В канун нового года, 25.12.2013 Минфин России выпустил долгожданные рекомендации по организации и осуществлению экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности № ПЗ-11/2013 (Далее – Рекомендации).
Указанные рекомендации подлежат применению при организации и осуществлении экономическими субъектами (за исключением организаций сектора государственного управления) внутреннего контроля, а также внешними аудиторами при оценке исполнения экономическими субъектами требований ст. 19 Федерального закона «О бухгалтерском учете» (Письмо Минфина России от 25.12.2013 № 07-04-15/57289).
При применении Рекомендаций следует иметь в виду, что внутренний контроль, предусмотренный иными федеральными законами, организуется и осуществляется экономическим субъектом в соответствии с такими федеральными законами.
Следует отметить, что Рекомендации в целом носят достаточно общий «рамочный» характер и не содержат прямых указаний для хозяйствующих субъектов.
Согласно Рекомендациям Минфина России, внутренний контроль - это процесс, направленный на получение достаточной уверенности в том, что экономический субъект обеспечивает:
- эффективность и результативность своей деятельности, в том числе достижение финансовых и операционных показателей, сохранность активов;
- достоверность и своевременность бухгалтерской (финансовой) и иной отчетности;
- соблюдение применимого законодательства, в том числе при совершении фактов хозяйственной жизни и ведении бухгалтерского учета.
При организации внутреннего контроля хозяйствующим субъектам необходимо исходить из того, что:
- внутренний контроль должен осуществляться на всех уровнях управления экономическим субъектом, во всех его подразделениях;
- в осуществлении внутреннего контроля должен участвовать весь персонал экономического субъекта в соответствии с его полномочиями и функциями;
- полезность внутреннего контроля должна быть сопоставима с затратами на его организацию и осуществление.
Внутренний контроль, способствуя достижению экономическим субъектом целей своей деятельности, призван обеспечивать предотвращение или выявление отклонений от установленных правил и процедур, а также искажений данных бухгалтерского учета, бухгалтерской (финансовой) и иной отчетности.
На эффективность внутреннего контроля влияют следующие ограничения:
- Внешние:
- изменение экономической конъюнктуры или законодательства;
- возникновение новых обстоятельств вне сферы влияния руководства экономического субъекта;
- внутренние:
- превышение должностных полномочий руководством или иным персоналом экономического субъекта;
- сговор персонала;
- возникновение ошибок в процессе принятия решений, осуществления фактов хозяйственной жизни, ведения бухгалтерского учета, в том числе составления бухгалтерской (финансовой) отчетности.
Соответственно, при построении системы внутреннего контроля необходимо стремиться к тому, чтобы факторы, оказывающие влияние на эффективность внутреннего контроля были в максимальной степени нивелированы.
Основными элементами внутреннего контроля экономического субъекта являются:
Первостепенное значение в системе внутреннего контроля имеет контрольная среда, поскольку она отражает культуру управления экономическим субъектом и создает надлежащее отношение персонала к организации и осуществлению внутреннего контроля, что во многом определяет его результативность.
Контрольная среда включает позицию, осведомленность и действия представителей собственника и руководства относительно системы внутреннего контроля, а также понимание значения такой системы для деятельности хозяйствующего субъекта.
Контрольная среда, согласно аудиторским стандартам, включает следующие элементы[1]:
- доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей;
- профессионализм (компетентность сотрудников);
- участие собственника или его представителей;
- компетентность и стиль работы руководства;
- организационная структура;
- наделение ответственностью и полномочиями;
- кадровая политика и практика.
Согласно п.12 Рекомендаций, положения, касающиеся контрольной среды экономического субъекта, могут являться частью документов, определяющих:
- стратегию, цели и ценности экономического субъекта, его поведение на рынке и методы управления им;
- правила поведения руководства и иного персонала экономического субъекта при наступлении различных событий, процедуры рассмотрения жалоб (кодекс корпоративного управления, кодекс деловой этики);
- организационную структуру экономического субъекта, в том числе место и роль его подразделений, уровни принятия решений, штатное расписание;
- функции подразделений экономического субъекта, полномочия и ответственность их руководителей (положения об отдельных подразделениях экономического субъекта);
- правила принятия управленческих решений и осуществления сделок и операций, в том числе учетную политику экономического субъекта;
- кадровую политику, устанавливающую подходы к найму, обучению и развитию персонала экономического субъекта, критерии оценки результатов деятельности, систему оплаты труда.
Достаточно большое значение в организации внутреннего контроля придается оценке рисков хозяйственной деятельности, т.е. процессу их выявления и анализа, а также определении способов и методов управления ими.
Под риском понимается сочетание вероятности и последствий недостижения экономическим субъектом целей деятельности (п.7. Рекомендаций).
Согласно п.13.2. Рекомендаций, описание риска должно включать:
- указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск;
- причину и вероятность его возникновения;
- возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.
Риски, имеющие отношение к финансовой (бухгалтерской) отчетности, могут быть связаны как с внешними, так и с внутренними событиями и обстоятельствами, которые могут возникнуть и отрицательным образом повлиять на способность хозяйствующего субъекта инициировать, отражать в учете, обрабатывать и включать в отчетность данные, соответствующие предпосылкам подготовки финансовой (бухгалтерской) отчетности.
Риски, имеющие отношение к финансовой (бухгалтерской) отчетности, могут возникать или изменяться вследствие следующих обстоятельств[2]:
По мнению Минфина, одним из важных направлений оценки рисков является оценка риска возникновения злоупотреблений, поскольку при превышении руководством или иным персоналом экономического субъекта должностных полномочий снижается эффективность внутреннего контроля (п. 7.2. Рекомендаций).
Злоупотребления могут быть связаны:
- с приобретением и использованием активов;
- ведением бухгалтерского учета, в том числе составлением бухгалтерской (финансовой) отчетности;
- совершением действий, являющихся коррупциогенными (включая коммерческий подкуп).
В результате оценки данного риска должны быть выявлены участки (области, процессы), на которых могут возникать злоупотребления, а также возможности для их совершения, в том числе связанные с недостатками контрольной среды и процедур внутреннего контроля.
Документированию рисков, по мнению Минфина России (п.13. Рекомендаций), должно предшествовать достоверное описание бизнес-процессов и процедур работы экономического субъекта, способствующее выявлению и оценке всех существенных рисков вне зависимости от того, осуществляется ли в настоящее время в отношении них внутренний контроль. Описание бизнес-процессов экономического субъекта может проводиться в разрезе направлений его деятельности, его юридической или организационной структуры.
После выявления рисков и определения наиболее существенных из них, хозяйствующим субъектом должны быть разработаны подходы для управления ими и их минимизации, в том числе путем создания необходимой контрольной среды, организации процедур внутреннего контроля, информирования персонала и оценки результатов осуществления внутреннего контроля.
Руководство может составлять планы, программы, осуществлять соответствующие действия для устранения этих рисков или принять решение игнорировать риски из-за дороговизны возможных средств контроля в отношении этих рисков либо по другим причинам.
С целью систематизации принятых экономическим субъектом процедур внутреннего контроля, относящихся к определенным выявленным рискам и зафиксированных в соответствующих внутренних организационно-распорядительных документах, а также оценки полноты покрытия внутренним контролем выявленных рисков, может быть составлена матрица рисков и процедур внутреннего контроля, содержащая следующие положения (п.13.3. Рекомендаций):
- описание риска, на минимизацию последствий которого направлен внутренний контроль;
- наименование области или процесса, который подвержен риску;
- наименование и краткое описание процедуры (процедур) внутреннего контроля, посредством осуществления которой (которых) минимизируются последствия риска;
- классификацию процедуры внутреннего контроля (если это необходимо для структурирования информации);
- ссылку на регламент осуществления процедуры внутреннего контроля (документ, в котором устанавливаются детальные требования к осуществлению внутреннего контроля);
- исполнителя процедуры внутреннего контроля (сотрудник или информационная система);
- частоту (периодичность) осуществления процедуры внутреннего контроля;
- входящие документы (на основании которых осуществляется процедура внутреннего контроля);
- исходящие документы (свидетельства осуществления процедуры внутреннего контроля).
При организации и осуществлении внутреннего контроля экономический субъект может применять следующие процедуры (п.8.1 Рекомендаций):
- документальное оформление;
- подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям;
- санкционирование (авторизация) сделок и операций, обеспечивающее подтверждение правомочности их совершения;
- сверка данных;
- разграничение полномочий и ротация обязанностей;
- процедуры контроля фактического наличия и состояния объектов, в том числе физическая охрана, ограничение доступа, инвентаризация;
- надзор, обеспечивающий оценку достижения поставленных целей или показателей, соблюдения установленных сроков составления бухгалтерской (финансовой) отчетности;
- процедуры, связанные с компьютерной обработкой информации и информационными системами, среди которых, как правило, выделяют процедуры общего компьютерного контроля и процедуры контроля, осуществляемые в отношении отдельных функциональных элементов системы (модулей, приложений).
Наиболее эффективными процедурами внутреннего контроля с точки зрения противодействия злоупотреблениям, по мнению Минфина России, являются санкционирование (авторизация) сделок и операций, разграничение полномочий и ротация обязанностей, контроль фактического наличия и состояния объектов.
Процедуры внутреннего контроля могут быть классифицированы следующим образом (п.8.2. и 8.3. Рекомендаций):
Все процедуры внутреннего контроля должны основываться на принципах и стандартах, составляющих контрольную среду экономического субъекта, и применяться с учетом ее особенностей. Иными словами, все действия должны быть регламентированы.
Функционирование внутреннего контроля и возможность достижения им поставленных целей зависят от качества и своевременности информации. Основным источником информации для принятия решений являются информационные системы экономического субъекта, которые должны обеспечивать ведение бухгалтерского учета, в том числе составление бухгалтерской (финансовой) отчетности, в соответствии со следующими допущениями (п.9 Рекомендаций):
Информационные системы, связанные с подготовкой финансовой (бухгалтерской) отчетности, состоят из процедур[3]:
- отражения (регистрации) в учете (регистрация включает выявление и сбор надлежащей информации об операциях или событиях);
- обработки данных и ведения учета соответствующих активов, обязательств и капитала (обработка включает функции редактирования и проверки, произведения расчетов, измерений, оценки, группировки и согласования, осуществляемых автоматически либо вручную);
- включения в отчетность информации об операциях хозяйствующего субъекта, а также о событиях и условиях (отчетные функции подразумевают подготовку на бумажных носителях или в электронном виде финансовой (бухгалтерской) отчетности либо обобщение другой полезной информации, которая может быть использована при оценке хозяйственной деятельности организации в управленческих или иных целях.
Качество информации влияет на способность руководства принимать надлежащие управленческие решения и осуществлять контроль за деятельностью хозяйствующего субъекта, а также на возможность подготовки достоверной финансовой (бухгалтерской) отчетности).
Функционирование информационных систем обеспечивается методами и способами учета, которые выполняют следующие функции:
- идентифицируют и регистрируют все правомерные операции;
- своевременно и достаточно подробно фиксируют операции, что позволяет надлежащим образом классифицировать операции для дальнейшего включения в финансовую (бухгалтерскую) отчетность;
- осуществляют оценку объектов учета так, чтобы соответствующая информация могла быть включена в финансовую (бухгалтерскую) отчетность в надлежащем суммовом выражении;
- определяют период времени, в котором имели место операции, что позволяет отнести их в учете к соответствующему отчетному периоду;
- представляют надлежащим образом операции и относящиеся к ним случаи раскрытия информации в финансовой (бухгалтерской) отчетности.
Составной частью информационных систем является система информирования персонала, которая обеспечивает понимание сотрудниками обязанностей и ответственности, связанных с организацией и применением системы внутреннего контроля в отношении финансовой (бухгалтерской) отчетности.
Документами, устанавливающими правила коммуникации, могут являться: положение об информационной политике (в области внешних и внутренних коммуникаций), графики предоставления данных и составления отчетности, должностные инструкции (п.14. Рекомендаций).
С целью определения эффективности и результативности элементов внутреннего контроля, а также необходимости их изменения хозяйствующим субъектом должна осуществляться оценка внутреннего контроля. Согласно п.10 Рекомендаций, такая оценка осуществляется не реже одного раза в год, а ее объем определяется руководителем или внутренним аудитором (службой внутреннего аудита) экономического субъекта.
Одним из видов оценки внутреннего контроля является непрерывный мониторинг внутреннего контроля, т.е. оценка внутреннего контроля, осуществляемая экономическим субъектом на постоянной основе в ходе его повседневной деятельности. Непрерывный мониторинг может осуществляться руководством экономического субъекта в формах (п.10.1 Рекомендаций):
- регулярного анализа результатов деятельности экономического субъекта;
- проверки результатов выполнения отдельных хозяйственных операций;
- регулярной оценки и уточнения внутренней организационно-распорядительной документации;
- других формах.
Мониторинг средств контроля представляет собой процесс оценки эффективного функционирования системы внутреннего контроля во времени. Он включает регулярную оценку организации и применения средств контроля, а также осуществление необходимых корректирующих мероприятий в отношении средств контроля вследствие изменения условий деятельности. Мониторинг осуществляется с целью обеспечения непрерывной эффективной работы средств контроля.
Мониторинг средств контроля осуществляется путем проведения непрерывных мероприятий, отдельных проверок или сочетания того и другого.
Рекомендации по оценке внутреннего контроля экономического субъекта приведены в Приложении № 1 к информации Минфина России, согласно которым объем и характер способов и методов оценки внутреннего контроля определяются руководителем соответствующего подразделения или руководителем экономического субъекта.
Рекомендациями Минфина РФ вводится понятие «дизайн внутреннего контроля», при этом содержание категории в документе не раскрывается, а дается определение только эффективного дизайна.
Эффективный дизайн внутреннего контроля представляет собой такую организацию внутреннего контроля, при которой внутренний контроль достигает своей цели.
Оценка внутреннего контроля включает:
- оценку эффективности дизайна внутреннего контроля (позволяет выявить неэффективные, недостающие и дублирующие процедуры внутреннего контроля);
- оценку операционной эффективности внутреннего контроля (подтверждение того, что внутренний контроль осуществляется в течение всего отчетного периода постоянно (без пропусков) в полном соответствии с утвержденным дизайном).
Оценка эффективности дизайна внутреннего контроля включает проверку описания дизайна внутреннего контроля и подтверждение дизайна внутреннего контроля.
Для проверки описания дизайна внутреннего контроля выполняются следующие действия:
- ознакомление с матрицей рисков и процедур внутреннего контроля и проверка наличия процедур внутреннего контроля, направленных на минимизацию каждого риска;
- формирование мнения о том, насколько принятые процедуры внутреннего контроля достаточны для минимизации риска;
- проверка того, насколько описание процедур внутреннего контроля правильно и понятно;
- подготовка списка вопросов и требуемой информации для проведения подтверждения дизайна внутреннего контроля.
Подтверждение дизайна внутреннего контроля представляет собой ознакомление с практикой осуществления внутреннего контроля, которое доказывает наличие внутреннего контроля, подтверждает полноту и правильность описания внутреннего контроля, результативность внутреннего контроля, а также полноту покрытия внутренним контролем рисков экономического субъекта.
Подтверждение операционной эффективности предполагает тестирование определенного объема доказательств осуществления внутреннего контроля в течение периода или выполнение определенного количества повторений процедур внутреннего контроля.
Для проведения тестирования операционной эффективности внутреннего контроля должен составляться план тестирования с определением в нем способов, процедур, объема и периода тестирования. Тестирование операционной эффективности внутреннего контроля осуществляется выборочно. Выборка операций должна определяться обоснованным методом с учетом следующих обстоятельств и особенностей внутреннего контроля:
- частота выполнения ручного внутреннего контроля;
- существенность внутреннего контроля;
- риск сбоя тестируемой процедуры внутреннего контроля;
- уровень автоматизации процедуры внутреннего контроля.
Для оценки эффективности дизайна и оценки операционной эффективности внутреннего контроля могут быть применены следующие способы (п.6 Приложения 1 Рекомендаций):
- опрос персонала экономического субъекта (применяется для оценки знаний и квалификации персонала, а также получения информации о фактическом порядке совершения сделок и операций и осуществления внутреннего контроля);
- наблюдение за совершением сделок и операций и осуществлением внутреннего контроля (позволяет подтвердить факт осуществления внутреннего контроля);
- проверка доказательств осуществления внутреннего контроля и его результатов (применяется, когда осуществление внутреннего контроля и информация о выявленных ошибках с мерами по их устранению документируется);
- повторное осуществление процедуры внутреннего контроля (применяется, когда все остальные способы не обеспечивают достаточного доказательства эффективности внутреннего контроля, отсутствует его документальное оформление, а также когда внутренний контроль является автоматическим).
Способы оценки внутреннего контроля должны комбинироваться в зависимости от особенностей тестируемых процедур внутреннего контроля, поскольку обособленное их применение не может обеспечить достаточную уверенность в эффективности дизайна внутреннего контроля или операционной эффективности внутреннего контроля.
Например, при наблюдении существует риск того, что процедура внутреннего контроля осуществляется исключительно для наблюдателя. При опросе персонал может предоставлять информацию об утвержденном порядке осуществления внутреннего контроля, но на практике не следовать такому порядку.
Результаты оценки внутреннего контроля должны документально оформляться, обсуждаться с исполнителями процедур внутреннего контроля и представляться руководству экономического субъекта. Объем, состав и формы документации определяются потребностями экономического субъекта.
Вопросам организации внутреннего контроля посвящен 4 раздел Рекомендаций Минфина, которым не предусмотрено жесткой привязки определенных форм организации системы внутреннего контроля для различных видов хозяйствующих субъектов.
Порядок организации внутреннего контроля, в том числе обязанности и полномочия подразделений и персонала, определяются в зависимости от характера и масштабов деятельности экономического субъекта, особенностей его системы управления.
В соответствии с п. 18.1 Рекомендаций, внутренний контроль осуществляют:
- органы управления экономического субъекта;
- ревизионная комиссия (ревизор) экономического субъекта;
- главный бухгалтер или иное должностное лицо экономического субъекта, на которое возлагается ведение бухгалтерского учета (физическое или юридическое лицо, с которым экономический субъект заключил договор об оказании услуг по ведению бухгалтерского учета);
- внутренний аудитор (служба внутреннего аудита) экономического субъекта;
- специальные должностные лица, специальное подразделение экономического субъекта, ответственные за соблюдение правил внутреннего контроля, предусмотренного иными федеральными законами;
- другой персонал и подразделения экономического субъекта.
Организация и оценка внутреннего контроля может осуществляться экономическим субъектом самостоятельно или (и) внешним консультантом (в том числе аудиторской организацией). При этом для организации внутреннего контроля экономический субъект может создать специальное подразделение (службу внутреннего контроля), которое осуществляет методическое обеспечение организации и осуществления внутреннего контроля, а также координирует деятельность подразделений по организации и осуществлению внутреннего контроля (п.19.1 Рекомендаций).
Случаи, когда по мнению Минфина России целесообразно применять ту или иную форму организации внутреннего контроля, представлены в таблице:
Субъектам малого предпринимательства при организации и осуществлении внутреннего контроля совершаемых фактов хозяйственной жизни рекомендовано руководствоваться требованием рациональности. В случае если какие-либо элементы внутреннего контроля не могут быть применены субъектом малого предпринимательства, его руководитель может организовать внутренний контроль любым другим способом, который обеспечивает достижение целей организации и осуществления внутреннего контроля.
Например: руководитель субъекта малого предпринимательства может принять на себя все функции по организации и осуществлению внутреннего контроля; если численность персонала экономического субъекта не позволяет осуществить разграничение полномочий и ротацию обязанностей, субъект малого предпринимательства может использовать другие процедуры внутреннего контроля, которые позволяют покрыть имеющиеся риски (сверку, надзор).
Аналогичный подход, по мнению Минфина России, может применяться отдельными формами некоммерческих организаций.
Пример распределения полномочий и функций по организации и осуществлению внутреннего контроля экономического субъекта, ценные бумаги которого допущены к организованным торгам (Приложение 2 к Рекомендациям)
Как видно из данных таблицы, за организацию и осуществление внутреннего контроля ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности, по мнению финансистов, должен отвечать главный бухгалтер хозяйствующего субъекта.
Достаточно много внимания в Рекомендациях уделено документированию внутреннего контроля.
Порядок организации и осуществления внутреннего контроля должен быть оформлен документально на бумажном носителе и (или) в электронном виде. Объем и содержаний документов, регламентирующих организацию внутреннего контроля, хозяйствующий субъект определяет самостоятельно. Положения, касающиеся организации внутреннего контроля, могут являться частью учредительных и внутренних организационно-распорядительных документов экономического субъекта (приказов, распоряжений, положений, должностных и иных инструкций, регламентов, методик, стандартов бухгалтерского учета экономического субъекта).
В качестве документов, описывающих контрольную среду применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, в п.12.1. Рекомендаций указаны:
- положение о бухгалтерской службе;
- учетная политика экономического субъекта;
- требования к квалификации бухгалтерского персонала;
- другие документы, устанавливающие общие требования к среде, в которой организуется и ведется бухгалтерский учет, порядку взаимодействия подразделений и персонала экономического субъекта и принятия решений по вопросам бухгалтерского учета.
Документация, оформляющая организацию внутреннего контроля, должна регулярно обновляться. Оценка необходимости обновления документации должна проводиться не реже одного раза в год (п.15 Рекомендаций). Обновление документации должно производиться в течение разумного срока после выявления ее недостатков или изменений в деятельности экономического субъекта.
Основанием для обновления документации могут являться:
- результаты периодической оценки и непрерывного мониторинга внутреннего контроля;
- организационные изменения;
- изменения процессов и процедур работы экономического субъекта.
Основаниями для внепланового обновления документации по внутреннему контролю могут являться, например, вновь выявленные риски хозяйственной деятельности или принятие законодательных актов, устанавливающих новые требования к внутреннему контролю.
Документация, регламентирующая организацию и осуществление внутреннего контроля, подлежит хранению, причем конкретные сроки хранения документации, оформляющей организацию и осуществление внутреннего контроля, в Рекомендациях не указаны. Согласно п. 16, экономический субъект должен обеспечивать хранение такой документации в течение разумных сроков, т.е. срок хранения устанавливается каждой организацией самостоятельно.
М. Кириченко, к.э.н., аудитор-консультант ООО «ЭРКОН», член СОА НП «Российская коллегия аудиторов».
[1] Правило (стандарт) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», утвержденное Постановлением Правительства РФ от 23.09.2002 № 696.
[2] Приложение № 2 к Правилу (стандарту) № 8.
[3] Правило (стандарт) № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности», утвержденное Постановлением Правительства РФ от 23.09.2002 № 696.