Integrovaný model vnitřní kontroly. Normy. Stručný komentář k normám

Těhotenství

stav dokumentu: materiály pro jednání CPT

vývojářská organizace: PJSC Megafon

Upřesnění X/2013

"Organizace vnitřního kontrolního systému"

1. Obecná ustanovení

1.1 Tyto Zásady vymezují postup organizace a fungování vnitřního kontrolního systému (dále jen SVK) ve Společnosti, včetně popisu účelu a úkolů SVK, jakož i rolí a odpovědností jeho subjektů.

1.2 Tyto zásady byly vytvořeny s ohledem na požadavky a doporučení:

  • aktuální legislativa Ruská Federace(včetně článku 19 zákona č. 402-FZ „o účetnictví“);
  • vnitřní regulační dokumenty Společnosti;
  • Kodex chování společnosti Federální služby pro finanční trhy Ruské federace;
  • vedení Výboru sponzorských organizací Komise Treadway „Interní kontrola. Integrovaný model“ (1992).

2. Definice a cíle vnitřní kontroly

2.1 Interní kontrola je kontinuální proces uskutečňovaný všemi zaměstnanci a vedením společnosti na všech úrovních řízení s cílem zajistit podmínky pro dosažení cílů společnosti v následujících oblastech:

  • efektivnost a účelnost finanční ekonomická aktivita Společnost;
  • bezpečnost majetku;
  • dodržování zákonných požadavků, předpisů, interních dokumentů Společnosti a dalších platných požadavků regulátorů;
  • spolehlivost účetní závěrky.

2.2 Vnitřní kontrolní systém(SMC) - systém organizačních opatření, zásad, pokynů, ale i kontrolních postupů, norem firemní kultury a opatření přijatých představenstvem, vedením a zaměstnanci Společnosti k zajištění řádného vedení podnikatelské činnosti: k zajištění finanční stabilitu Společnosti, k dosažení optimální rovnováhy mezi jejími náklady růstu, ziskovostí a riziky, k řádnému a efektivnímu provádění obchodních činností, zajištění bezpečnosti majetku, identifikaci, nápravě a předcházení porušení, včasné přípravě spolehlivých finančních výkazů a a tím zvýšit atraktivitu investic.

2.3 Organizace vnitřního kontrolního systému ve Společnosti je založena na přístupu založeném na riziku. Znamená těsnou integraci vnitřního kontrolního systému s procesy řízení rizik, která zajišťuje včasnou a efektivní aplikaci metod řízení rizik s využitím účinných mechanismů vnitřního kontrolního systému. Vedení společnosti a její zaměstnanci přitom soustředí své úsilí na budování a zlepšování vnitřního kontrolního systému především v těch oblastech činnosti, které se vyznačují nejvyšší mírou rizik.

2.4 Systém vnitřní kontroly procesu účetního výkaznictví(SVKFO) - systém organizačních opatření, zásad, pokynů, ale i kontrolních postupů, norem podnikové kultury a opatření přijatých představenstvem, vedením a zaměstnanci Společnosti k dosažení cílů v oblasti sestavení spolehlivých účetních závěrek.

2.5 Cíle fungování vnitřního kontrolního systému ve Společnosti jsou:

  • pomoc při ochraně zájmů akcionářů, investorů a klientů, předcházení a odstraňování střetů zájmů, podpora efektivního řízení Společnosti a dosažení strategických cílů co nejefektivnějším způsobem;
  • Vytváření podmínek pro ochranu Společnosti před vnitřními a vnějšími riziky vznikajícími při její činnosti, jakož i před riziky sestavování účetní závěrky Společnosti;
  • Pomoc při zajišťování souladu Společnosti s požadavky právních předpisů a regulačních dokumentů Společnosti;
  • Vytváření podmínek pro včasnou přípravu a poskytování spolehlivého finančního, účetního, statistického, manažerského a jiného reportingu pro externí i interní uživatele;
  • Pomoc při zajišťování bezpečnosti majetku a efektivním využívání zdrojů a potenciálu Společnosti.

3. Principy činnosti a součásti ÚVT

3.1 Organizace a fungování ICS ve Společnosti je založeno na následujících klíčových principech:

  • Integrace- ICS je nedílnou součástí podnikového řízení společnosti a je zabudováno do jejích procesů a každodenních operací. ICS obsahuje postupy pro informování vedení příslušné úrovně řízení o jakýchkoliv závažných porušeních finančních a ekonomických činností, nedostatcích a slabá místa kontroly, které byly nalezeny, spolu s analýzou jejich příčin, podrobnosti o nápravných opatřeních, která byla nebo by měla být přijata;
  • Kontinuita- ICS funguje nepřetržitě, nepřetržitě a na všech úrovních řízení, což umožňuje Společnosti včas identifikovat odchylky ve vnitřním kontrolním systému a předcházet jejich vzniku v budoucnu;
  • Metodická jednota - ICS procesy jsou implementovány na základě jednotných požadavků a přístupů pro všechny divize společnosti;
  • Integrita/složitost- ICS působí na všech úrovních a ve všech divizích společnosti, pokrývá všechny subjekty vnitřní kontroly a činnosti a tím i všechna rizika:
    • Povinnost vybudovat a udržovat spolehlivý a efektivní ICS mají vedoucí všech úrovní řízení Společnosti;
    • Kontrolní postupy existují ve všech obchodních procesech a na všech úrovních řízení;
    • Každý zaměstnanec Společnosti zná, rozumí a plní svou roli ve vnitřním kontrolním systému
  • Odpovědnost- všichni zaměstnanci a vedení na všech úrovních Společnosti odpovídají za fungování ÚVT v rámci svých pravomocí;
  • Orientace na riziko- ICS ve Společnosti je v úzké souhře se systémem řízení rizik, což přispívá k včasné a efektivní implementaci opatření k ovlivnění rizik. Při analýze kontrolních postupů je nutné vyhodnotit velikost a pravděpodobnost výskytu rizik, míru jejich dopadu na výsledky finanční a ekonomické činnosti a dosahování cílů Společnosti, což umožňuje dospět k závěru, že stávající kontrolní postupy jsou dostatečné. nebo že je třeba vyvinout a implementovat nové.
  • Optimalita - objem a komplexnost kontrolních postupů používaných ve Společnosti jsou nezbytné a dostatečné pro efektivní řízení rizik a dosažení cílů Společnosti. Prostředky a náklady na zavedení a následný provoz kontrolních postupů by neměly přesáhnout důsledky realizace rizika (poměr nákladů k ekonomickému efektu) a celková míra zbytkového rizika by měla odpovídat rizikovému apetitu společnosti.
  • Oddělení povinností- Společnost vymezuje práva a povinnosti subjektů vnitřní kontroly v závislosti na jejich postoji k procesům vývoje, schvalování, aplikace a sledování ICS. Není povoleno, aby jeden zaměstnanec/jednotka byla současně pověřena pravomocemi:
    • schvalování transakcí s aktivy;
    • provádění operací s aktivy;
    • účetnictví/evidence operací;
    • kontrola správnosti, úplnosti a věcnosti provozu a zajištění bezpečnosti majetku.
  • Formalizace- ICS by mělo být formalizováno:
    • popisuje rizika a kontroly pro všechny významné obchodní procesy, které ovlivňují dosažení cílů Společnosti;
    • výsledky provádění kontrolních postupů jsou dokumentovány a uchovávány (primární dokumenty, zprávy, transakční protokoly atd.);

3.2 Relevance a vývoj- veškerá dokumentace k ICS (popis rizik, kontroly a další informace) by měla být včas aktualizována a také neustále vylepšována, aby se zlepšila účinnost řízení rizik. Vrcholové vedení zajišťuje podmínky pro neustálý rozvoj vnitřního kontrolního systému s přihlédnutím k nutnosti řešit nové problémy, které vznikají v důsledku změn vnitřních i vnějších provozních podmínek. Základem organizace a fungování vnitřního kontrolního systému ve společnosti jsou tyto složky:

  • Kontrolní prostředí;
  • Posouzení rizik;
  • Prostředky kontroly;
  • Informace a komunikace;
  • SVK monitoring.

Podrobný popis součástí ICS je uveden v Příloze 1 těchto Zásad.

4. Subjekty vnitřní kontroly a jejich funkce

4.1 Vnitřní kontrolní systém společnosti je dán souborem objektů a subjektů. Předmětem ICS jsou finanční a ekonomické činnosti divizí společnosti. Předměty vnitřní kontroly jsou stanoveny touto politikou a dalšími regulačními dokumenty Společnosti v oblasti vnitřní kontroly.

4.2 Stanoví se složení subjektů vnitřní kontroly Organizační struktura Společnost a zahrnuje:

  • představenstvo;
  • kontrolní výbor;
  • Generální ředitel;
  • Divize vnitřní kontroly;
  • Vedoucí strukturální dělení a zaměstnanci Společnosti.

4.3 představenstvo- určuje obecné směry organizace vnitřního kontrolního systému ve společnosti, analyzuje celkovou efektivitu a soulad ICS s povahou, rozsahem a podmínkami činností společnosti v případě jejich změny - zvažuje výsledky hodnocení účinnosti ÚVN identifikoval významné nedostatky a doporučení k jejich odstranění. Schvaluje politiku vnitřní kontroly a její změny.

Funkce a úkoly představenstva ve vztahu k vnitřnímu kontrolnímu systému jsou zakotveny v předpisech o představenstvu společnosti.

4.4 Revizní komise představenstva- hodnotí dodržování zásad vnitřní kontroly a řízení rizik a celkovou efektivitu ICS ve Společnosti (i na základě zpráv útvarů interního auditu a vnitřní kontroly), dává doporučení ke zlepšení ICS.

Funkce a úkoly výboru pro audit představenstva jsou stanoveny příslušným předpisem o výboru pro audit společnosti.

4.5 výkonný ředitel- odpovídá za organizaci a udržování fungování efektivního vnitřního kontrolního systému ve společnosti a sledování fungování ICS, včetně:

  • Určuje směry rozvoje a zlepšování ICS ve Společnosti;
  • schvaluje Předpisy o vnitřním kontrolním systému, Předpisy pro diagnostiku a zdokonalování IKS a další regulační dokumenty v oblasti IKS;
  • bere na vědomí výsledky práce strukturálního útvaru vnitřní kontroly, včetně výsledků diagnostiky ICS;
  • Stanovuje odpovědnost za realizaci rozhodnutí vrcholového managementu v oblasti vnitřní kontroly;
  • Posuzuje a schvaluje akční plán k odstranění nedostatků v ICS.

4.6 Divize interního auditu- provádí nezávislé hodnocení účinnosti jednotlivých složek ICS, ICS kontrolovaných objektů a ICS společnosti jako celku a vypracovává doporučení pro zlepšení její spolehlivosti a efektivity, včetně:

  • Kontroluje soulad činnosti útvarů a zaměstnanců s regulačními dokumenty, které určují postup organizace a fungování ÚVT;
  • Provádí posouzení souladu obsahu regulačních dokumentů upravujících organizaci a fungování ÚVT, povahu a rozsah činnosti Společnosti;
  • Identifikuje skutečnosti porušení, analyzuje důvody jejich spáchání a vypracovává doporučení pro zlepšení stávajících a/nebo zavedení nových kontrolních postupů, aby se předešlo opakování porušení;
  • Sleduje včasné a úplné odstranění zjištěných porušení a nedostatků;
  • Provádí kontrolu kvality procesu diagnostiky vnitřního kontrolního systému ve Společnosti, kterou provádí vedení a zaměstnanci;
  • Radí ke zlepšení vnitřní kontroly.

4.7 Úkoly Vnitřní kontrolní jednotky jsou:

Koordinace činností k formování a udržování účinnosti vnitřního kontrolního systému;

  • Metodická podpora ÚVT;
  • Organizace procesu diagnostiky ICS ve společnosti:
  • Příprava plánů rozvoje a zlepšování ICS ve Společnosti;
  • Údržba a údržba infrastruktury ICS (registry rizik, kontrolní postupy a obchodní procesy) v aktuálním stavu;
  • Sledování plnění akčního plánu k odstranění nedostatků a zlepšení ICS vč. kontrola kvality k odstranění nedostatků;
  • Informování všech účastníků ICS o změnách v přístupech, dokumentaci a dalších požadavcích v oblasti ICS;
  • Organizace přípravy školicích programů pro personál o organizaci a zlepšování vnitřního kontrolního systému.

Funkce, úkoly a pravomoci organizačního útvaru pro koordinaci ICS společnosti jsou definovány v příslušných předpisech.

4.8 Vedoucí a zaměstnanci stavebních divizí jsou odpovědní za vytváření, udržování a neustálé sledování vnitřního kontrolního systému v příslušných funkčních oblastech činnosti útvarů v celé vertikále řízení a také provádějí kontrolní postupy v souladu se svými úředními povinnostmi, včetně:

  • včasnou identifikaci a analýzu rizik finančních a ekonomických aktivit Společnosti;
  • vývoj, formalizaci, ale i následnou realizaci a zajištění účinnosti a dostatečnosti kontrolních postupů v rámci jejich obchodních procesů;
  • aktualizace popisu ICS a včasné informování útvaru vnitřní kontroly o změnách;
  • sledování fungování ICS, jakož i nezávislé hodnocení účinnosti kontrolních postupů, které provádějí;
  • informování vedení o jakýchkoliv chybách/nedostatcích, ke kterým došlo nebo je možné je, které vedly nebo mohou vést k potenciálním negativním událostem;
  • absolvování školení v oblasti vnitřní kontroly a řízení rizik v souladu se schváleným školícím programem.

4.9 Společnost zajišťuje vytvoření efektivních kanálů pro výměnu informací, včetně vertikální i horizontální komunikace, s cílem vytvořit porozumění mezi všemi subjekty vnitřní kontroly přijatými v regulačních dokumentech o organizaci a fungování vnitřního kontrolního systému a zajistit jejich realizaci.

4.10 Informace o práci vnitřního kontrolního systému, o zjištěných nedostatcích a dalších významných okolnostech jsou poskytovány představenstvu, výboru pro audit představenstva, generálnímu řediteli, představenstvu nebo jiným orgánům v souladu se stávajícími požadavky právních předpisů a regulačních dokumentů Společnosti.

5. Role

5.1 Pro zajištění efektivního fungování ICS jsou mezi manažery a ostatní zaměstnance Společnosti rozděleny následující role:

  • Vlastník procesu/rizika
  • koordinátor ICS
  • Vykonavatel kontroly

5.2 Vlastník procesu/rizika- vedoucí pododdělení/oddělení, který je odpovědný za:

  • pro efektivní fungování všech složek ICS ( viz komponenty ICS v příloze 1) ve smyslu krytí podnikatelských rizik a sestavování účetní závěrky jako součásti jejich obchodních procesů/rizik;
  • pro jmenování vykonavatelů kontrol a stanovení v náplni práce příslušných zaměstnanců odpovědných za provádění těchto postupů;
  • za zajištění provádění a dokumentace kontrol ze strany vykonávajících kontrol v souladu s dokumentací pro ÚVT;
  • za zjišťování změn v procesech, rizicích nebo kontrolách, které vyžadují změny v dokumentaci ÚVT a informování zaměstnanců Útvaru vnitřní kontroly / Koordinátora ÚK v příslušném útvaru;
  • za včasné schválení dokumentace ICS (podrobný popis rizik, jednotné a přizpůsobené kontroly a další informace);
  • pro odstranění nedostatků v ICS zjištěných v důsledku testování nebo monitorování.

5.3 Vykonavatel kontroly- zaměstnanec na jakékoli úrovni, který je zodpovědný za:

  • za včasné a kvalitní provádění kontrolních postupů v souladu s dokumentací ÚVT;
  • za případné upozornění zástupce vykonavatele kontroly a zaměstnance útvaru vnitřní kontroly na nutnost provedení příslušného kontrolního řízení místo vykonavatele;
  • za včasné schválení dokumentace ICS (podrobný popis rizik, kontroly a další informace);
  • pro realizaci postupů pro sebehodnocení účinnosti ICS;
  • za zjišťování změn v procesech, rizicích nebo kontrolách, které vyžadují změny v dokumentaci ICS a informování vlastníka rizika/procesu, koordinátora ICS na příslušném útvaru a zaměstnanců útvaru vnitřní kontroly;
  • pro odstranění nedostatků ICS zjištěných v důsledku testování a monitorování.

5.4 koordinátor ICS jeden zaměstnanec v každém oddělení, který je zodpovědný za:

  • za organizaci a koordinaci procesu fungování ÚVT v rámci příslušného útvaru;
  • za sledování kvality implementace a dokumentaci kontrolních postupů z hlediska kontrol prováděných na příslušném útvaru;
  • pro relevantnost dokumentace k ICS z hlediska příslušného konstrukčního celku;
  • za informování odboru vnitřní kontroly o potřebě změny dokumentace ICS (změna procesů, rizik či kontrol, včetně návrhu nového znění z hlediska rizik, kontrol a dalších informací).

6. Požadavky a odpovědnosti v oblasti zajištění účinnosti ICS

6.1 Vnitřní kontrola je nedílnou součástí fungování jakékoli divize Společnosti.

6.2 Za fungování a efektivitu ICS společnosti odpovídají všichni zaměstnanci.

6.3 Vedení Společnosti musí zaměstnancům sdělit, jak je důležité mít a zajistit efektivitu fungování ICS, jakož i roli každého zaměstnance v tomto systému, včetně následujících základních požadavků:

  • Žádný zaměstnanec, přímo ani nepřímo, nemůže dovolit ani způsobit úmyslné falšování účetních, manažerských nebo jiných údajů vykazování.
  • V účetních údajích nelze provádět žádné změny, je-li známo, že tyto změny mohou narušit podstatu odpovídajících operací.
  • Žádné peněžní částky/účty/transakce nesmí být skryty za účelem jejich neúplného vykazování.
  • Všichni zaměstnanci Společnosti jsou povinni chránit majetek Společnosti a zajistit jeho účelné využití.

6.4 Pokud má zaměstnanec Společnosti informaci o nedostatku nebo neefektivnosti vnitřních kontrolních postupů, musí o tom neprodleně informovat svého přímého nadřízeného, ​​jakož i vedoucí útvarů vnitřní kontroly a vnitřního auditu.

6.5 Pokud zaměstnanec úmyslně nedodržuje tyto zásady a nedodržuje kontrolní postupy, za které je odpovědný, bude zaměstnanec vystaven disciplinárnímu řízení až po ukončení pracovního poměru v souladu s požadavky platných právních předpisů.

7. Sledování účinnosti ICS

7.1 Účelem monitorování je hodnocení účinnosti vnitřního kontrolního systému společnosti, včetně jeho schopnosti zajistit plnění cílů a záměrů, jakož i zjišťování závažnosti nedostatků systému.

7.2 Sledování systému vnitřní kontroly účetního výkaznictví zahrnuje:

  • provádění neustálé kontroly provádění kontrolních postupů v jednotkách, které jsou jim odpovědné, vedením jednotek;
  • provedení sebehodnocení vnitřního kontrolního systému ve Společnosti;
  • provádění periodických kontrol provádění kontrolních postupů a kontrol souladu operací s požadavky právních předpisů a ustanovení regulačních dokumentů organizace útvarem interního auditu;
  • posouzení účinnosti vnitřního kontrolního systému v procesu sestavování účetní závěrky externím auditorem
  • včasné sdělování informací o zjištěných nedostatcích systému vnitřní kontroly účetního výkaznictví zainteresovaným stranám v rámci vertikály řízení.

7.3 Sebehodnocení účinnosti IKS (dále - sebehodnocení IKS) provádí přímo subjekty IKS:

  • Distribuce dotazníků - slouží ke sběru informací o efektivitě fungování ICS a změnách v podnikových procesech od zaměstnanců a vedoucích divizí Společnosti.
  • Sledování stavu ICS je proces kontroly úplnosti, včasnosti implementace a správnosti dokumentace KP.
  • Hodnocení účinnosti kontrolních postupů - analýza účinnosti popisu a provádění kontroly, jakož i analýza dostatečnosti kontrolních postupů (posouzení, jak velká kontrola je při jejím efektivním provádění schopna účinně snižovat rizika tomu odpovídající).

7.4 Pravidelné hodnocení ICS pomáhá zlepšovat jeho účinnost tím, že:

  • včasné odhalení změn v obchodních procesech, návrhu nebo fázích implementace kontrolních postupů;
  • zvýšení motivace vykonavatelů kontroly a jejich vedoucích prostřednictvím přímé účasti na zlepšování vnitřního kontrolního systému a neustálé kontroly kvality implementace CP;
  • poskytování informační základny vedení společnosti k potvrzení účinnosti fungování ICS.

7.5 Výsledky hodnocení ICS musí být zdokumentovány a předloženy vedení společnosti a výboru pro audit představenstva:

  • Odbor interního auditu zpracovává zprávu na základě výsledků hodnocení ICS;
  • Externí auditor podá dopis vedení o významných nedostatcích zjištěných na základě výsledků externího nezávislého posouzení ÚVT;
  • Divize vnitřní kontroly zpracovává zprávu na základě výsledků sebehodnocení ICS provedeného strukturálními divizemi společnosti.

8. Provádění dodatků a změn zásad

8.1 Při změnách a doplňování legislativních aktů, požadavků regulátorů a regulačních dokumentů Společnosti upravujících fungování vnitřního kontrolního systému lze změny a doplňky této Politiky provádět pouze řádně vykonanými rozhodnutími představenstva Společnosti. Představenstvo Společnosti může rovněž rozhodnout o schválení nové verze Zásad.

Příloha 1. Komponenty ICS podle metodiky COSO

Vnitřní kontrola se podle modelu COSO „Internal Control-Integrated Framework“ skládá z pěti vzájemně propojených složek, které vycházejí ze způsobu, jakým je podnik veden, a jsou spojeny s procesem jeho řízení. Mezi pět složek patří:

Ovládací prostředí: Kontrolní prostředí vytváří v organizaci atmosféru, která ovlivňuje povědomí personálu o důležitosti provádění kontrol. Je základem pro všechny ostatní složky vnitřní kontroly, zajišťující řád a disciplínu. Mezi faktory kontrolního prostředí patří integrita, etické hodnoty, styl řízení, systém rozdělení pravomocí a odpovědností a také procesy řízení a rozvoje personálu v organizaci. Efektivita kontrolního prostředí závisí také na pozornosti, kterou této problematice věnuje představenstvo.

Posouzení rizik: Každá organizace čelí různým externím i interním rizikům, která je třeba vyhodnotit. Předpokladem pro hodnocení rizik je definice cílů, takže hodnocení rizik zahrnuje identifikaci a analýzu relevantních rizik spojených s dosažením stanovených cílů. Hodnocení rizik je nutná podmínkařízení rizik.

Řízení: Kontroly jsou zásady a postupy, které zajišťují, že rozhodnutí vedení jsou vynucována. Pomáhají zajistit, aby byla přijata nezbytná opatření ve vztahu k rizikům, která mohou organizaci bránit v dosažení jejích cílů. Kontroly jsou vykonávány v celé organizaci, na všech jejích úrovních a ve všech funkcích. Zahrnují řadu činností, jako jsou schvalování, povolování, kontroly, odsouhlasení, zprávy o činnosti, uchování aktiv a oddělení povinností.

Informace a komunikace: Všechny potřebné informace musí být identifikovány, formulovány a sděleny příslušným zaměstnancům včas tak, aby mohli plně plnit své povinnosti. Informační systémy hrají také důležitou roli ve vnitřním kontrolním systému, protože obsahují finanční informace a také informace o provozu a dodržování zákona, což umožňuje řídit a kontrolovat obchod. Otázka se netýká pouze šíření vnitrofiremních informací, ale důležité je i informování zaměstnanců o vnějších událostech a činnostech, které jsou nezbytné pro přijímání různých rozhodnutí. Efektivní komunikace v širším slova smyslu by měla zajistit tok informací nahoru a dolů a mezi odděleními v celé organizaci. Je důležité, aby zaměstnanci společnosti dostali od vrcholového vedení jasně formulovaný postoj k důležitosti plnění jejich povinností z hlediska vnitřní kontroly. Je také důležité, aby každý zaměstnanec jasně chápal svou roli ve vnitřním kontrolním systému a jak výsledek jeho práce souvisí s činností ostatních zaměstnanců. Personál si musí být vědom nutnosti sdělovat všechny důležité informace vedení společnosti. Efektivní komunikace o záležitostech souvisejících se zájmy společnosti musí být zajištěna také s externími stranami, jako jsou zákazníci, dodavatelé, regulační orgány a akcionáři.

Sledování: Vnitřní kontrolní systém vyžaduje monitorování – proces periodického hodnocení kvality jeho práce. Toho je dosaženo průběžným sledováním kvality provádění určitých operací, samostatnými kontrolami pro hodnocení účinnosti konkrétního procesu nebo kombinací těchto dvou možností. Denně probíhá neustálé sledování vč. činnosti pro řízení a řízení příslušných procesů, jakož i další činnosti v rámci plnění zaměstnaneckých povinností. Rozsah a četnost jednotlivých auditů závisí na úrovni hodnocení příslušných rizik a také na výsledcích průběžného monitorování těchto operací. Na nedostatky vnitřní kontroly zjištěné během monitorování by mělo být upozorněno vedení a nejvýznamnější připomínky by měly být předloženy vrcholovému vedení a představenstvu.

Úzké propojení těchto komponent zajišťuje vytvoření integrovaného systému, který je schopen rychle reagovat na vznikající výzvy. Vnitřní kontrolní systém je nedílnou součástí provozní činnosti. Nejúčinnější ICS je, pokud jsou ovládací prvky zabudovány do infrastruktury organizace a jsou součástí její podstaty. Vestavěné ovládací prvky zvyšují kvalitu a efektivitu událostí a také pomáhají vyhnout se dodatečným nákladům a umožňují rychlejší reakci na určité události.


„COSO – Výbor sponzorských organizací Treadway Commission, USA“

Výbor sponzorských organizací komise Treadway(Angličtina) The Výbor z Sponzorování Organizace z a Chodník Komise, COSO) - je dobrovolná soukromá organizace vytvořená ve Spojených státech a navržená tak, aby poskytovala vhodné rady firemnímu managementu ohledně kritických aspektů organizačního řízení, obchodní etiky, finančního výkaznictví, vnitřních kontrol, řízení rizik společnosti a prevence podvodů.

Výbor sponzorských organizací Treadway Commission (COSO) vyvinul společný model vnitřní kontroly, podle kterého mohou společnosti a organizace, včetně bank, hodnotit své vlastní systémy řízení. COSO byla založena v roce 1985. podporovaný Národní komisí pro podvody ve finančním výkaznictví (Treadway Commission).

COSO model definuje interní kontrola organizací jako proces prováděný představenstvem, vrcholovým managementem a dalšími pracovníky organizace, jehož cílem je poskytnout „přiměřenou jistotu“ ohledně dosažení cílů v následujících kategoriích:

  • účinnost a produktivita operací;
  • spolehlivost účetního výkaznictví;
  • dodržování zákonů a předpisů.

Modelka COSO domácí ovládání zahrnuje několik základních pojmů:

    vnitřní kontrola je proces. Je to prostředek k dosažení cíle, nikoli cíl sám o sobě;

    vnitřní kontrola závisí na lidech. Představuje nejen politiky a formy vedení, ale také lidi na všech úrovních společnosti;

    vnitřní kontrola může poskytnout vedení a představenstvu společnosti pouze dostatečnou důvěru, nikoli však absolutní záruky;

    vnitřní kontrola má za cíl dosáhnout cílů v jedné nebo více samostatných, ale překrývajících se kategoriích.

Podstatu modelu COSO lze vyjádřit takto: řídíte, když je riziko hodnoceno a řízeno.

Mezi prvky vnitřní kontroly podle systému COSO patří (tabulka 1):

1) kontrolní prostředí;
2) posouzení rizik;
3) kontrolní opatření;
4) sběr a analýza informací, jakož i jejich přenos do místa určení;
5) monitorování a oprava chyb.

Tabulka 1. Složky vnitřního kontrolního systému

Komponent Popis Hlavní prvky
Ovládací prostředí Povědomí a jednání zástupců vlastníka a vedení ohledně vnitřního kontrolního systému organizace, jakož i pochopení významu takového systému pro činnost této organizace - spolehlivost, čestnost a morálka;
- odborná způsobilost;
- filozofie a styl řízení;
- Organizační struktura;
- rozdělení práv a povinností;
- Personální politika a praxe.
Posouzení rizik Identifikace a posouzení možných rizik při sestavení účetní závěrky - změny v legislativě;
- změny obchodních podmínek;
- posouzení následků.
Informace a sítě Zajistěte, aby zaměstnanci chápali roli své účasti v procesu přípravy finančních (účetních) výkazů - evidence, zpracování, sumarizace a prezentace provozu organizací;
- rozdělení povinností;
- Poskytování informací manažerům různých úrovní.
Kontrolní postupy Poskytněte zásady a postupy, které pomohou zajistit dodržování pokynů vedení - kontrola provedení objednávky (hlášení);
- zpracování dat;
- kontrola přítomnosti a stavu předmětů;
- rozdělení povinností.
Sledování Sledování, zda ovládací prvky fungují správně. Jde o proces hodnocení efektivního fungování vnitřního kontrolního systému v čase - nepřetržité sledování;
- periodická kontrola.

Model obsahuje osm komponent:

    vnitřní prostředí. Vnitřní prostředí je atmosféra v organizaci a určuje, jak riziko vnímají zaměstnanci organizace a jak na něj reagují. Vnitřní prostředí zahrnuje filozofii řízení rizik a ochotu riskovat, integritu a etické hodnoty, stejně jako prostředí, ve kterém existují;

    stanovení cílů. Cíle musí být definovány dříve, než management začne identifikovat události, které mohou ovlivnit jejich dosažení. Proces řízení rizik poskytuje přiměřenou záruku, že vedení společnosti má správně zorganizovaný proces výběru a stanovování cílů a že odpovídají poslání organizace a míře její rizikové apetitu;

    identifikace události. Vnitřní a vnější události, které ovlivňují dosažení cílů organizace, by měly být určeny s ohledem na jejich rozdělení na rizika nebo příležitosti. Příležitosti by měl management brát v úvahu v procesu formulování strategie a stanovování cílů;

    posouzení rizik. Rizika jsou analyzována z hlediska jejich pravděpodobnosti výskytu a dopadu s cílem určit, jaká opatření je v souvislosti s nimi třeba podniknout. Rizika se posuzují z hlediska přirozeného a zbytkového rizika;

    reakce na riziko. Vedení volí metodu reakce na riziko – vyhýbání se riziku, přijímání, snižování nebo přerozdělování rizika – vypracováním souboru činností, které umožňují uvést identifikované riziko do souladu s přijatelnou mírou rizika a rizikového apetitu organizace;

    kontrolní činnosti. Zásady a postupy jsou navrženy a zavedeny tak, aby poskytovaly přiměřenou jistotu, že reakce na vznikající riziko je účinná a včasná;

    informace a komunikace. Potřebné informace jsou zjišťovány, zaznamenávány a předávány v takové formě a v takových lhůtách, které zaměstnancům umožňují plnit jejich funkční povinnosti. Existuje také efektivní výměna informací v rámci organizace jak vertikálně shora dolů a zdola nahoru, tak horizontálně;

    sledování. Celý proces řízení rizik organizace je monitorován a podle potřeby upravován. Monitorování se provádí v rámci průběžných řídících činností nebo prostřednictvím pravidelných hodnocení.

V souhrnu poznamenáváme, že:

    Ve společnosti COSO velká důležitost vázané na vnitřní prostředí.

    COSO je hodně větší hodnotu je věnována monitorování vnitřní kontroly jako forma následné kontroly. Monitoring je jedním z hlavních prvků modelu COSO.

    V COSO je kladen velký důraz na práci představenstva.

Literatura:

  1. Kakovkina T.V. Vnitřní kontrolní systém jako prostředek identifikace rizik organizace // Mezinárodní účetnictví. 2014, №36
  2. Kalacheva O.N. Problémy vnitřní kontroly v organizacích malého a středního podnikání // Auditor. 2015, №10
  3. Krainová V.V. Zdůvodnění směrů pro rozvoj vnitřní kontroly v organizacích vnitrozemské vodní dopravy // Mezinárodní účetnictví. 2014, №46
  4. Koske M.S., Mishuchkova Yu.G., Voyutskaya I.V. Vnitřní kontrola jako pracovní funkce hlavního účetního // Mezinárodní účetnictví. 2015, №6
  5. Puchková A.O. Nutnost posoudit vnitřní kontrolní systém a jeho prvky během auditu // Auditorskie Vedomosti. 2012. №1/2
  6. Pashkov R. Monitorování vnitřního kontrolního systému // Účetnictví a banky. 2015. №1
  7. Yanova Ya.Yu. Koncepce rizikově orientované vnitřní kontroly – ideál, o který je třeba usilovat // Vnitřní kontrola v úvěrové instituci. 2014. №4
  8. Vnitřní kontrola – integrovaný rámec (2013)

Za prvé je třeba říci, že pro řízení rizik, vnitřní kontrolu a interní audit neexistují téměř žádné ruské standardy. Myslím, že je to špatně, protože tam bylo hodně zajímavých věcí. Ale je docela možné použít buržoazní. Klíčový problém spočívá v jejich interpretaci prezentované mnoha odborníky: pro řízení rizik - s důrazem na finanční rizika, pro ředitele vnitřní kontroly a interní auditory - s důrazem na reporting. To znamená, že si musíte pamatovat, že každý standard obsahuje mnoho komponent, a když si je všechny zapamatujete, můžete dosáhnout mnohem větší užitečnosti.

Nejznámější standardy jsou:

  • řízení rizik: standard FERMA (Federation of European Risk Managers Associations), COSO ERM standard (COSO - Výbor sponzorských organizací Komise Treadway, ERM - Enterprise Risk Management), GOST ISO31000;
  • pro systémy vnitřní kontroly - standard COSO IC IF (Internal Control - Integrated Framework);
  • pro interní audit - Mezinárodní nadace odborná praxe (MOPP).

Kde si můžete přečíst normy?

Zpočátku byly všechny standardy vyvíjeny samozřejmě na anglický jazyk. Překlady do ruštiny však existují.

FERMA - kdysi byla ve veřejné doméně ruská i anglická verze. Webové stránky - http://ferma.eu. Nyní bohužel zmizel, ale pod odkazem je nejnovější aktuální.

Během mého pozorování došlo k několika překladům. Zvláště se mi líbilo, že v jednom překladu ta fráze

„I když identifikaci rizik mohou provádět nezávislí konzultanti, je pravděpodobné, že účinnější bude posouzení prováděné interně, s úzkou interakcí mezi odděleními, s použitím prezentovaných procesů a nástrojů konzistentním a koordinovaným způsobem.“

byla nahrazena frází (nyní opravena na webu FERMA, stále visí na webu Rusrisk)

« Identifikaci rizik organizace obvykle provádějí nezávislí konzultanti.. Pro úspěšný proces řízení rizik je však velmi důležité, aby organizace „správně“ porozuměla rizikům a analyzovala je.

Lidé se obecně vůbec nepapali. Každý si samozřejmě vydělává, jak umí, ale náznaky materiální podpory svých blízkých by mohly být jemnější.

GOST ISO31000 lze stejně snadno najít na Googlu i na Yandexu.

Standardy COSO – volně dostupné jsou pouze „koncepční základy“ v angličtině a ruštině. Webové stránky – www. coso.org. Oficiální překlad vyšel v ruštině v roce 2015, prodává ho Institut interních auditorů, nečetl jsem ho, stál 2000 rublů. Ze "shareware" je "oficiální" překlad (mimochodem docela čitelný a kvalitní) COSO ERM a "neoficiální" část COSO IC IF. Nachází se v uzavřené části webu Institutu interních auditorů Ruské federace, web je http://iia-ru.ru. Do uzavřené části mohou vstoupit pouze členové IVA.

MOPP - částečně dostupné ve veřejné doméně (ale ne všechny, užitečnost pro nastavení začíná praktickými pokyny), zbytek je v uzavřené části webu Institutu interních auditorů Ruské federace (http://iia -ru.ru). Podotýkám, že MOPP je i přes objem celkem lehké čtení (alespoň pro mě), překlad je velmi kvalitní.

Celkem: všechny potřebné standardy lze získat na velkém a mocném za 2500 rublů jako členský poplatek Institutu interních auditorů. Rozumná cena, nechybí ani bonusy v podobě několika zajímavé prezentace. Chcete-li získat kompletní sadu v ruštině, budete si také muset zakoupit knihu, cena pro členy Institutu je 1800 rublů.

Trocha historie.

První v moderní forma Standard COSO IC IF se objevil v roce 1992. V roce 2013 byla připravena nová verze.

Z nějakého důvodu má COSO velmi rád všemožné kostky. Dám tradiční COSO-kostku, konkrétně jsem našel nejhorší verzi (převrácenou vzhůru nohama, jako by začínalo s monitorováním).

Mnohem rozumnější je následující znázornění:

Proč je to rozumné. Za prvé, kontrolní prostředí je důležité pro celou organizaci, monitoring by měl pokrývat celý proces vnitřní kontroly. Samotný proces je zcela banální, představuje totiž vztah „rizika → kontrolní postupy“ s odpovídající informační podporou. Za druhé, monitorování by mělo zahrnovat všechny ostatní složky.

V roce 2002 se objevil standard FERMA. Líbí se mi nejvíc kvůli malé velikosti. Kruhový diagram pracovat podle této normy - na obrázku.

Lze také poznamenat, že standard FERMA nezahrnuje důraz na reporting organizace jako klíčovou složku (například povahu rizika). Důvod je docela banální: evropští risk manažeři (a FERMA je jejich organizace) nevyrostli z účetních, ale z pojišťoven a finančníků. Původ, zdá se mi, vysvětluje klasifikaci:

Bankéři a pojistitelé rozlišují finanční rizika a nebezpečí do samostatné kategorie. Proč - myslím, že je to jasné. Všichni ostatní (interní auditoři i COSO) vyrostli z reportingu, proto jsou ve standardech interního auditu i ve standardech COSO závazné cíle v oblasti spolehlivosti reportingu a souladu se zákonem (compliance).

Co se dělo dál (verze - jen můj názor). Kreativní tým COSO po analýze nového standardu uvažoval asi takto: proč už všichni mají strategii a my pořád žvýkáme čumáčku. A asi za rok a půl nakreslili další kostku psaním standardu COSO ERM (2004):

Aby bylo jasné, odkud roste - další obrázek:

Podle mého názoru je vše zřejmé. Můžete také porovnat komponenty podél svislé osy z krychle COSO a posloupnost akcí popsaných ve FERMA.

Za pět let mezinárodní organizace standardizace (ISO) vydala svůj standard řízení rizik. Dokumenty ISO jsou vyvíjeny z hlediska obchodu (a ne prodeje poradenských služeb), proto je podle mého názoru ISO31000:2009 optimální standard z hlediska poměru objem / užitná hodnota, i když vyžaduje překlad z ruštiny do ruštiny. ISO mimochodem zavedlo princip řízení rizik do normy ISO9000, nejznámější v Rusku, což vyvolalo v řadách ředitelů systému managementu kvality jistou paniku.

Standardy interního auditu se za posledních 50 let výrazně vyvíjely. Všechno to začalo účetnictvím a dodržováním předpisů. Aktuální verze je hodnocením rizik a účinnosti kontroly z hlediska:

  • spolehlivost a integrita informací o finančních a ekonomických činnostech;
  • účinnost a účelnost činností;
  • bezpečnost majetku;
  • dodržování požadavků zákonů, předpisů a smluvních závazků.

Jak vidíte, tyto tři složky se shodují s COSO IC IF (nemohu říci, kde se poprvé objevily, ne historik) a bezpečnost majetku zjevně trvá od roku 1957 (nebo od roku 1947?). Nevím, proč by to mělo být odděleno: nemyslím si, že činnost může být uznána jako efektivní a efektivní v případě krádeže nebo ztráty majetku v důsledku nesprávného skladování.

Stručný komentář k normám.

Je žádoucí číst vše. Relativně jednoduché standardy z hlediska čitelnosti jsou FERMA, ISO31000 a MOPP. FERMA je objemově jen malá, u MOPP se dá omezit na normy (MPSVA), praktické pokyny jsou jen doporučení (byť přísná). Čitelnost je vysvětlena jednoduše: FERMA a ISO napsaly standardy pro manažery rizik, Institut interních auditorů - pro interní auditory. Je velmi žádoucí, aby oba mluvili stejným jazykem, včetně zajištění jednotnosti přístupů. V souladu s tím bylo lepší vyhnout se velmi složitým strukturám a nejistotám, což se stalo.

COSO je základní, vícesvazkové dílo, za COSO ERM bylo poděkováno až 30 partnerům PwC. Podle mého názoru, kdyby se zapojilo méně partnerů, pak by dokument dopadl lépe – jak už to tak bývá, vznikla „synergie naruby“. Vlastnost standardů COSO: z „koncepčních základů“ není nic jasné, srozumitelné začíná v úplně posledním dokumentu (například COSO ERM – „Aplikace“). Musíte pochopit, že autoři jsou auditoři a konzultanti. Nepotřebují stanovit jasný standard: proč přijít o příjmy. Proto je nutné, aby „ruka čtenáře sáhla po telefonu“ Partnera Velké poradenské společnosti. Podle mě se to povedlo. Všimněte si také, že na rozdíl od tohoto webu zde neexistuje žádný „end-to-end“ přístup: neexistuje žádná logika „zde podstupujeme soubor rizik, zde je vyhodnocujeme, zde je řídíme, zde můžeme provádět audit“. Soubor příkladů rozhodně není špatný. Ale pokud se je pokusíte aplikovat na jeden podnik, s největší pravděpodobností bude fungovat jen málo. Mimochodem, obecně mám osobně k dokumentům COSO naprosto vyrovnaný postoj. Jsou užitečné věci, ale opravdu nemá cenu o těchto normách mluvit s dechem, jako některé ženy v přítomnosti cizinců.

Při nastavování risk managementu doporučuji použít FERMA a ISO31000, pokud něco není napsáno ve FERMA. Zvláštním tématem je vnitřní kontrola, COSO IC IF lze tradičně použít pouze pro generování nepříliš užitečných dokumentů. Problém COSO IC IF je v jeho interpretaci, která je buď filozofií o řídicím prostředí nebo o reportingu, který je komentován. A interní audit - tam jsou podporované standardy, podepsal jsem etický kodex (jako člen IVA), takže nezbývá nic jiného než MOPP.

Proč nezmíním SOX?

Slyšel jsem o zákonu Sarbanis-Oxley. Mimochodem, Sarbanis je Řek, takže proto, ne Sarbanes. Můj názor je tedy takový, že ti nejskvělejší prodejci nyní pracují v big4.

Připomeňme si, jak se objevil SOX. Objevilo se to jako výsledek naprosto fiktivního nahlášení hromady společností. Na to, proč se tak stalo, se naše názory s odborným kolegou neshodují. Myslím si, že jde o absolutní neprofesionalitu a chamtivost: je jasné, že zpravodajství by se mohl ujmout někdo jiný z big5, spojené s poradenskými smlouvami za stejné peníze. Ano, a zničení papírů auditora vypovídá o mnohém.

Kolega poukazuje na to, že v řízení auditu je minimálně několik systémových nedostatků a uvádí několik argumentů, že ověření účetnictví mohlo proběhnout bez většího jednání se svědomím:

  • krátký čas na audit. Výměna si žádá "pojď, pojď", téma s urychlením uzávěrky období - zajímavé téma pro poradenství. Věc, zdá se mi, je nejškodlivější, protože ve skutečnosti přispívá k nespolehlivosti hlášení a nenechává čas na obvyklé kontrolní postupy pro kontrolu dokumentů („dole“ musí být všechny dokumenty dokončeny za 1-2 dny) ;
  • kvalifikace personálu. Vše kontrolují stážisté, každý je přiřazen k webu. Toky jsou velké, podnikání s nafouknutými finančními výsledky by měli chytit spíše forenzní než jen auditoři. Vzhledem k času vyhrazenému pro audit je pravděpodobné, že prohlášení budou potvrzena bez nekalých úmyslů. A starší soudruh, který měl potvrdit ICS, to udělal prostřednictvím formálních testů shody, kterých mají všichni auditoři dostatek. Výsledkem kontroly kvality je, že pracovní dokumenty jsou vyplněné, a to je dobře, do nestandardních operací se opravdu nikdo pouštět nemohl: vnitřní kontrolní systém je na úrovni, vzorek je náhodný;
  • požadavky partnera. Ano, samozřejmě, byly tam chyby a nesrovnalosti. Stačilo přiznat, že reportáž byla falešná a pohádat se s klientem? Každá jednotlivá vada, vzhledem k malému vzorku, možná ne. A nehleděli na totalitu.

Ať už to bylo cokoliv, výsledek je prostě úžasný. Místo toho, aby se „vysral“, jak říká prezident Běloruské republiky A.G. Lukašenka ohledně jeho parlamentu, celé auditorské komunity, existují další požadavky nikoli na auditory, kteří podvody kryli, ale na společnosti samotné (včetně těch, které žily poctivě). A tyto požadavky formulují, kupodivu, sami auditoři. Je jasné, že požadavky jsou formulovány tak, že jsou opět potřeba auditoři (no, říká se jim konzultanti, ale jsou územně umístěni v sousedním oddělení auditorské společnosti). Dále je vše zřejmé.

Sečteno a podtrženo: kromě formálního auditu účetní závěrky musela každá veřejná společnost nařídit zavedení vnitřní kontroly podle SOX (no, nebo najmout zaměstnance, což také není levné). Zároveň se zvýšily náklady na externí audit, protože normohodiny narostly o posouzení ÚVT nad přípravou zpráv. Zároveň, pokud vím, i když je systém vnitřní kontroly přípravy výkazů prověřen interním auditem nahoru i dolů, nedochází k zásadnímu snížení nákladů na služby externího auditu.

Mimochodem, Big4 nyní neposkytuje auditní a konzultační služby stejné organizaci. To znamená, že se zvýšily náklady na poradenské služby pro podnikání (byl zrušen princip „velkoobchod levněji“).

Obecně lze říci, že klíčovým výsledkem auditorského skandálu způsobeného auditory je zvýšení tržeb auditorů. "Je to skvělé, ne?" (© sestry Zaitsev, Comedy Club). Proto se snažím slovo SOX nepoužívat.

Pokud najdete chybu, zvýrazněte část textu a klikněte Ctrl+Enter.

COSO koncept „Řízení rizik organizace. Integrace se strategií a výkonem“ (COSO ERM) 2017 v ruštině se začal prodávat v internetovém knihkupectví TOTbook.ru. Je k dispozici na odkazu: https://totbook.ru/catalog/345/1136970/

Koncept COSO ERM se skládá ze 3 knih:

1. Hlavní kniha (110 stran)

2. Přihlášky (30 stran)

3. Shrnutí (10 stran)

Koncept COSO ERM má za cíl zvýšit vztah mezi rizikem, strategií a hodnotou společnosti. Zvažuje riziko z hlediska své role při přijímání strategických rozhodnutí, která v konečném důsledku ovlivňují výkonnost organizace jako celku. První část hlavní knihy poskytuje přehled současných a vyvíjejících se koncepcí a aplikací řízení rizik organizace. Druhá část základní knihy, Koncepční rámec, má pět složek, které berou v úvahu různé perspektivy a provozní struktury a pomáhají zlepšovat strategii a rozhodování.

Výhradní právo publikovat a distribuovat (pouze tisk) COSO konceptyŘízení organizačních rizik. Integrace se strategií a výkonem“ (COSO ERM) 2017 patří Institutu interních auditorů. Vydání této publikace a překlad textu do ruštiny byly provedeny s podporou společnosti Deloitte, CIS.



Doporučeno
Nedělní škola kvízy z biblických otázek pro nedělní školu
Panství Znamenskoye, Lipetsk region Veshalovka chrám znamení
Proč milující Bůh stvořil peklo?
„Jak jméno ovlivňuje osud člověka?