Как провести оценку системы внутреннего контроля компании: опыт практика

827
Сахарова Юлия
заместитель директора департамента финансового консультирования, аудита и МСФО КСК групп
Как провести оценку системы внутреннего контроля компании: основные этапы диагностики, как проанализировать результаты и понять, что исправить.

Систему внутреннего контроля можно назвать «подушкой безопасности» для бизнеса и его финансового учета, так как ее задачи это:

  • исключить искажение хозяйственных операций еще до того, как они попали в оперативный, бухгалтерский учет,
  • обеспечить руководство и акционеров достоверной учетной информацией,
  • не допустить снижение прибылей бизнеса от таких негативных явлений как злоупотребления сотрудников с активами, мошенничество, зависимости бизнеса от менеджмента, а также от внешних рисков.

Зачем проводить оценку системы внутреннего контроля

Перед тем как говорить об оценке системы внутреннего контроля, я хочу привести примеры из моей практики по диагностике контрольной среды организаций.

Пример первый. В одной торговой компании существует постоянный спор: кто собирает акты сверки с покупателями, кто ответственен за состояние дебиторской задолженности – менеджеры или бухгалтерия? Известная для многих ситуация, не правда ли? В компании эта проблема не находит решения который год. Но наступает и в этом году момент сдачи годовой бухгалтерской отчетности. И бухгалтеру приходится собирать дебиторскую задолженность как есть, проверяя наспех имеющиеся акты сверки и отмечая, что многие из задолженностей год и более остаются «без движения». Бухгалтер подписывает ведомость инвентаризации дебиторской задолженности, ставя в ней отметку, что вся задолженность «текущая», вносит в бухгалтерский баланс общую сумму о дебиторской задолженности. Отчетность сделана и сдана в налоговую инспекцию в срок. После приходят на проверку аудиторы (компания впервые проводит обязательный аудит) и выявляют существенно недостоверную строки бухгалтерского баланса - дебиторскую задолженность. Почему? Часть ее является безнадежной и подлежала списанию еще в прошлом году, часть – сомнительной, под которую не создан резерв, а по некоторым долгам акты сверок не совпадают с цифрами бухгалтерского учета.

 А вот еще пример. Молодая производственная компания, делает медицинские приборы и комплектует их индивидуально под каждого заказчика. В ней быстрый темп работы, чувствуется драйв, азарт работы инженеров, производителей, коммерсантов. Главный бухгалтер уже три года буквально упрашивает делать  производственников производственные отчеты, но всем некогда. Ему говорят, что это «не первоочередная задача», и что «бухгалтер сам должен что-то придумать». А в бухгалтерию приносят только следующие документы из производства: накладные от поставщиков на материалы и накладные на отгрузку уже готовых изделий. А отчитываться по налогам надо и аудит проходить обязало руководство. И главный бухгалтер делает следующее: распечатывает ведомость по материалам из бухгалтерского учета и просит отметить в ней начальника производства что было списано в текущем квартале. Согласно этих отметок бухгалтер и списывает материалы на себестоимость в бухгалтерском и налоговом учете. Так же он подписывает ведомости на списание материалов. Сам составляет ведомость о выпуске из производства уже проданных изделий, тоже подписывает ее и подписывает у генерального директора.  Что в итоге: получено аудиторское заключение с оговоркой о недостоверности себестоимости и финансовых результатов и доначислен налог на прибыль  при выездной налоговой проверке по лишнему списанию материалов в производство, по выявлению незавершенного производства и фальсификации производственных документов.

И еще отмечу, что ни одна из приведенных компаний не имела целью сокрытия хозяйственных операций от бухгалтерского учета, обе организации исправно платили налоги в достаточно больших для этих организаций размерах.  

Что в  этих примерах общего?  А общее вот что:

  • не определены ответственные должностные лица за эти бизнес-процессы,
  • бухгалтер вынужден замкнуть проблемы контроля в бизнес-процессах на себя,
  • подобные ситуации – это благодатная почва для мошенничества сотрудников, когда нет контроля и отчеты формальны,
  • внутренние противоречия повлекли внешние риски: налоговые доначисления по документальной необоснованности расходов и недостоверность бухгалтерской отчетности.

Но самое главное, что в обеих организациях пассивно руководство и владельцы к источникам внутренних проблем. Вот так «повторяющийся хаос становится порядком», как сказал немецкий ученый Вильгельм Швёбель. А причина этих бед в обеих компаниях – одна: отсутствует системный внутренний контроль.

И, увы, подобные примеры встречаются достаточно часто, особенно в малом и среднем бизнесе.

Полезные документы

Как провести оценку системы внутреннего контроля компании: опыт практикаПоложение о системе внутреннего контроля компании

Как провести оценку системы внутреннего контроля компании: опыт практикаПоложение о процедурах внутреннего контроля над финансово хозяйственной деятельностью

Как провести оценку системы внутреннего контроля компании: опыт практикаПолитика внутреннего контроля и управления рисками компании

Принципы эффективной системы внутреннего контроля

Эффективность системы внутреннего контроля базируется на пяти принципах:

  1. Рациональность – система внутреннего контроля должна быть соразмерна бизнесу, но расходы на ее создание не должны превышать стоимость от ее выгоды, тормозить процессы развития.
  2. Независимость – ключевой принцип, без соблюдения которого трудно представить эффективную систему внутреннего контроля.
  3. Регулярность – контроль от случая к случаю сведет на нет любые хорошо прописанные регламенты.
  4. Гибкость – система внутреннего контроля должна быстро подстраиваться к переменам в компании.
  5.  Заинтересованность собственника – только при личной заинтересованности собственника система внутреннего контроля даст свои плоды.

Система внутреннего контроля охватывает два аспекта деятельности организации – это повышение эффективности бизнес-процессов (в том числе снижение затрат) и управление рисками. Для этого в первую очередь необходимо диагностировать текущие бизнес-процессы с целью оценки их эффективности и определения всех потенциально возможных рисков. Результаты такой диагностики должны стать основой для разработки плана мероприятий по созданию системы внутреннего контроля и снижению выявленных рисков.

Этапы диагностики системы внутреннего контроля

Что включает в себя сама процедура диагностики системы внутреннего контроля?

  1. Анализ основных бизнес-процессов компании.
  2. Анализ документооборота и его организации в бизнес-процессах.
  3. Анализ распределения функциональных обязанностей сотрудников в бизнес-процессах.
  4. Экспресс-анализ бухгалтерского, налогового, кадрового, оперативного и управленческого, учетов.
  5. Экспресс-анализ используемых программных продуктов.
  6. Интервьюирование сотрудников и руководства.
  7. Проведение выборочных контрольных процедур, а также сопоставление и анализ данных, полученных из разных источников.

Из моего практического опыта систему внутреннего контроля разных компаний независимо от масштаба и экономического вида деятельности можно оценить по 5-ти бальной системе (см. таблицу).

Таблица. Оценка системы внутреннего контроля

Оценка в баллах

Уровень СВК

Характеристика уровня

1

Начальный

Система контролей отсутствует полностью или применяется бессистемно, в небольшой части бизнес-процессов, на уровне отдельных сотрудников, имеет серьезные ошибки. Нет формализованных стандартов и принципов контрольной среды.

2

Определяющий

Существуют практические элементы системы контроля в основных бизнес-процессах, но не формализованы в систему, применяются элементы контроля эпизодически.

3

Стандартизированный

Определены стандарты, процессы и структуры системы контроля, но только «на бумаге». В реальности часть их не работает. Фактические процессы контроля не соответствуют формализованным стандартам, охватывают не все бизнес-процессы.

4

Управляемый

Существуют регламенты и стандарты системы контроля. Определены структура, функции и процессы системы контроля. Внутренний контроль – на уровне системы, которая реально работает во всей компании и дает результаты – снижает риски. Но существуют не решенные проблемы в области взаимодействия и внутреннего контроля в основных и вспомогательных процессах.

5

Оптимальный

Система контролей не просто снижает риски, а является инструментом, который позитивно влияет на эффективность деятельности.

Каждому уровню системы контроля присущи свои элементы, свои «болезни» и свои особенности. Рассмотрим их подробнее.

Оценка 1 – начальный уровень системы внутреннего контроля

Эта оценка может быть присвоена тем компаниям, в которых нарушены основные принципы системы внутреннего контроля. В таких компаниях обычно финансовый учет не отражает реальных бизнес-процессов и находится в крайне неудовлетворительном состоянии. Отсутствует реальная оценка зарабатываемой бизнесом прибыли. В безналичных и наличных денежных расчетах смешиваются выплаты по бизнесу и личные расходы, денежные расходы не планируются, кассовые разрывы имеют системный характер. Документооборот не полный, качество документов низкое (отсутствуют подписи, даты и т.п.), это влечет  потенциальные налоговые риски и проигрыши в судебных спорах с контрагентами. Складской учет отсутствует в принципе. Отсутствует юридическая материальная ответственность фактических материально-ответственных лиц. Инвентаризации товаров, дебиторской задолженности (периодические, выборочные, внезапные) не проводятся. Совмещаются несовместимые функциональные обязанности на одних и тех же сотрудниках по учету, распоряжению, доступу к активам (основные средства, деньги, товары, материалы, предоставление скидок покупателям). Неэффективное использование трудовых ресурсов, система КPI не мотивирует сотрудников, затраты на премии не создают благ для компании. Крайне низкая IT-безопасность. Результаты бизнеса слабо контролируется на уровне топ-менеджеров и на уровне акционеров (владельцев).

Риски

Таким образом, в компаниях с оценкой системы контроля «1» созданы все условия для мошенничества, хищений и злоупотреблений сотрудников, а также высокие внешние риски значительных налоговых доначислений при проверках, угрозы прерывания деятельности и угрозы банкротства. Все бизнес-процессы и контроль в них требуют кардинальной перестройки.

Оценка 2 – определяющий уровень СВК

Дается в основном тем компаниям, в которых внутреннего контроля на уровне системы не создано. Организационная структура таких компаний не формализована или имеет неверную структуру подчиненности, что уже закладывает почву для внутренних рисков злоупотреблений должностными полномочиями и мошенничества. Именно поэтому, очень часто оперативное управление бизнесом попадает под значительное влияние отдельных топ-менеджеров, это делает бизнес зависимых от них.

Отсутствуют утвержденные регламенты работы сотрудников с их четким функционалом, а также по  взаимодействию между подразделениями.

Результаты оперативного складского, производственного учета, учета продаж представляются топ-менеджерам не в режиме реального времени и не дают возможность быстро реагировать на изменения внутренних и внешних условий деятельности. Акционеры и топ-менеджеры получают не полноценные результаты о деятельности бизнеса из системы управленческого учета.

Очень часто руководство компаний с оценкой «2» системы внутреннего контроля имеют дифференцированные результаты по зарабатываемой бизнесом прибыли и активно анализируют их, но не контролируют состояние активов и обязательств (дебиторской и кредиторской задолженностей, запасов, основных средств), не требуют этого от соответствующих топ-менеджеров.

В ряде компаний с данной оценкой системы внутреннего контроля имеют существенные недостатки IT-безопасности, которые приводят к высоким рискам утечки информации (баз данных, технологий) и делают бизнес не защищенным от внешних конкурентов.

Риски

Несмотря на то, что бизнес компаний с оценкой «2» системы внутреннего контроля может быть прибыльным, но ему присущи все следующие виды рисков с высокой вероятностью их наступления:

  • риск потерь основного актива (в зависимости от характера деятельности компании – это может быть недвижимость, оборудование, товары);
  • риски налоговых доначислений при проверках;
  • риск недостоверной информации по данным оперативного, бухгалтерского и управленческого учета;
  • риск зависимости от человеческого фактора: бизнес-процессы недостаточно формализованы и сильно сконцентрированы на отдельном топ-менеджере.

В ряде ключевых бизнес-процессов контрольные функции недостаточны и не соразмерны масштабам деятельности. Нередко компаниям с оценкой системой контроля «2» характерно сосредоточение максимальных контрольных функций на одном-двух бизнес-процессах в ущерб всем другим процессам.  Некоторые бизнес-процессы требуют перестройки (реинжиниринга). Процессы планирования недостаточны для текущих потребностей бизнеса. Контрольные функции по всем бизнес-процессам в настоящее время замыкаются на акционерах (владельцах) бизнеса.

Оценка 3  – стандартизированный уровень системы внутреннего контроля

На сегодняшний день самая распространенная среди компаний среднего бизнеса (этот вывод я сделала из своей практической работы за пять последних лет). Ей характерно формальное существование стандартов внутреннего контроля и других процессов. А также не редко встречается вместе с этим формальное проведение контролей.

У топ-менеджеров компаний с оценкой «3» есть понимание бизнеса. Задачи собственников каскадируются в менеджмент (хотя и не формализованы часто в качестве стратегии), задачи исполняются, анализируются, по ним принимаются управленческие решения.

Все бизнес-процессы работают сбалансировано. Контрольные функции присутствуют в каждом бизнес-процессе. Среда внутреннего контроля в таких компаниях создана, но система внутреннего контроля  недостаточна для масштабов бизнеса: имеет рисковые зоны, не защищает в полной мере активы от их утраты (хищения, злоупотребления),  а прибыль от снижения.

Созданы формализованные, утвержденные регламенты работы и методики:

Полезные документы

Как провести оценку системы внутреннего контроля компании: опыт практикаПолитика управления дебиторской задолженностью

Как провести оценку системы внутреннего контроля компании: опыт практикаПоложение по оплате труда и премиальным выплатам

Как провести оценку системы внутреннего контроля компании: опыт практикаГрафик документооборота управления финансового планирования и анализа

В утвержденных регламентах распределение функциональных обязанностей, организационная структура, кадровая политика, и функционал работников также сбалансированы. Но фактически бизнес-процессы могут отличаться от утвержденных на бумаге, или не применяться вовсе. Частой причиной этого является недостаточное выражение воли акционеров (владельцев) в сочетании с отсутствием системы планирования внедрения изменений и системы мотивации. Как следствие этих недостатков системы контролей, фактическое оперативное управление бизнесом иногда в компаниях с оценкой системы внутреннего контроля «3» находится под значительным влиянием отдельных топ-менеджеров.

Система управленческих отчетов, планирования и анализа не позволяют в полной мере осуществлять мониторинг результатов деятельности. Отсутствуют единые требования и стратегии в части ведения управленческого учета. Процессами планирования охвачены не все центры финансовой ответственности, бизнес-процессы. Принимаемые управленческие решения могут быть не верными. Вместе с тем акционеры и топ-менеджеры таких компаний в основном получают реальные результаты о деятельности бизнеса из системы управленческого учета.

Риски

Акционеры значительно погружены в ее операционную деятельность компании, что не позволяет им уделять должного внимания процессам развития и контролировать бизнес удаленно без потерь прибылей.

Оценка 4 – управляемый уровень СВК

Эту оценку ставят тем компаниям, в которых внутренний контроль действует на уровне системы (системного подхода), то есть связывает перекрестными контрольными функциями все бизнес-процессы организации без исключения. Обычно такие компании (исключая небольшой частный бизнес со штатом до 20 человек) имеют в штате внутреннего контролера (аудитора) или службу внутреннего контроля, независимых от активов, процессов и учета. В таких компаниях цели акционеров каскадируются в менеджмент, а топ-менеджеры понимают поставленные перед бизнесом задачи.

Система внутреннего контроля создана, соответствует масштабам бизнеса, защищает в активы от их утраты,  а прибыль от снижения, но имеет рисковые зоны. Можно говорить о высокой оценке существующих внутренних контролей только тогда, когда «три кита» такой системы действуют эффективно, то есть:

  • рационально распределение функциональных обязанностей сотрудников,
  • хозяйственные операции обеспечены качественным документооборотом и регламентами,
  • учетная система обеспечена программным обеспечением и методиками, регулярно представляет достоверные результаты акционерам и топ-менеджерам о прибылях, активах и денежных средствах, имеет стратегическое планирование и анализ.

В компаниях с уровнем контроля «Управляемый» сочетаются регулярные (запланированные) и внезапные контрольно-ревизионные процедуры с оформлением документов. Проведение контрольных мероприятий не формальное. Их результаты не замалчиваются, а анализируется топ-менеджментом, отражаются в финансовом учете, принимаются решения и действия, направленные на исключение негативных явлений в будущем.

Для топ-менеджемента и основных акционеров построены логичные и прозрачные регламенты управления по направлениям:

  • продажи;
  • сервис;
  • закупки;
  • производство и обеспечение качества;
  • финансы и экономика;
  • инвестиции.

Выделены центры финансовой ответственности согласно стратегическим задачам бизнеса. Процессы планирования (производства, продаж, закупок, финансов) удовлетворяют потребностям бизнеса.

Риски

Риски внутренних злоупотреблений с активами и мошенничества сведены к минимуму, но система внутреннего контроля все же не исключает зависимость компании от топ-менеджмента.

IТ-безопасность не соответствует уровню лидеров отрасли.

Служба внутреннего контроля (внутреннего аудита) и служба экономической безопасности созданы. Но взаимодействие между ними и с другими службами организовано не достаточно оптимально и нередко рождает конфликты между руководителями подразделений не принося эффективности компании в целом. Отчеты служб внутреннего контроля (внутреннего аудита) и экономической безопасности нельзя назвать регулярными (1-2 раза в год). Данные службы оперативно представляют руководству только докладные записки по фактам выявленных экстремальных ситуаций. Только генеральный директор и собственник вправе решать, как распорядиться этой информацией: какие действия предпринять, какие санкции применять или не применять.

Акционеры (владельцы) имеют возможность контролировать бизнес удаленно по контрольным точкам без ущерба для операционной деятельности компании.

Оценка 5 – оптимальный уровень системы внутреннего контроля

Отличной оценки удостаиваются в основном компании с иностранным управлением, участием или в крупных компаниях-холдингах. Из моей практической работы за последние 5 лет по диагностикам контрольных систем это единичные случаи. Однако на данном этапе развития системы контролей существует опасность увлечься контрольными процедурами в ущерб процессов развития компаний.

Все бизнес-процессы и контроль в них соответствует стратегии компании.

Для компаний с оценкой «5» системы внутреннего контроля характерно, прежде всего, создание рациональной организационной структуры компании и формализованных основных процедур управленческого взаимодействия. В среднем и крупном бизнесе эти задачи решает служба корпоративного управления. Также спланированная работа независимых служб внутреннего контроля и экономической безопасности при правильной подчиненности в организационной структуре (согласно профилю деятельности, масштабу компании, структуры владения акционерами) - осуществляют контроль над бизнесом. Правильная организация финансово-экономической службы позволяет добиться существенного роста прибыли без серьезных дополнительных вложений и технологических инноваций. Более того, часть данных финансово-экономическая служба получает от службы внутреннего контроля и службы экономической безопасности. Регулярные процессы создания полноценной управленческой отчетности, планирования и бюджетирования позволяют принимать правильные управленческие и стратегические решения. Сочетание регулярных текущих и внезапных контрольно-ревизионных процедур дают разумную уверенность в достоверности активов компании. Юридическая служба и служба по экономической безопасности «держат руку на пульсе» по предотвращению сделок недружественного поглощения. Информационная IT-безопасность на высоком уровне и также защищает компанию от внутренних и внешних рисков.

Генеральный директор компании и ее основной собственник (собственники) регулярно получают от службы внутреннего контроля и экономической безопасности  аналитическую информацию (в виде отчетов и докладных записок по экстремальным ситуациям) о внешней и внутренней среде компании.

Служба внутреннего контроля также является обязательным участником в разработке и изменений регламентов управления для таких коммерчески важных управленческих процессов, как: «Закупки», «Продажи», «Производство и качество продукции», «Финансы», «Инновации и инвестиции» и некоторых других процессов.

Такой алгоритм совместной работы всех подразделений компании совместно со службой внутреннего контроля позволяет своевременно отсекать случайные или злонамеренные учетные ошибки, попытки совершить сделки от имени компании на невыгодных для нее условиях, более осмотрительно и тщательно подходить к выбору поставщиков и покупателей, к принятию решений о вступлении в долгосрочные и стратегические сделки. Однако, вместе с тем, в таких компаниях не создана атмосфера «тотальной слежки», а главный акционер или по его поручению топ-менеджеры при формировании служб контроля «не перегибают палку». Методы контроля сочетаются с методами мотивации менеджеров всех уровней, что обеспечивает работу только на благо компании.

Акционеры (владельцы) контролируют бизнес удаленно по контрольным точкам и концентрируются на процессах развития бизнеса и инвестиционных процессах.

В заключении я приведу неоспоримый факт: бизнес не может существовать абсолютно бесконтрольно. Намного выгоднее предотвращать возможные риски, чем устранять возникшие негативные последствия в виде финансовых и репутационных потерь. Хорошо отлаженная система внутреннего контроля реально позволяет повысить эффективность бизнеса, за счет минимизации рисков финансовых потерь, злоупотреблений и мошенничества, недобросовестного отношения сотрудников, нерационального использования внутренних и внешних ресурсов. Не выгодна система контролей только тому, кто заинтересован в хаосе. По понятным причинам в хаосе проще утаить то, что не должно быть найдено. Как показывает практический опыт многих успешных компаний, при правильном подходе эффект от функционирования системы внутреннего контроля намного превышает сумму затрат на ее внедрение.

Контроль необходим всегда, пока есть деньги, бизнес и конкурентная борьба!

Методические рекомендации по управлению финансами компании



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Школа

Школа

Проверь свои знания и приобрети новые

Записаться

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...


Рассылка



© 2007–2016 ООО «Актион управление и финансы»

«Финансовый директор» — практический журнал по управлению финансами компании

Зарегистрировано Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзор)
Свидетельство о регистрации Эл №ФС77-43625 от 18.01.2011
Все права защищены. email: fd@fd.ru


  • Мы в соцсетях
×
Чтобы скачать документ, зарегистрируйтесь на сайте!

Это бесплатно и займет всего 1 минуту.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль

Внимание!
Вы читаете профессиональную статью для финансиста.
Зарегистрируйтесь на сайте и продолжите чтение!

Это бесплатно и займет всего 1 минут.

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль