Что такое риск-ориентированная система внутреннего контроля?

Что такое система внутреннего контроля

Система внутреннего контроля (СВК) — это совокупность политик, процедур и процессов, внедрённых в компании для обеспечения разумной уверенности в достижении поставленных целей.

Структура и содержание СВК различаются от компании к компании и зависят от масштаба бизнеса, его специфики и организационной структуры.

Компоненты системы внутреннего контроля (COSO 2013)

Согласно модели COSO, система внутреннего контроля включает пять взаимосвязанных компонентов.

Контрольная среда

• соблюдение принципов честности и этики;
• надзор за системой внутреннего контроля;
• организационная структура, распределение полномочий и ответственности;
• компетентность персонала;
• установление подотчётности.

Оценка рисков

• формулирование и уточнение целей;
• выявление и анализ рисков;
• оценка рисков мошенничества;
• выявление и анализ существенных изменений.

Контрольные процедуры

• выбор и внедрение контрольных мероприятий;
• внедрение общих ИТ-контролей;
• применение политик и регламентов.

Информация и коммуникации

• использование релевантной и своевременной информации;
• внутренняя коммуникация;
• внешняя коммуникация.

Мониторинг

• проведение постоянной и/или периодической оценки СВК;
• анализ результатов и информирование о выявленных недостатках.

Формирование эффективной, риск-ориентированной системы внутреннего контроля является зоной ответственности высшего руководства компании.

Цели системы внутреннего контроля

СВК представляет собой набор процессов, реализуемых Советом директоров, менеджментом и сотрудниками компании, и направленных на обеспечение разумной уверенности в достижении следующих целей:

• достоверность финансовой и управленческой отчётности;
• эффективность деятельности и оптимальное использование ресурсов;
• реализация стратегии компании;
• соблюдение требований законодательства;
• предотвращение мошенничества и обеспечение сохранности активов.

Для каждой из указанных целей существуют соответствующие риски, управление которыми требует внедрения контрольных процедур.

Подход PRAED Technologies к построению СВК

PRAED Technologies выстраивает систему внутреннего контроля по трём ключевым направлениям:

• контроли корпоративного уровня;
• общие компьютерные контроли;
• контрольные процедуры в бизнес-процессах.

Контроли корпоративного уровня

Контроли корпоративного уровня (Company Level Controls) — это управленческие механизмы, внедряемые руководством для обеспечения применения контрольных процедур по всей компании, включая отдельные бизнес-единицы. Данные контроли внедряются в первую очередь и могут быть признаны эффективными после как минимум одного года функционирования.

К основным корпоративным контролям относятся:

• Кодекс этики (при необходимости — отдельный кодекс для финансовых экспертов);
• комитет по аудиту;
• комитет по раскрытию информации;
• комитет по вознаграждению высшего руководства;
• ИТ-комитет;
• служба внутреннего аудита;
• горячая линия для сообщений о нарушениях;
• политика управления персоналом;
• процедура закрытия финансовых периодов;
• регламент закупочной деятельности;
• функция управления рисками;
• функция комплаенс;
• план обеспечения непрерывности деятельности (при необходимости);
• система разграничения критических полномочий.

Общие компьютерные контроли

Общие компьютерные контроли (IT General Controls) — это совокупность ИТ-контролей, политик, стандартов и процедур, обеспечивающих надёжность и целостность информационной среды компании.

Ключевые области ИТ-контролей:

• ИТ-контрольная среда;
• разработка и внедрение программного обеспечения;
• управление изменениями в ПО;
• компьютерные операции;
• управление доступом к системам и данным.

Контрольные процедуры в процессах

Внедрение процессных контролей осуществляется по следующему алгоритму:

1. определение уровня существенности и идентификация значимых показателей отчётности;
2. выявление бизнес-процессов, формирующих существенные данные;
3. определение процессов с повышенными или специфическими рисками;
4. идентификация рисков и внедрение ключевых контрольных процедур (дизайн, операционная эффективность, регламенты, инструкции, планы тестирования);
5. разработка сценариев мошенничества и соответствующих контролей;
6. формирование матриц разграничения критических полномочий.

Участники системы внутреннего контроля

В оценке и формировании СВК принимают участие:

• Комитет по аудиту, который может поручать внутреннему аудиту проведение оценок в отдельных подразделениях и процессах;
• Внутренний аудит — независимая функция, предоставляющая оценки и консультации по вопросам СВК, управления рисками и корпоративного управления;
• Внешний аудит, который формирует рекомендации по отдельным элементам СВК;
• Служба управления рисками, обеспечивающая интеграцию управления рисками в деятельность компании;
• Отдел внутреннего контроля, осуществляющий методологическое руководство и координацию;
• Владельцы бизнес-процессов, отвечающие за разработку и эффективное функционирование контрольных процедур.

Комплаенс

Комплаенс — это функция, направленная на управление комплаенс-рисками и формирование устойчивой комплаенс-культуры в компании.

Согласно рекомендациям Базельского комитета, комплаенс-риск — это риск применения санкций со стороны регуляторов, возникновения финансовых потерь или ущерба репутации вследствие несоблюдения законов, нормативных требований, стандартов и кодексов поведения.

Комплаенс-процесс включает постоянный мониторинг деятельности компании и оценку её соответствия законодательству, отраслевым стандартам, внутренним политикам и договорным обязательствам. Каждый сотрудник компании является участником комплаенс-процесса и несёт ответственность за соблюдение установленных требований.

Виды комплаенс-контроля

Комплаенс охватывает широкий круг направлений, включая:

• корпоративное право;
• рынок ценных бумаг и деривативов;
• требования бирж и листинга (включая SOX);
• раскрытие информации;
• ПОД/ФТ;
• валютный и санкционный контроль;
• бухгалтерский и налоговый учёт;
• антикоррупционные требования;
• противодействие мошенничеству;
• защиту персональных данных;
• трудовое, миграционное и таможенное законодательство;
• антимонопольное регулирование;
• защиту прав потребителей и рекламу;
• экологические и отраслевые требования;
• специализированные комплаенс-направления (банковский, страховой, фармацевтический, телекоммуникационный, энергетический и др.).