5.2.Описание бизнес-процессов Для того чтобы выстроить эффективную СВК, нет необходимости описывать все бизнес-процессы подразделений, которые были отобраны для внедрения процедур внутреннего контроля. В такой ситуации СВК будет неоправданно громоздкой и неуправляемой. Для ограничения состава бизнес-процессов следует определить существенные счета. Таковыми являются счета бухгалтерского или управленческого учета, искажение информации по которым может ввести в заблуждение менеджмент компании или потенциальных инвесторов. Кроме того, это могут быть счета бухгалтерского учета, оборот за период по которым составляет более 10% по отношению к выручке компании. Для определения существенности счетов также могут использоваться экспертные оценки. К примеру, деятельность компании зависит от используемых ею патентов и лицензий, стоимость которых не превышает 5% валюты баланса. Тем не менее счета учета патентов и лицензий будут классифицированы как существенные, так как от эффективности контроля за этими активами будут зависеть результаты работы предприятия. Следующим шагом в процессе построения системы внутреннего контроля должно стать описание бизнес-процессов, связанных с отражением информации на существенных счетах. Следует отметить, что описание бизнес-процессов должно быть максимально детальным и учитывать движение отдельных документов внутри компании. Основной проблемой, с которой сталкиваются при организации СВК в компании, является отсутствие или не очень внятное содержание внутренних стандартов и регламентов.
Первой задачей работников службы внутреннего контроля должна стать разработка системы внутрифирменных стандартов.
После утверждения таких стандартов, как положение о документообороте, положение о системе бюджетирования, учетная политика (отдельно для бухгалтерского и управленческого учета), регламент представления периодической финансовой отчетности директору и собственникам бизнеса, положение о внутреннем аудите компании, – «правила игры» станут всем понятны, а служба внутреннего контроля получает реальный инструмент для организации своей работы. Основная задача, которая должна быть решена в ходе описания бизнес-процессов, - наглядное представление всех работ, выполняемых сотрудниками подразделений, для того чтобы в дальнейшем на основании этих данных определить участки, связанные с риском возникновения недостоверной информации или существенных финансовых потерь.
5.3.Анализ и контроль рисков На этом этапе бизнес-процессы компании анализируются на предмет существования рисков, которые могут привести к значительным финансовым потерям для компании.
Следует отметить, что внимание нужно уделять только тем рискам, которые действительно могут привести к существенным финансовым потерям, либо исказить финансовую или управленческую отчетность.
Наиболее точно идентифицировать риски, связанные с теми или иными бизнес-процессами, можно путем анализа накопленной компанией информации о негативных событиях (ошибки в отчетности, кражи, порча товарно-материальных ценностей и т. д.), периодичности их возникновения и размере причиненного ущерба. Однако подобная ситуация может существовать лишь в компаниях, внедривших систему менеджмента качества. У предприятия, которое до момента внедрения системы внутреннего контроля не осуществляло систематизированное управление рисками, подобные статистические данные, как правило, отсутствуют. В такой ситуации идентификация рисков может быть полностью возложена на экспертов - руководителей подразделений. К примеру, главный бухгалтер, длительное время проработавший в компании, всегда может довольно точно предсказать, где могла быть допущена ошибка, если не сходятся статьи актива и пассива. От экспертов также потребуется оценить периодичность возникновения неблагоприятных событий и вероятный ущерб. На этапе внедрения СВК экспертные оценки существующих рисков могут обладать большой погрешностью. Однако в будущем, внедрив систему внутреннего контроля и накопив достаточное количество данных о возникших ошибках в работе подразделений, состав рисков и их существенность могут быть оценены с высокой точностью. Для наиболее существенных рисков, связанных с серьезными финансовыми потерями, разрабатываются контрольные процедуры.
Дело в том, что риски работы любого предприятия связаны с отраслевой спецификой. Процесс выплаты денежных средств имеет много общих этапов для компаний, работающих в разных отраслях, но этот пример скорее исключение. Для каждого риска определяется существенный счет, данные которого могут быть искажены в результате наступления рискового события. Как правило, разные компании используют различные методики определения существенности счетов финансовой отчетности. Например, существенными могут признаваться счета, обороты или сальдовые остатки по которым превышают 5% от прибыли до вычета налога на прибыль, дивидендов и процентов по кредитам. Еще один критерий существенности счета - ликвидность учтенных на счете активов и пассивов. Скажем, денежные средства обладают высокой ликвидностью, следовательно, связаны с высокими рисками их потери. Поэтому счета учета денежных средств всегда можно рассматривать как существенные. Также необходимо анализировать действующие контрольные процедуры (см. таблицу).
Таблица. Описание рисков и действующих контрольных процедур
Риск №п/п
| Оплата не заказанных товаров и услуг
| 2. Оплата не заказанных товаров и услуг (изменение требования)
| 3. Несанкционированный доступ в систему «Банк-клиент»
| 4. Бухгалтер не проводит операцию по списанию задолженности или проводит в неточной сумме
| Описание риска
| Исполнитель создаст требование на оплату товаров и услуг, не заказанных компанией, для личных целей
| Требование на оплату будет изменено после утверждения, что может привести к закупке, не заказанной компанией
| Сотрудник, имеющий право доступа в помещение казначейства, создаст платежное поручение на оплату товаров и услуг, не заказанных компанией, для личных целей
| Бухгалтер не проведет или проведет в неточной сумме операцию по списанию кредиторской задолженности
| Наименование шага бизнес-процесса
| Создание требования на оплату и передача документов в бухгалтерию
| Создание платежного поручения
| Проводка Дт XX Кт 51.XX
| Существенность риска
| Да
| Нет
| Да
| Да
| Детальное описание контрольных процедур, цели, частота проведения контроля
| Согласование требования на оплату. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано требование, оно становится доступным для просмотра. Требование проверяют: начальник отдела, начальник управления, бюджетный контролер. Требование попадает на следующий уровень согласования, только если оно согласовано на всех предыдущих уровнях. Частота контроля: для каждого требования. Входящие документы: требование на оплату
| -
| Утверждение платежного поручения. Цель контроля: не допустить потери активов. Описание контрольной процедуры: как только создано платежное поручение, оно становится доступным для утверждения в распределенной системе «Банк-клиент». Требование утверждают должностные лица, имеющие право подписи платежных поручений. При утверждении последним должностным лицом платежное поручение автоматически отправляется в банк. Частота контроля: для каждого требования. Входящие документы: шаблон платежного поручения с реквизитами платежа
| Сверка взаиморасчетов. Цель контроля: точное отражение состояния расчетов. Описание контрольной процедуры: бухгалтер производит сверку с контрагентом на ежеквартальной основе. Частота контроля: ежеквартально. Входящие документы: проводки, первичные документы
| Свидетельство реализации контроля (документ/файл)
| Подпись требования каждым сотрудником, который производит согласование
| -
| Отметка об утверждении платежного поручения в системе «Банк-клиент»
| Акт сверки взаиморасчетов, квартальный анализ сверки с дебиторами/кредиторами
| Контроль покрывает риск
| Да
| -
| Да
| Да
| Эффективность выбранной контрольной процедуры
| Да
| -
| Да
| Нет
| Существенный счет
| Денежные средства
| Кредиторская задолженность
| Рекомендации по доработке контрольных процедур
| Нет
| Нет
| Нет
| Контрольная процедура неэффективна, так как выбор контрагентов сделан только на основании крупных балансов дебиторов /кредиторов и не учитывает крупные обороты. Доработать инструкцию по процедуре сверки с контрагентами
| Как правило, внедрение контрольных процедур предполагает создание дополнительных уровней согласования. К примеру, для того чтобы бухгалтер осуществил платеж по заявке производственного подразделения, необходимо завизировать ее у финансового директора. Контрольные процедуры могут заключаться также в распределении ответственности. Для процесса закупок контроль будет сводиться к тому, что заказчиком выступает производственное подразделение компании, и оно же контролирует качество приобретенных материалов; поиск поставщика и работу по договорам поставки осуществляет отдел снабжения, а процесс оплаты контролируется финансовым директором.
В качестве примера внутреннего контроля можно привести формирование актов сверки с дебиторами. Казалось бы, простой и понятный инструмент, но далеко не у всех предприятий формируются акты сверки со всеми своими контрагентами. Отсутствие таких актов может привести к следующей ситуации. Предположим, у компании-дебитора есть встречные требования к предприятию, например, оплачен аванс в счет будущей поставки. Если в ближайшем будущем компания-дебитор обанкротится и будет образована ликвидационная комиссия, то отсудить полученный аванс без актов сверки будет крайне сложно. А доказать, что этот аванс должен быть зачтен в счет погашения ранее возникшей дебиторской задолженности, практически невозможно.
Эффективность создаваемых процедур контроля будет зависеть от выполнения следующих факторов: - четко определена и понятна ответственность должностных лиц за выполнение контрольных процедур; - разграничен доступ к информации или действию; - все транзакции авторизуются в соответствии с принятыми регламентами; - существует документально оформленное описание процедур контроля; - задачи контроля, исполнения и принятия решений распределены между сотрудниками.
Важно отметить, что для исполнения созданных процедур контроля необходимо их документальное оформление. Описание контрольной процедуры должно содержать следующие основные положения: цели контроля; последовательность действий; периодичность проведения контроля; ответственный за контроль сотрудник; документ, в котором отражен факт осуществления контроля (к примеру, лист согласований).
|