннего аудита должны быть определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.

• Для понимания уровня зрелости компании в области внутреннего контроля и управления рисками, а также для формирования перечня бизнес-процессов наиболее подверженных рискам, были проведены интервью со всеми ключевыми владельцами бизнес-процессов. По результатам интервью была сформирована карта корпоративных рисков компании, которая легла в основу формирования риск-ориентированного годового плана аудита; был разработан перечень бизнес-процессов в детализации до 3-х уровней (корпоративный, операционный, транзакционный) как основа для формирования СВК.
• Параллельно была проведена работа по созданию и утверждению организационной структуры службы. Для обоснования и расчета количества сотрудников структуры были использованы инструменты из ранее полученного практического опыта: количество плановых аудитов за год в соотношении времени, затрачиваемого на выполнение одного аудита, а также аналогичный расчет в отношении отработки одного бизнес-процесса специалистом в единицу времени.
• Для усиления позиции и придания уверенности в достижении цели создания СВК, был разработан Устав проекта по созданию СВК, где основными заказчиками выступили акционеры. Устав был согласован с менеджментом и утвержден СЕО; документ был проработан до мелочей: были прописаны все риски, с которыми могла столкнуться команда, и меры их снижения; обозначены все роли, ответственные; формы и правила коммуникации с менеджментом; сроки и контрольные точки по этапам проекта были прописаны в план-графике.
• По истечении 3-х месяцев была разработана и утверждена на совете директоров стратегия создания и развития функции ВК и ВА на краткосрочный (1 год) и долгосрочный (3 года) периоды, утверждено положение о СВКиА, план аудитов на год, структура и бюджет СВКиА, методика проведения внутренних аудитов, устав создания СВК, положение о владельцах бизнес-процессов. Осталось главное – сформировать команду, которая смогла бы достичь поставленной цели.

СOSO IC

Система внутреннего контроля — это комплекс мер, принимаемых руководством компании для своевременного выявления рисков и управления ими.

Команда – основной ресурс для достижения любой цели

Сразу скажу, что на формирование полноценной команды ушло около полугода. Команда формировалась постепенно, не было цели сразу набрать полный штат высококлассных специалистов, поскольку, во-первых, это могло оказаться неоправданной нагрузкой на бизнес (с точки зрения как дополнительных расходов на ФОТ, так и нерационального распределения задач ввиду неготовности менеджмента к резким изменениям, что могло бы привести к скрытому бойкоту создания функций). Во-вторых, что крайне важно, нужно было начать работу небольшим составом, чтобы на первых шагах понять, какие ошибки могут возникнуть на начальной стадии и сколько фактически времени уходит на выполнение одного аудиторского задания или обработку одного процесса; и только после этого определиться с количеством членов команды. В-третьих, специалистов подобного уровня очень трудно найти на рынке по причине узкой специализации.

Подбор команды осуществлялся, как правило, мною лично совместно функцией HR. Были заранее проработаны профили кандидатов с необходимым набором качеств и компетенций, основные – это коммуникабельность, проактивность, клиентоориентированность и настойчивость, компетенции и опыт во внутреннем контроле или аудите, понимание структуры бизнес-процессов и главное – желание создавать что-то новое и совершенствоваться. Кандидатов искали внешних, поскольку нужны были независимая оценка и взгляд со стороны, а с новыми людьми, как правило, приходят и новые идеи.

Итак, в течение полугода с момента утверждения структуры СВКиА команда была полностью сформирована. Здесь важно отметить, что при создании функции ВА и/или СВК, особенно на начальных этапах, необходимо привлекать профессионалов высокого уровня или специалистов с очень хорошим базовым образованием. В нашем случае именно из таких людей и сформировалась команда; если брать в пропорции, то примерно 50/50.

Не буду дальше вдаваться в детали осуществления проекта СВК и становления функции внутреннего аудита (оставлю эту тему для следующей статьи), скажу лишь, что проект по созданию СВК был успешно реализован в течение 1,5 лет и передан в бизнес-подразделения компании, а становление функции внутреннего аудита было реализовано в течение 3 месяцев с момента моего прихода в компанию и до начала первой аудиторской проверки.

Основные трудности, с которыми пришлось столкнуться, и пути решения

В процессе создания СВКиА ожидаемо возникли трудности и проблемы, в основном лежащие в плоскостях организации процесса и недопонимания операционным менеджментом роли внутреннего контроля и аудита в организации. В компании, в которой никогда не было подобных функций, менеджмент реагировал по-разному: те, кто ранее сталкивались с аудитом или контролем, понимали, что эти функции нацелены на помощь акционерам и менеджменту в достижении основных целей компании, и сразу включались в процессы; некоторые же не видели смысла в новом подразделении, думая, что компания хорошо развивалась и без этих функций.

Основные пути решения этих трудностей заключаются в качественном подборе команды внутренних аудиторов и специалистов по внутреннему контролю, высокой частоте коммуникаций на всех уровнях взаимодействия между сотрудниками СВКиА и операционным менеджментом с целью объяснения пользы от совместной работы и демонстрации результатов службы высшему руководству и акционерам.

Трудности

Пути решения

Сложности в формировании команды аудиторов и специалистов по внутреннему контролю в СВКиА

Подбор специалистов с хорошим опытом работы в сфере аудита и контроля и хорошим базовым образованием

Непонимание менеджментом целей и задач СВКиА

Проведение постоянных встреч и тренингов для объяснения пользы внутреннего аудита и контроля

Закрытость менеджмента и сотрудников, недоверие к внутренним аудиторам при первых проверках

Объяснение и демонстрация менеджменту и сотрудникам, что аудиторские проверки нацелены на помощь бизнесу в совершенствовании процессов и улучшении деятельности компании, а не с целью выявления и наказания виновных

Непонимание менеджментом своей роли в управлении контрольными процедурами в своих процессах

Проведение встреч с менеджментом, выпуск статей в корпоративном журнале с разъяснениями управления контрольными процедурами

Непринятие менеджментом изменений, связанных с внедрением СВК

Формирование тона сверху у руководителей всех уровней

Основные факторы успешного создания службы внутреннего контроля и аудита

В заключение хотел бы сказать, что основными факторами для успешного создания функций внутреннего контроля и аудита, на мой взгляд, являются:

1. Наверное, самый важный фактор – желание и поддержка акционеров и высшего руководства на всех этапах создания и развития функций. Здесь многое может зависеть от ваших презентационных навыков, поскольку акционеры и высшее руководство могли ранее не сталкиваться с подобными функциями, и важно убедить их в полезности ВА и ВК для бизнеса.

2. Планирование создания и развития функции в строгом соответствии с Международными профессиональными стандартами внутреннего аудита на 3-хлетний период, детальное – на 1 год.

3. Команда, которая не подведет и достигнет результата.

4. Проактивная, последовательная и настойчивая реализация плана по созданию и развитию функций.

5. Создание атмосферы взаимопонимания и поддержки внутри коллектива, мотивированного на получение результата.

Результатом синергии этих пяти основных факторов стала успешная реализации проекта по созданию службы внутреннего контроля и аудита.

1 В 2020 году Модель Трех линии защиты была переименована в Модель трех линий.

Источник: www.audit-it.ru

Для аудиторов

115-ФЗ – базовые требования и новое для субъектов – аудиторов

Информационное сообщение

9 сентября 2021 г. № ИС-аудит-47

Исходя из Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон), аудиторские организации, индивидуальные аудиторы должны организовывать внутренний контроль в целях противодействия легализации (отмывания) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения (далее – ПОД/ФТ/ФРОМУ). Внутренний контроль в целях ПОД/ФТ/ФРОМУ организовывается с учетом требований, утверждаемых Правительством Российской Федерации.

Постановлением Правительства Российской Федерации от 14 июля 2021 г. № 1188 утверждены Требования к правилам внутреннего контроля, разрабатываемым адвокатами, нотариусами, лицами, осуществляющими предпринимательскую деятельность в сфере оказания юридических или бухгалтерских услуг, аудиторскими организациями и индивидуальными аудиторами (в настоящее время при организации внутреннего контроля в целях ПОД/ФТ/ФРОМУ аудиторские организации, индивидуальные аудиторы учитывают Требования к правилам внутреннего контроля, разрабатываемым организациями, осуществляющими операции с денежными средствами или иным имуществом, и индивидуальными предпринимателями, утвержденные постановлением Правительства Российской Федерации от 30 июня 2012 г. № 667).

Правила внутреннего контроля в целях ПОД/ФТ/ФРОМУ должны включать следующие обязательные программы:

• программа, определяющая организационные основы внутреннего контроля;
• программа идентификации клиентов, представителей клиентов и (или) выгодоприобретателей, а также бенефициарных владельцев;
• программа изучения клиента;
• программа оценки рисков и управления рисками легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма (далее – ОД/ФТ) (ранее – программа оценки степени (уровня) риска совершения клиентом операций, связанных с ОД/ФТ);
• программа выявления сделок и финансовых операций, имеющих признаки связи с ОД/ФТ, и представления сведений о них в Росфинмониторинг (ранее – программа выявления операций (сделок), подлежащих обязательному контролю, и операций (сделок), имеющих признаки связи с ОД/ФТ);
• программа, регламентирующая порядок применения мер по замораживанию (блокированию) денежных средств или иного имущества. Если аудиторская организация, индивидуальный аудитор не готовят и не осуществляют от имени или по поручению своего клиента операции, указанные в пункте 1 статьи 7.1 Федерального закона, то они не включают такую программу в правила внутреннего контроля;
• программа подготовки и обучения кадров в сфере ПОД/ФТ/ФРОМУ;
• программа проверки системы внутреннего контроля;
• программа хранения информации и документов, полученных в результате реализации обязанностей по ПОД/ФТ/ФРОМУ.

Содержательное наполнение каждой из названных программ определено пунктами 8-45 Требований к правилам внутреннего контроля. В Требованиях к правилам внутреннего контроля не предусмотрены следующие самостоятельные программы, которые ранее должны были включаться в правила внутреннего контроля: программа документального фиксирования информации (включена в другие программы в виде отдельных требований), программа по приостановлению операций, программа по отказу от выполнения распоряжения клиента о выполнении операции.

Аудиторская организация, индивидуальный аудитор утверждают единые правила внутреннего контроля как для деятельности, предусмотренной пунктом 1 статьи 7.1 Федерального закона, так и для аудиторской деятельности и оказания прочих услуг. При этом в единых правилах внутреннего контроля должны быть отражены особенности осуществления внутреннего контроля для каждого вида деятельности (аудиторская деятельность, оказание прочих услуг).

Порядок утверждения и оформления правил внутреннего контроля

Правила внутреннего контроля утверждаются руководителем аудиторской организации, индивидуальным аудитором до начала деятельности, предусмотренной пунктом 1 статьи 7.1 Федерального закона, и оказания аудиторских услуг. Они оформляются на бумажном носителе или в виде электронного документа. В случае если правила внутреннего контроля оформлены на бумажном носителе, то аудиторская организация, индивидуальный аудитор могут хранить их либо на бумажном носителе, либо в виде электронного образа документа.

Документ на бумажном носителе заверяется подписью руководителя аудиторской организации, индивидуального аудитора или подписью уполномоченного лица аудиторской организации, индивидуального аудитора. Электронный документ подписывается усиленной квалифицированной электронной подписью руководителя аудиторской организации, индивидуального аудитора.

Аудиторская организация, индивидуальный аудитор обязаны постоянно поддерживать правила внутреннего контроля в актуальном состоянии. Для этого правила внутреннего контроля должны приводиться в соответствие с требованиями применимых нормативных правовых актов о ПОД/ФТ/ФРОМУ не позднее одного месяца со дня вступления в силу таких актов (за исключением случаев, когда этими актами установлено иное). Изменения, вносимые в правила внутреннего контроля, оформляются в виде новой редакции документа.

Контроль соответствия правил внутреннего контроля требованиям законодательства Российской Федерации обеспечивает руководитель аудиторской организации, индивидуальный аудитор.

Специальное должностное лицо, ответственное за реализацию правил внутреннего контроля

В аудиторской организации, у индивидуального аудитора должно быть специальное должностное лицо, ответственное за реализацию правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ (далее – специальное должностное лицо).

В аудиторской организации специальным должностным лицом назначается соответствующий установленным квалификационным требованиям сотрудник этой организации, работающий на основании трудового договора с ней. У индивидуального аудитора специальным должностным лицом назначается либо сам индивидуальный аудитор (при условии соответствия установленным квалификационным требованиям), либо соответствующий установленным квалификационным требованиям сотрудник индивидуального аудитора, работающий на основании трудового договора с ним. Квалификационные требования к специальным должностным лицам определяются в соответствии с постановлением Правительства Российской Федерации от 29 мая 2014 г. № 492.

На период отсутствия специального должностного лица (отпуск, временная нетрудоспособность, служебная командировка) его обязанности возлагаются на иного сотрудника аудиторской организации, индивидуального аудитора. Замещающий сотрудник должен соответствовать квалификационным требованиям, предъявляемым к специальному должностному лицу.

Порядок назначения специального должностного лица, возложения его обязанностей на период отсутствия, а также полномочия и обязанности специального должностного лица утверждаются руководителем аудиторской организации, индивидуальным аудитором в программе, определяющей организационные основы внутреннего контроля, в составе правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ.

Структурное подразделение по ПОД/ФТ/ФРОМУ

В аудиторской организации может быть создано структурное подразделение, на которое возлагаются функции по ПОД/ФТ/ФРОМУ. Решение о создании такого подразделения принимается аудиторской организацией самостоятельно. При этом учитываются такие факторы, как особенности структуры аудиторской организации, ее штатная численность, клиентская база, степень (уровень) риска совершения клиентами сделок или финансовых операций, направленных на ОД/ФТ.

Полномочия и обязанности названного структурного подразделения утверждаются руководителем аудиторской организации, индивидуальным аудитором в программе, определяющей организационные основы внутреннего контроля, в составе правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ.

Оценка рисков ОД/ФТ

1. Аудиторская организация, индивидуальный аудитор обязаны оценивать риски ОД/ФТ своих клиентов. Такая оценка проводится до приема на обслуживание клиента и в ходе обслуживания его.
2. При оценке рисков клиента подлежат рассмотрению все категории рисков, связанных с его деятельностью, в частности, риски, связанные со странами и отдельными географическими территориями, с клиентами, с продуктами, услугами, операциями (сделками) или каналами поставок, совершаемыми клиентом. Аудиторские организации, индивидуальные аудиторы вправе разрабатывать дополнительные категории рисков. Оценка рисков клиента осуществляется по одной или по совокупности категорий рисков.
3. При оценке рисков аудиторская организация, индивидуальный аудитор классифицируют клиентов по следующим степеням (уровням) риска: высокий риск; средний риск; низкий риск.
4. Решение о присвоении клиенту степени (уровня) риска принимается аудиторской организацией, индивидуальным аудитором на основании мотивированного суждения и носит субъективно-оценочный характер. Мотивированное суждение формируется по итогам анализа полученной информации о клиенте, его представителе, выгодоприобретателе, бенефициарном владельце и об операциях, совершаемых клиентом либо в его интересах. Кроме того, при оценке рисков учитываются: результаты национальной оценки рисков ОД/ФТ; рекомендации Росфинмониторинга; типологии ОД/ФТ, размещенные на официальных сайтах международных организаций, занимающихся вопросами ПОД/ФТ/ФРОМУ (например, ФАТФ, МАНИВЭЛ, ЕАГ), и в иных доступных источниках; признаки операций, видов и условий деятельности, имеющих повышенные риски совершения клиентами операций в целях ОД/ФТ с учетом рекомендаций ФАТФ.
5. Аудиторская организация, индивидуальный аудитор должны вести постоянный мониторинг степени (уровня) риска, присвоенной каждому клиенту, принятому на обслуживание, предполагающее длящийся характер отношений. Такой мониторинг осуществляется посредством оценки факторов, на основании которых была присвоена степень (уровень) риска. При выявлении факторов, на основании которых оценивается степень (уровень) риска, принимается решение о пересмотре присвоенной клиенту степени (уровня) риска.
6. Методика оценки и присвоения клиенту степени (уровня) риска до приема на обслуживание, порядок и сроки пересмотра присвоенной клиенту степени (уровня) риска в ходе его обслуживания, порядок документального фиксирования результатов оценки рисков клиента утверждаются руководителем аудиторской организации, индивидуальным аудитором в программе оценки и управления рисками ОД/ФТ в составе правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ.

Управление рисками ОД/ФТ

Аудиторская организация, индивидуальный аудитор должны определить порядок управления рисками ОД/ФТ в программе оценки и управления рисками ОД/ФТ в составе правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ.

Управление рисками ОД/ФТ реализуется посредством осуществления действий по снижению степени (уровня) риска клиента в рамках мер, предусмотренных законодательством Российской Федерации. Среди таких мер, в частности, – запрос дополнительных сведений о клиенте, его представителе, выгодоприобретателе, бенефициарном владельце в рамках идентификации клиента; запрос дополнительных сведений, поясняющих характер операции (сделки); запрос дополнительных сведений о целях установления и предполагаемом характере деловых отношений клиента с аудиторской организацией, индивидуальным аудитором, о целях финансово-хозяйственной деятельности, финансовом положении, деловой репутации клиента, а также об источниках происхождения денежных средств и (или) иного имущества; уведомление Росфинмониторинга о сделке или финансовой операции клиента в соответствии с пунктом 2 статьи 7.1 Федерального закона.

Порядок документального фиксирования результатов управления рисками утверждаются руководителем аудиторской организации, индивидуальным аудитором в программе оценки и управления рисками ОД/ФТ в составе правил внутреннего контроля в целях ПОД/ФТ/ФРОМУ.

Выявление операций и сделок, имеющих признаки связи с ОД/ФТ

В целях выявления сделок и финансовых операций, имеющих признаки связи с ОД/ФТ, аудиторские организации, индивидуальные аудиторы должны:

а) проводить анализ разовых операций (сделок) клиента, совершаемых с их участием;

б) осуществлять постоянный мониторинг операций (сделок) клиентов, принятых на обслуживание, предполагающее длящийся характер отношений;

в) осуществлять мониторинг операций (сделок) аудируемого лица при оказании аудиторских услуг.

При этом в подпунктах «а» и «в» речь идет об операциях (сделках), осуществление которых может быть направлено на ОД/ФТ, а также подлежащих документальному фиксированию в соответствии с пунктом 2 статьи 7 Федерального закона.

Проверка системы внутреннего контроля в целях ПОД/ФТ/ФРОМУ

Аудиторская организация, индивидуальный аудитор должны обеспечить регулярную проверку системы внутреннего контроля в целях ПОД/ФТ/ФРОМУ. Цель такой проверки – контроль соблюдения аудиторской организацией, индивидуальным аудитором и их сотрудниками законодательства Российской Федерации о ПОД/ФТ/ФРОМУ, правил внутреннего контроля и иных внутренних организационно- распорядительных документов, принятых в целях ПОД/ФТ/ФРОМУ.

Проверки должны проводиться на регулярной основе, но не реже одного раза в год (ранее – не реже одного раза в полугодие). В аудиторской организации их проводят специальные должностные лица, а также в случаях, установленных в правилах внутреннего контроля, – иные сотрудники, находящиеся с аудиторской организацией в трудовых отношениях. У индивидуального аудитора проверки проводит он сам в случае отсутствия у него сотрудников, находящихся с ним в трудовых отношениях, либо специальное должностное лицо, либо в случаях, установленных в правилах внутреннего контроля, – иные сотрудники, находящиеся с индивидуальным аудитором в трудовых отношениях. При проведении проверок должна использоваться, среди прочего, информация об оценке рисков неисполнения требований законодательства Российской Федерации о ПОД/ФТ/ФРОМУ, доводимая Росфинмониторингом до аудиторских организаций, индивидуальных аудиторов.

По результатам проверки руководителю аудиторской организации, индивидуальному аудитору представляется письменный отчет. В нем раскрываются сведения обо всех выявленных нарушениях законодательства Российской Федерации о ПОД/ФТ/ФРОМУ, правил внутреннего контроля и иных внутренних организационно- распорядительных документов, принятых в целях ПОД/ФТ/ФРОМУ. В отчете указываются также сведения об устранении выявленных нарушений (при наличии нарушений). Если у индивидуального аудитора отсутствуют сотрудники, находящиеся в трудовых отношениях с ним, то результаты проверок документально фиксируются в порядке, установленном правилами внутреннего контроля, с указанием (при наличии) сведений о выявленных нарушениях и их устранении.

Аудиторская организация, индивидуальный аудитор обязаны принимать меры по устранению нарушений, выявленных по результатам проверок.

Хранение информации

В соответствии с Федеральным законом аудиторская организация, индивидуальный аудитор обязаны хранить документы не менее пяти лет со дня прекращения отношений с клиентами. Хранению подлежат следующие документы:

• содержащие сведения о клиенте, его представителе, выгодоприобретателе, бенефициарном владельце;
• касающиеся сделок и финансовых операций, сведения о которых представлялись в Росфинмониторинг, и сообщений о таких сделках и финансовых операциях;
• касающиеся операций, подлежащих документальному фиксированию в соответствии со статьей 7 Федерального закона и Требованиями к правилам внутреннего контроля;
• иные документы, полученные в результате применения правил внутреннего контроля.

Аудиторская организация, индивидуальный аудитор должны обеспечить конфиденциальность информации, полученной в результате применения правил внутреннего контроля.

Вступление в силу

Постановление Правительства Российской Федерации от 14 июля 2021 г. № 1188 вступает в силу 13 января 2022 г.

В течение одного месяца со дня вступления в силу постановления Правительства Российской Федерации от 14 июля 2021 г. № 1188, т.е. не позднее 13 февраля 2022 г., аудиторские организации, индивидуальные аудиторы должны привести свои правила внутреннего контроля в соответствие с новыми Требованиями к ним.

Департамент регулирования бухгалтерского учета, финансовой отчетности и аудиторской деятельности Минфина России

Закажите обратный звонок или запишитесь на бесплатную консультацию:

Источник: fkdconsult.ru

Внутренний контроль

Цель этой статьи состоит в том, чтобы обсудить различные вопросы внутреннего контроля, сделав особый упор на темы пункта I6 программы курса «Введение в финансы и управление бизнесом». Нас, в частности, будут особенно интересовать следующие темы учебного плана:

a) Объяснить внутренний контроль и внутреннюю проверку.
b) Объяснять внутреннего финансового контроля в организации.
c) Описать обязанности руководства по внутреннему финансовому контролю.

Кроме того, в статье мы обсудим роль внутреннего аудита и проверок, проводимых в рамках внутреннего аудита, что охватывается темами I2 e) и f) учебного плана.

Определение и цели внутреннего контроля

Доклад Tернбулла, впервые опубликованный в 1999 году, определил внутренний контроль и сферу его действия следующим образом:

«Политики, процедуры, задачи, поведенческие и прочие аспекты деятельности организации, которые в совокупности:

• Способствуют успешному функционированию организации, позволяя ей должным образом реагировать на значительные риски (операционные, финансовые, риски соблюдения правовых норм и другие) в процессе достижения своих целей. Сюда относится также обеспечение сохранности активов и своевременное выявление и управление обязательствами.
• Обеспечивают качество внутренней и внешней отчётности, что, свою очередь, требует поддержания необходимых учётных систем и процессов для создания потоков своевременной, уместной и надёжной информации из внутренних и внешних источников.
• Обеспечивают соблюдение действующего законодательства и внутренних политик.

Объяснение Тернбулла подчеркивает положительную роль, которую внутренний контроль призван играть в организации. Способствовать эффективному функционированию – это способствовать улучшению; и, если внедрить их правильно, то процессы внутреннего контроля несут пользу организации тем, что сравнивают вероятные сценарии с изначальными планами и предлагают способы избежать негативного развития событий.

В то же время Тернбулл признаёт, что идеальной системы внутреннего контроля не существует. Поскольку любая организация работает в динамичной среде, некоторые риски из значительных будут эволюционировать в несущественные, а некоторые из новых возникающих рисков может быть сложно или вообще невозможно предвидеть. Поэтому целью любой системы внутреннего контроля должна быть разумная уверенность в том, что организация всё-таки сможет достигать своих целей.

Задачи внутреннего контроля

Внутренний контроль должен выполнять следующие задачи:

Обеспечение эффективности ведения бизнеса:
В организации должны быть внедрены инструменты контроля, которые могли бы обеспечивать бесперебойную работу её процессов и операций. В совокупности такие инструменты должны снизить риск неэффективной деятельности и свести к минимуму опасность того, что организация не сможет достичь своих целей.

Обеспечение сохранности активов:
Используемые организацией инструменты контроля также должны гарантировать, что её активы используются для надлежащих целей и не подвержены риску воровства или использования не по назначению. Такие инструменты контроля нужно применять равным образом как к материальным, так и к нематериальным активам организации.

Предотвращение и выявление мошенничества и других незаконных действий:
Такие правонарушения могут случаться даже в небольших организациях с простыми организационными структурами, а по мере того, как размер и сложность организации увеличиваются, разнообразие мошеннических практик только растёт. Очевидно, что механизмы контроля должны соответствовать этим вызовам.

Обеспечение полноты и правильности учётной информации:
Организация не в состоянии готовить достоверную финансовую информацию, если ненадёжны её системы первичного учёта. Эти системы должны фиксировать первичные операции так, чтобы все их необходимые характеристики были отражены в финансовой отчётности должным образом.

Обеспечение своевременности подготовки финансовой отчётности:
Своевременная сдача достоверной отчётности – это одна из юридических обязанностей любой организации. Вдобавок, многие организации также должны готовить отдельную отчётность для акционеров. Внутренний контроль необходим и для процессов управленческого учёта, без которых невозможно стратегическое планирование, принятие управленческих решений и мониторинг параметров деятельности организации.

Ответственность за внутренний контроль
Во многих небольших организациях – таких как индивидуальные предприниматели или товарищества без ограничения ответственности – ответственность за внутренний контроль находится в руках самих собственников. Небольшой размер этих организаций, как правило, способствует полной вовлечённости собственников в бизнес, и, даже при наличии наёмных сотрудников собственники всё равно хорошо осведомлены о текущих бизнес-операциях и о состоянии бизнеса в целом.

Необходимость в дополнительных механизмах внутреннего контроля растёт по мере роста организации, который влечёт за собой всё более усиливающуюся специализацию. В этих условиях уследить за тем, что и где происходит в бизнесе, становится всё менее реалистичным.

В компаниях с ограниченной ответственностью за создание и функционирование адекватной системы внутреннего контроля отвечает совет директоров. Директора являются по сути агентами акционеров и, действуя в интересах акционеров, несут перед ними ответственность. Поэтому в определённых случаях директора могут посчитать необходимым создать специализированное функциональное подразделение внутри организации, отвечающее за внутренний контроль. Решение о создании такого подразделения будет зависеть от того, насколько ожидаемые в результате выгоды превысят соответствующие затраты.

Директора должны уделить должное внимание среде контроля. Для того, чтобы внутренний контроль достигал своих целей нужна соответствующая культура, которая позволит механизмам контроля надёжно укорениться по всей организации.

Классификация механизмов внутреннего контроля

Механизмы контроля можно классифицировать по множеству оснований. На схеме ниже приведены пять наиболее часто используемых категорий.

Механизмы внутреннего контроля могут быть:

Обязательными или добровольными:
Обязательные механизмы контроля – это те, которым необходимо следовать вне зависимости от обстоятельств. Как правило, они касаются предотвращения случаев нарушения закона или политик организации, а также минимизации угроз жизни и здоровью. Добровольные же механизмы контроля применяются в зависимости от суждения организации или её менеджеров.

Применяемыми по усмотрению или применяемыми всегда:
В некоторых случаях менеджерам может быть предоставлена возможность выбора – применять ли конкретный механизм контроля – в зависимости от субъективной оценки риска. Если такого права у менеджера нет, то контрольный механизм должен применяться всегда.

Ручными или автоматизированными:
Ручные механизмы контроля применяются конкретными сотрудниками, а автоматизированные заранее запрограммированы в системах организации. Некоторые системы сочетают оба вида. Например, при вынесении решения о возможности отсрочки платежа система может предлагать менеджеру по продажам такие варианты: автоматическое «отклонить» для покупателей с низким кредитным рейтингом, автоматическое «предоставить» для покупателей с высоким кредитным рейтингом, и дать менеджеру сделать выбор самостоятельно, если кредитный рейтинг покупателя средний.

Общими или прикладными:
Эта классификация механизмов контроля относится только к информационным системам. Общие механизмы контроля обеспечивают надёжность данных, которые генерируют системы, и помогают добиться того, чтобы они в целом работали в соответствии с их предназначением. Прикладные – это автоматические механизмы контроля, встроенные в информационные системы и предназначенные обеспечить полную и правильную фиксацию данных от момента ввода до вывода.

Распространённые контрольные процедуры

Физические инструменты контроля:
К таким контрольным инструментам относятся способы ограничения доступа в здания, конкретные офисы или к фабричному оборудованию: турникеты на входе, карты доступа или пароли. Прикрутить оборудование к полу чтобы сделать невозможным его вынос – это тоже из разряда физических инструментов контроля.

Доверенности и лимиты на авторизацию:
Большинство сотрудников имеют суммовые ограничения при принятии решений. Например, младший менеджер при организации собственной командировки не может самостоятельно приобретать авиабилеты стоимостью свыше $500, и при необходимости превысить этот порог должен получить одобрение более старшего менеджера.

Разделение полномочий:
Чтобы снизить риск ошибок и мошенничества, обязанности, связанные с денежной наличностью, часто разделены. Например, если бизнес-процесс компании предусматривает получение наличных денег по почте, то вскрытие конвертов в почтовой комнате и запись прихода будут осуществляться разными сотрудниками.

Разделение полномочий уместно и в других областях бизнеса. Например, должности председателя совета директоров и главного исполнительного директора занимают разные люди. Подразделение внутреннего аудита должно быть полностью отделено от финансового департамента с прямым подчинением либо совету директоров, либо комитету по аудиту.

Управленческие инструменты контроля:
Это инструменты, которые находятся в руках менеджеров. Например – анализ отклонений, с помощью которого менеджер, исполняя свои непосредственные должностные обязанности, определяет причины различий между планом и фактом. Управление результатами деятельности подчинённых – это тоже неотъемлемая часть многих управленческих должностей.

Если двигаться ниже по вертикали управления, то на уровне ежедневных операций регулярно выполняются управленческие процедуры надзора. Механизмы контроля, в целом заложенные в организационную структуру компании и её линии соподчинения, называют организационными процедурами контроля.

Арифметические и учётные инструменты контроля:
Сюда относятся такие контрольные процедуры, как различного рода сверки и оборотно-сальдовые ведомости. Их задача – удостовериться в том, что транзакции записаны и учтены с должной достоверностью.

Процедуры контроля, связанные с управлением персоналом:
Все аспекты управления персоналом пронизаны процедурами контроля. Это и проверка квалификации претендентов, и верификация рекомендаций, и проверка потенциальных сотрудников на предмет криминального прошлого или профессиональная переаттестация уже работающих сотрудников.

Внутренняя проверка

Внутренняя проверка – это такая система организации бухгалтерских процедур в организации, в результате которой ни одна бухгалтерская операция не находится под полным и независимым контролем какого-либо одного лица. Обязанности одного сотрудника должны таким образом дополнять обязанности другого, чтобы, по сути, осуществлять непрерывный аудит бизнес-операций.

Необходимые элементы внутренней проверки такие:

• проверке подвергаются ежедневные операции,
• проверки осуществляются постоянно как часть системы,
• работа одного сотрудника является смежной для работы другого.

Если распределить обязанности между сотрудниками таким образом, то никто по отдельности не получает полного контроля над какой-либо операцией.

Внутренний аудит

Определение и цель внутреннего аудита
Внутренний аудит можно определить как независимое структурное подразделение, созданное внутри организации с целью проверки и оценки её деятельности. Внутренний аудит позволяет руководству компании более эффективно исполнять свои функции. То есть внутренний аудит снабжает руководство анализом, оценками, рекомендациями, советами и в целом информацией об изученных им областях и процессах организации.

Задачи внутреннего аудита

Формальный список задач внутреннего аудита может включать все или несколько пунктов из следующего списка:

• обзор учётных систем и систем внутреннего контроля,
• проверка финансовой и операционной информации,
• оценка «трёх E»: эффективности, экономичности и результативности,
• оценка соответствия законодательству и нормам регулирования,
• обзор мер по обеспечению сохранности активов,
• проверка показателей, измеряющих достижение корпоративных целей,
• определение значительных рисков, угрожающих организации, и мониторинг политики по управлению рисками,
• проведение специальных расследований по мере необходимости.

Зачем нужен внутренний аудит?

Важность внутреннего аудита была отмечена ещё в докладе Тернбулла. В нём указано, что те публичные компании, в которых по каким-либо причинам нет специального подразделения внутреннего аудита, должны как минимум раз в год рассматривать вопрос о необходимости его создания. Одновременно с этим те публичные компании, в которых подразделения внутреннего аудита уже есть, должны не реже раза в год обращаться к вопросу о его полномочиях, сфере применения и обеспеченности ресурсами.

Согласно докладу Тенрбулла потребность в отдельном подразделении внутреннего аудита зависит от ряда факторов:

• масштаб, разнообразие и сложность процессов организации,
• количество сотрудников – потребность в специальном внутреннем аудите возрастает по мере роста числа сотрудников и/или по мере того, как взаимодействие между сотрудниками становится более сложным,
• баланс между выгодами от отдельного подразделения внутреннего аудита и издержками на его создание и функционирование,
• изменений организационных структур, процессов и основных информационных систем,
• природы рисков организации и их изменения, а также возникновения новых рисков,
• проблем с функционированием систем внутреннего контроля, как реальных, так и предполагаемых,
• появления или увеличения частоты необъяснимых или неприемлемых событий.

Внутренний аудит и внутренний контроль

Внутренний аудит – это внутренняя, но независимая оценочная функция. Хотя сотрудники службы внутреннего аудита и являются, как правило, сотрудниками компании, они должны работать независимо от руководства, чтобы их анализ, суждения и рекомендации оставались как можно более беспристрастными. Глава подразделения внутреннего аудита должен подчиняться напрямую либо совету директоров, либо комитету по аудиту. Некоторые организации заходят настолько далеко, что передают функционал внутреннего аудита внешним профессиональным фирмам.

Внутренняя аудиторская проверка – это оценка системы внутреннего контроля, и, по сути, сама по себе является инструментом управленческого контроля, позволяющая оценить соответствие внутреннего контроля заданным стандартам.

Ключевые риски:
Внутренний аудит проверяет и оценивает состояние системы внутреннего контроля в зависимости от ключевых рисков, затрагивающих организацию. Цель заключается в том, чтобы проверить, насколько имеющиеся инструменты контроля позволят нивелировать риск, если он материализуется. Заключения и рекомендации соответствующих отчётов внутреннего аудита должны помочь руководству критически оценить имеющиеся инструменты контроля и, если нужно, пересмотреть их дизайн.

Финансовая и операционная информация:
Внутренний аудит может проверить эту информацию на предмет её правильности, своевременности и применимости. Специальное тестирование позволяет оценить, насколько информация правильно отражает то, что она должна отражать, и насколько она подходит в качестве основы для принятия решений руководством и прочими заинтересованными сторонами.

Соответствие законодательству и прочим нормам:
В настоящее время всё больше организаций сталкиваются с необходимостью внедрения стандартов соответствия законодательству и иным нормам. Это может быть продиктовано необходимостью соответствовать как требованию закона, так и другим, зачастую внутренним, стандартам. Внутренний аудит помогает оценить, насколько такое соответствие действительно имеет место. В этом отношении фронт работ внутреннего аудита только расширяется по мере того, как организациям приходится соответствовать не только профессиональным или отраслевым стандартам, но и стандартам в области охраны окружающей среды.

Виды внутреннего аудита

В ходе исполнения своих обязанностей внутренние аудиторы могут столкнуться с необходимостью проводить разные виды аудита.

Операционный аудит – это проверка эффективности организационных процессов. Это оценка реальной деятельности компании по сравнению с заранее заданными параметрами.

Системный аудит проверяет, насколько правильной является информация, получаемая из информационных систем организации. Тесты на соответствие проверяют, насколько правильно применяются механизмы контроля. Тесты по существу призваны убедиться в правильности сумм, и их можно использовать для того, чтобы найти в системах ошибки и упущения.

Аудит транзакций или антикоррупционный аудит призван выявить мошенничество или другие незаконные или преступные действия. Однако его сферу можно расширить, включив проверку на непредвзятость, прозрачность и справедливость принимаемых организацией решений – тех областей, которые часто относят к социальному аудиту, который в целом может включать в себя любые аспекты корпоративного управления.

Источник: www.accaglobal.com