Vnitřní kontrola a řízení rizik únor. Normy. Stručný komentář k normám

krása

Výbor sponzorských organizací Treadway Commission (COSO) vyvinul obecný model vnitřní kontroly, podle kterého mohou společnosti a organizace, včetně bank, hodnotit své vlastní systémy řízení. COSO byla založena v roce 1985. podporovaný Národní komisí pro podvody ve finančním výkaznictví (Treadway Commission).

COSO model definuje interní kontrola organizací jako proces prováděný představenstvem, vrcholovým managementem a dalšími pracovníky organizace, jehož cílem je poskytnout „přiměřenou jistotu“ ohledně dosažení cílů v následujících kategoriích:

  • účinnost a produktivita operací;
  • spolehlivost účetního výkaznictví;
  • dodržování zákonů a předpisů.

Modelka COSO interní ovládání zahrnuje několik základních pojmů:

    vnitřní kontrola je proces. Je to prostředek k dosažení cíle, nikoli cíl sám o sobě;

    vnitřní kontrola závisí na lidech. Představuje nejen manažerské politiky a uniformy, ale také lidi na všech úrovních společnosti;

    vnitřní kontrola může poskytnout vedení a představenstvu společnosti pouze dostatečnou důvěru, nikoli však absolutní záruky;

    vnitřní kontrola je zaměřena na dosažení cílů v jedné nebo více samostatných, ale překrývajících se kategoriích.

Podstatu modelu COSO lze vyjádřit takto: řídíte, když je riziko hodnoceno a řízeno.

Mezi prvky vnitřní kontroly podle systému COSO patří (Tabulka 1):

1) kontrolní prostředí;
2) posouzení rizik;
3) kontrolní opatření;
4) shromažďování a analýza informací, jakož i jejich přenos pro zamýšlený účel;
5) monitorování a oprava chyb.

Tabulka 1. Složky vnitřního kontrolního systému

Komponent Popis Základní prvky
Ovládací prostředí Povědomí a jednání zástupců vlastníka a vedení ohledně vnitřního kontrolního systému organizace, jakož i pochopení významu takového systému pro činnost této organizace - spolehlivost, čestnost a morálka;
- kompetence;
- filozofie a styl řízení;
- Organizační struktura;
- rozdělení práv a povinností;
- personální politika a praxe.
Odhad rizika Identifikace a posouzení možných rizik při sestavení účetní závěrky - změny v legislativě;
- změny obchodních podmínek;
- posouzení následků.
Informace a sítě Zajistěte, aby zaměstnanci rozuměli roli jejich účasti v procesu přípravy finančních (účetních) výkazů - evidence, zpracování, sumarizace a prezentace provozu organizací;
- rozdělení povinností;
- poskytování informací manažerům na různých úrovních.
Kontrolní postupy Poskytněte zásady a postupy, které pomohou zajistit dodržování příkazů správy - kontrola plnění zakázek (výkazů);
- zpracování dat;
- kontrola přítomnosti a stavu předmětů;
- rozdělení povinností.
Sledování Sledování, zda ovládací prvky fungují správně. Jedná se o proces hodnocení efektivního fungování vnitřního kontrolního systému v čase. - nepřetržité sledování;
- periodická kontrola.

Model obsahuje osm komponent:

    vnitřní prostředí. Vnitřní prostředí představuje atmosféru v organizaci a určuje, jak je riziko vnímáno a jak na něj reagují zaměstnanci organizace. Vnitřní prostředí zahrnuje filozofii řízení rizik a ochotu riskovat, integritu a etické hodnoty, jakož i prostředí, ve kterém existují;

    stanovení cílů (stanovení cílů). Cíle musí být definovány dříve, než management začne identifikovat události, které mohou ovlivnit jejich dosažení. Proces řízení rizik poskytuje přiměřenou jistotu, že vedení společnosti má správně organizovaný proces pro výběr a stanovení cílů a že jsou v souladu s posláním organizace a úrovní její ochoty riskovat;

    identifikace události. Vnitřní a vnější události, které mají dopad na dosažení cílů organizace, by měly být identifikovány z hlediska rizik nebo příležitostí. Příležitosti musí management brát v úvahu při formulování strategie a stanovování cílů;

    odhad rizika. Rizika jsou analyzována na základě jejich pravděpodobnosti a dopadu, aby se určilo, jaká opatření je třeba podniknout k jejich řešení. Rizika se posuzují z hlediska přirozeného a zbytkového rizika;

    reakce na riziko. Vedení volí metodu reakce na riziko – vyhýbání se riziku, přijímání, snižování nebo přerozdělování rizika – tím, že vyvíjí řadu činností, které umožňují uvést identifikované riziko do souladu s přijatelnou mírou rizika a rizikového apetitu organizace;

    kontrolní činnosti. Zásady a postupy jsou navrženy a zavedeny tak, aby poskytovaly přiměřenou jistotu, že se na související riziko reaguje účinně a včas;

    informace a komunikace. Potřebné informace se zjišťují, zaznamenávají a předávají v takové formě a v takovém časovém rámci, které zaměstnancům umožňují plnit jejich funkční povinnosti. Existuje také efektivní výměna informací v rámci organizace, a to jak vertikálně shora dolů a zdola nahoru, tak horizontálně;

    sledování. Celý proces řízení rizik organizace je monitorován a podle potřeby upravován. Monitorování se provádí jako součást průběžných činností vedení nebo prostřednictvím pravidelných hodnocení.

Abychom to shrnuli, poznamenáváme, že:

    V COSO velká důležitost vázané na vnitřní prostředí.

    COSO má hodně vyšší hodnotu je dáno monitorování vnitřní kontroly jako forma následné kontroly. Monitorování je jedním ze základních prvků modelu COSO.

    V COSO je kladen velký důraz na práci představenstva.

Literatura:

  1. Kakovkina T.V. Systém vnitřní kontroly jako prostředek identifikace organizačních rizik // Mezinárodní účetnictví. 2014, č. 36
  2. Kalacheva O.N. Problémy vnitřní kontroly v malých a středních podnicích // Auditor. 2015, č. 10
  3. Krainová V.V. Odůvodnění směrnic pro rozvoj vnitřní kontroly v organizacích vnitrozemské vodní dopravy // Mezinárodní účetnictví. 2014, č. 46
  4. Koske M.S., Mishuchkova Yu.G., Voyutskaya I.V. Vnitřní kontrola jako pracovní funkce hlavního účetního // Mezinárodní účetnictví. 2015, č. 6
  5. Puchková A.O. Potřeba posouzení vnitřního kontrolního systému a jeho prvků během auditu // Výkazy auditu. 2012. č. 1/2
  6. Pashkov R. Monitorování vnitřního kontrolního systému // Účetnictví a banky. 2015. č. 1
  7. Yanova Ya.Yu. Ideálem, o který je třeba usilovat, je koncept rizikově orientované vnitřní kontroly // Vnitřní kontrola v úvěrové instituci. 2014. č. 4
  8. Vnitřní kontrola – integrovaný rámec (2013)

Za prvé je třeba říci, že pro řízení rizik, vnitřní kontrolu a interní audit neexistují téměř žádné ruské standardy. Myslím, že je to špatné, protože tam bylo hodně zajímavých věcí. Ale je docela možné použít buržoazní. Klíčový problém spočívá v jejich interpretaci prezentované mnoha odborníky: pro řízení rizik - s důrazem na finanční rizika, pro poskytovatele vnitřní kontroly a interní auditory - s důrazem na reporting. To znamená, že si musíte pamatovat, že každý standard obsahuje mnoho komponent a když je všechny budete mít na paměti, můžete dosáhnout podstatně větší užitečnosti.

Nejznámější standardy jsou:

  • pro řízení rizik: standard FERMA (Federation of European Risk Manager Associations), COSO ERM standard (COSO - Committee of Sponsoring Organizations of the Treadway Commission, ERM - Enterprise Risk Management), GOST ISO31000;
  • pro systémy vnitřní kontroly – standard COSO IC IF (Internal Control – Integrated Framework);
  • pro interní audit - Mezinárodní základy odborná praxe (MOPP).

Kde si mohu přečíst normy?

Zpočátku byly všechny standardy přirozeně vyvíjeny dál anglický jazyk. Existují však překlady do ruštiny.

FERMA – ruská i anglická verze byla kdysi volně dostupná. Webové stránky – http://ferma.eu. Nyní bohužel zmizel, ale odkaz níže obsahuje nejnovější.

Během mého pozorování tam bylo několik překladů. Zvláště se mi líbilo, že v jednom překladu ta fráze

„Přestože identifikaci rizik mohou provádět nezávislí konzultanti, hodnocení prováděné interně, s úzkou spoluprací mezi jejími funkcemi, s konzistentním a koordinovaným používáním poskytovaných procesů a nástrojů, bude pravděpodobně účinnější.“

byla nahrazena frází (na webu FERMA je nyní opravena, na webu Rusrisk stále visí)

« Identifikaci rizik organizace obvykle provádějí nezávislí konzultanti. Pro úspěšný proces řízení rizik je však zásadní pochopení a analýza rizik ze strany organizace.“

Obecně platí, že lidem to bylo jedno. Každý si samozřejmě vydělává, jak nejlépe umí, ale narážky na finanční podporu pro někoho blízkého mohly být rafinovanější.

GOST ISO31000 lze stejně snadno najít jak na Googlu, tak na Yandexu.

Standardy COSO - pouze „koncepční rámec“ je volně dostupný v angličtině a ruštině. Webové stránky – www. coso.org. Oficiální překlad vyšel v ruštině v roce 2015, prodal jej Institut interních auditorů, nečetl jsem ho, stál 2 000 rublů. Ze „shareware“ je „oficiální“ překlad (mimochodem docela čitelný a kvalitní) COSO ERM a „neoficiální“ část COSO IC IF. Nachází se v uzavřené části webových stránek Institutu interních auditorů Ruské federace, webové stránky – http://iia-ru.ru. Do uzavřené části mohou vstoupit pouze členové IVA.

MOPP - částečně je ve veřejné doméně (ale ne všechny; užitečnost pro jeho nastavení začíná praktickými pokyny), zbytek je v uzavřené části webu Institutu interních auditorů Ruské federace (http://iia -ru.ru). Rád bych poznamenal, že MOPP je i přes svůj objem celkem nenáročné čtení (alespoň pro mě), překlad je velmi kvalitní.

Celkem: všechny potřebné standardy lze získat na velkém a mocném za 2 500 rublů jako členský poplatek Institutu interních auditorů. Rozumná cena, nechybí ani bonusy v podobě několika zajímavé prezentace. Chcete-li získat kompletní sadu v ruštině, budete si také muset zakoupit knihu, cena pro členy Institutu je 1800 rublů.

Trochu historie.

První v moderní forma Standard COSO IC IF se objevil v roce 1992. V roce 2013 byla připravena nová verze.

Z nějakého důvodu COSO opravdu miluje všechny druhy kostek. Dám vám tradiční kostku COSO, konkrétně jsem našel nejhorší verzi (otočenou vzhůru nohama, jako by to začínalo monitorováním).

Následující reprezentace je mnohem rozumnější:

Proč je to rozumné? Za prvé, kontrolní prostředí je důležité pro celou organizaci, monitorování by mělo pokrývat celý proces vnitřní kontroly. Samotný proces je zcela banální, představuje totiž vztah „rizika → kontrolní postupy“ s odpovídající informační podporou. Za druhé, monitorování musí zahrnovat všechny ostatní složky.

Standard FERMA se objevil v roce 2002. Nejvíc se mi líbí kvůli malému objemu. Schematický diagram práce podle této normy jsou znázorněny na obrázku.

Lze také poznamenat, že standard FERMA se nezaměřuje na reporting organizace jako klíčovou složku (například povahu rizika). Důvod je docela banální: evropští risk manažeři (a FERMA je jejich organizace) nevyrostli z auditorů účetních závěrek, ale z pojistitelů a finančníků. Původ, zdá se mi, také vysvětluje klasifikaci:

Bankéři a pojišťovny klasifikují finanční rizika a nebezpečí jako samostatnou kategorii. Proč – myslím, že je to jasné. Zbytek (interní auditoři i COSO) však vyrostl z reportingu, a proto standardy interního auditu i standardy COSO nutně obsahují cíle v oblasti spolehlivosti reportingu a souladu s legislativou.

Co se stalo potom (verze je jen můj názor). Kreativní tým COSO po analýze nového standardu uvažoval asi takto: co už všichni mají o strategii, a my stále žvýkáme šmouhy. A asi za rok a půl nakreslili další kostku a napsali standard COSO ERM (2004):

Aby bylo jasné, odkud vše roste, zde je další obrázek:

Podle mého názoru je vše zřejmé. Můžete také porovnat komponenty podél svislé osy z krychle COSO a posloupnost akcí popsaných ve FERMA.

Za pět let Mezinárodní organizace Standardizační organizace (ISO) vydala svůj standard řízení rizik. ISO dokumenty jsou vyvíjeny z obchodního hlediska (a ne prodeje poradenských služeb), proto je dle mého chápání ISO31000:2009 optimálním standardem z hlediska objemu/užitečnosti, i když vyžaduje překlad z ruštiny do ruštiny. ISO mimochodem zavedlo princip řízení rizik do nejznámější ruské normy ISO9000, což vyvolalo v řadách poskytovatelů systému managementu kvality jistou paniku.

Standardy interního auditu prošly za 50 let významným vývojem. Všechno to začalo účetnictvím a dodržováním předpisů. Aktuální verze je hodnocením rizik a účinnosti kontroly z hlediska:

  • spolehlivost a integrita informací o finančních a ekonomická aktivita;
  • účinnost a účelnost činností;
  • bezpečnost majetku;
  • dodržování zákonů, předpisů a smluvních závazků.

Jak vidíte, tyto tři složky se shodují s COSO IC IF (kde vznikly jako první, nemohu říci, nejsem historik) a konzervace majetku zjevně probíhá od roku 1957 (nebo od r. 1947?). Nevím, proč by to mělo být vyčleněno samostatně: nemyslím si, že činnosti lze považovat za efektivní a efektivní v případě krádeže nebo ztráty majetku v důsledku nesprávného skladování.

Stručný komentář k normám.

Je vhodné si vše přečíst. Relativně jednoduché standardy z hlediska čitelnosti jsou FERMA, ISO31000 a MOPP. FERMA je prostě objemově malá, u MOPP se můžete omezit na normy (MPSVA), praktické návody jsou jen doporučení (byť přísná). Čitelnost je vysvětlena jednoduše: FERMA a ISO napsaly standardy pro manažery rizik, Institut interních auditorů - pro interní auditory. Je velmi žádoucí, aby oba mluvili stejným jazykem, včetně zajištění jednotnosti přístupů. V souladu s tím bylo lepší vyhnout se zcela složitým konstrukcím a nejistotám, což se také stalo.

COSO je základní, vícesvazkové dílo, za COSO ERM bylo vyjádřeno poděkování až 30 partnerům PwC. Dle mého názoru, kdyby bylo zúčastněných partnerů méně, pak by dokument dopadl lépe – jak už to tak bývá, vznikla by „reverzní synergie“. Zvláštnost standardů COSO: z „koncepčních základů“ není nic jasné, to, co je jasné, začíná v úplně posledním dokumentu (na příkladu COSO ERM – „Aplikace“). Musíte pochopit, že autoři jsou auditoři a konzultanti. Nepotřebují vytvořit jasný standard: proč ztrácet příjmy. Proto je nutné, aby čtenář „dotelefonoval“ Partnera velké poradenské společnosti. Podle mě se to povedlo. Všimněte si také, že na rozdíl od tohoto webu neexistuje žádný „end-to-end“ přístup: neexistuje žádná logika „zde podstupujeme soubor rizik, zde je vyhodnocujeme, zde je řídíme, zde můžeme provést audit. “ Soubor příkladů rozhodně není špatný. Ale pokud se je pokusíte aplikovat na jeden podnik, s největší pravděpodobností bude fungovat jen málo. Mimochodem, obecně je můj osobní postoj k dokumentům COSO naprosto rovnocenný. Jsou užitečné věci, ale opravdu nemá cenu mluvit o těchto standardech dechberoucím způsobem, jako to dělají některé ženy v přítomnosti cizinců.

Při nastavování řízení rizik doporučuji použít FERMA a ISO31000, pokud ve FERMA není něco uvedeno. Zvláštním tématem je vnitřní kontrola, COSO IC IF lze tradičně použít pouze k vytváření dokumentů, které nejsou nijak zvlášť užitečné. Problémem COSO IC IF je jeho interpretace, která je buď kontrolním prostředím nebo filozofií výkaznictví, jak bylo uvedeno. Co se týče interního auditu, tam jsou podporované standardy, podepsal jsem etický kodex (jako člen IIA), takže nic jiného kromě MOPP nezbývá.

Proč nezmíním SOX?

Slyšel jsem o Sarbanis-Oxley Act. Mimochodem, Sarbanis je Řek, takže proto je to tak, ne Sarbanes. Můj názor je tedy takový, že v Big4 nyní pracují ti nejskvělejší prodejci.

Připomeňme si, jak SOX vznikl. Objevilo se to jako výsledek naprosto fiktivních zpráv mnoha společností. Na to, proč se tak stalo, se naše názory neshodují s naším kolegou odborníkem. Domnívám se, že jde o absolutní neprofesionalitu a touhu po zisku: je jasné, že zpravodajství spolu s poradenskými smlouvami by se za stejné peníze mohl ujmout někdo jiný z Big5. A zničení pracovních dokumentů auditora mluví za mnohé.

Kolega poznamenává, že v řízení auditu existuje přinejmenším několik systémových nedostatků a uvádí několik argumentů ve prospěch skutečnosti, že potvrzení hlášení by mohlo proběhnout bez větších výčitek svědomí:

  • málo času na dokončení auditu. Výměna vyžaduje „pojď, pojď“, téma urychlení uzávěrky období je zajímavé téma pro konzultace. Tato věc, zdá se mi, je nejškodlivější, protože ve skutečnosti přispívá k nespolehlivosti hlášení a nenechává čas na obvyklé kontrolní postupy pro kontrolu dokumentů („dole“ musí být všechny dokumenty dokončeny za 1-2 dny) ;
  • kvalifikace zaměstnanců. Vše kontrolují stážisté, z nichž každý je přiřazen k určitému webu. Toky jsou velké, podniky, které napumpují finanční výsledky, musí podchytit spíše forenzní vědci než jen auditoři. Vzhledem k času vyhrazenému pro audit je pravděpodobné, že hlášení budou potvrzena bez nekalých úmyslů. A vrchní soudruh, který měl potvrdit vnitřní kontrolní systém, to udělal formálními testy shody, kterých mají všichni auditoři dostatek. Výsledkem kontroly kvality je, že pracovní dokumenty jsou vyplněné a je dobře, že nikdo nemohl zacházet do přílišných podrobností v nestandardních operacích: systém vnitřní kontroly je na úrovni, vzorek je náhodný;
  • požadavky partnerů. Ano, samozřejmě, byly tam chyby a nesrovnalosti. Stačilo to k uznání hlášení jako falešné a ke sporu s klientem? Každý jednotlivý nedostatek, s přihlédnutím k malému vzorku, možná ne. Ale ani se nedívali na totalitu.

Ať je to jak chce, výsledek je prostě úžasný. Místo toho, abychom se „srali“, jak řekl prezident Běloruské republiky A.G. Lukašenka ohledně jeho parlamentu, celé auditorské komunity, další požadavky nevznikají na auditory, kteří podvody kryli, ale na společnosti samotné (včetně těch, které žily poctivě). A tyto požadavky formulují, kupodivu, sami auditoři. Je jasné, že požadavky jsou formulovány tak, že jsou opět potřeba auditoři (no, říká se jim konzultanti, ale geograficky se nacházejí v sousedním oddělení auditorské společnosti). Pak je vše zřejmé.

Sečteno a podtrženo: kromě formálního účetního auditu si každá veřejná společnost musela objednat instalaci vnitřních kontrol podle SOX (no, nebo najmout zaměstnance, což také není levné). Zároveň se zvýšily náklady na externí audit, protože se zvýšily normohodiny pro posouzení vnitřního kontrolního systému pro přípravu zpráv. Zároveň, pokud je mi známo, i když je systém vnitřní kontroly přípravy reportingu prověřen zevnitř i zvenčí interním auditem, nedochází k zásadnímu snížení nákladů na služby externího auditu.

Mimochodem, Big4 již neposkytuje auditorské a konzultační služby stejné organizaci. To znamená, že náklady na poradenské služby pro podniky se zvýšily (zásada „levnější ve velkém“ byla zrušena).

Obecně je klíčovým výsledkem auditního skandálu způsobeného auditory zvýšení příjmů auditorů. "Je to skvělé, ne?" (Šestry Zaitsev, Comedy Club). Proto se snažím nepoužívat slovo SOX.

Pokud najdete chybu, zvýrazněte část textu a klikněte Ctrl+Enter.

Koncept COSO „Řízení organizačních rizik. Integrace se strategií a efektivitou výkonu“ (COSO ERM) 2017 v ruštině se objevil v prodeji v internetovém knihkupectví TOTbook.ru. Je k dispozici na odkazu: https://totbook.ru/catalog/345/1136970/

Koncept COSO ERM se skládá ze 3 knih:

1. Základní kniha (110 stran)

2. Přihlášky (30 stran)

3. Shrnutí (10 stran)

Koncept COSO ERM má za cíl zlepšit vztah mezi rizikem, strategií a hodnotou společnosti. Dívá se na riziko z hlediska své role při přijímání strategických rozhodnutí, která v konečném důsledku ovlivňují výkonnost organizace jako celku. První část základní knihy poskytuje přehled současných a vyvíjejících se koncepcí a aplikací řízení rizik organizace. Druhá část základní knihy, Koncepční rámec, zahrnuje pět složek, které berou v úvahu různé perspektivy a provozní struktury a pomáhají zlepšit strategii a rozhodování.

Výhradní právo publikovat a distribuovat (pouze tištěné) Koncepty COSO„Řízení organizačních rizik. Integrace se strategií a provozní výkonností (COSO ERM) 2017 Institutem interních auditorů. Vydání této publikace a překlad textu do ruštiny byly provedeny s podporou společnosti Deloitte CIS.

stav dokumentu: materiály pro jednání CPT

vývojářská organizace: PJSC Megafon

Vysvětlení X/2013

"Organizace vnitřního kontrolního systému"

1. Obecná ustanovení

1.1 Tyto zásady určují postup organizace a fungování vnitřního kontrolního systému (dále jen vnitřní kontrolní systém) ve společnosti, včetně popisu účelu a cílů vnitřního kontrolního systému, jakož i rolí a odpovědností jeho předměty.

1.2 Tyto zásady byly vytvořeny s ohledem na požadavky a doporučení:

  • současná legislativa Ruská Federace(včetně článku 19 zákona č. 402-FZ „o účetnictví“);
  • vnitřní regulační dokumenty Společnosti;
  • Kodex chování společnosti Federální služby pro finanční trhy Ruské federace;
  • vedení Výboru sponzorských organizací Komise Treadway „Interní kontrola. Integrovaný model“ (1992).

2. Definice a cíle vnitřní kontroly

2.1 Interní kontrola je kontinuální proces prováděný všemi zaměstnanci a vedením společnosti na všech úrovních řízení, jehož cílem je zajistit podmínky pro dosažení cílů společnosti v následujících oblastech:

  • efektivnost a účelnost finančních a ekonomických činností Společnosti;
  • bezpečnost majetku;
  • soulad s právními požadavky, předpisy, interními dokumenty Společnosti a dalšími platnými regulatorními požadavky;
  • spolehlivost účetní závěrky.

2.2 Vnitřní kontrolní systém(SVK) - systém organizačních opatření, zásad, pokynů, ale i kontrolních postupů, norem podnikové kultury a opatření přijatých představenstvem, vedením a zaměstnanci společnosti k zajištění řádného vedení podnikatelské činnosti: zajistit finanční stabilitu společnosti, dosažení optimální rovnováhy mezi jejími růstovými náklady, ziskovostí a riziky, pro řádné a efektivní provádění obchodních činností, zajištění bezpečnosti majetku, identifikaci, nápravu a předcházení porušení, včasnou přípravu spolehlivých finančních výkazů a, čímž se zvyšuje atraktivita investic.

2.3 Organizace vnitřního kontrolního systému ve Společnosti je založena na přístupu založeném na riziku. Znamená těsnou integraci vnitřního kontrolního systému s procesy řízení rizik, která zajišťuje včasnou a efektivní aplikaci metod řízení rizik s využitím účinných mechanismů vnitřního kontrolního systému. Vedení společnosti a její zaměstnanci zároveň soustřeďují úsilí na budování a zlepšování vnitřního kontrolního systému především v těch oblastech činnosti, které se vyznačují nejvyšší mírou rizik.

2.4 Vnitřní kontrolní systém nad procesem sestavování účetní závěrky(SVKFO) - systém organizačních opatření, politik, pokynů, ale i kontrolních postupů, norem podnikové kultury a opatření přijatých představenstvem, vedením a zaměstnanci společnosti k dosažení cílů v oblasti sestavení spolehlivých účetních závěrek .

2.5 Cíle fungování vnitřního kontrolního systému ve Společnosti jsou:

  • pomoc při ochraně zájmů akcionářů, investorů a klientů, předcházení a odstraňování střetů zájmů, podpora efektivního řízení Společnosti a dosažení strategických cílů co nejefektivnějším způsobem;
  • Vytváření podmínek pro ochranu Společnosti před vnitřními a vnějšími riziky vznikajícími při její činnosti, jakož i před riziky sestavování účetní závěrky Společnosti;
  • Pomoc při zajišťování souladu Společnosti s požadavky právních předpisů a regulačních dokumentů Společnosti;
  • Vytváření podmínek pro včasnou přípravu a poskytování spolehlivého finančního, účetního, statistického, řídícího a jiného reportingu pro externí i interní uživatele;
  • Pomoc při zajišťování bezpečnosti majetku a efektivním využívání zdrojů a potenciálu společnosti.

3. Principy fungování a součásti ICS

3.1 Organizace a fungování ICS ve Společnosti je založeno na následujících klíčových principech:

  • Integrace- ICS je nedílnou součástí podnikového řízení společnosti a je integrován do jejích procesů a každodenních operací. ICS obsahuje postupy pro informování managementu na příslušné úrovni managementu o všech významných porušeních finančních a ekonomických činností, nedostatcích a slabá místa kontroly, které byly zjištěny, spolu s analýzou jejich příčin, podrobnostmi o nápravných opatřeních, která byla nebo by měla být přijata;
  • Kontinuita- vnitřní kontrolní systém funguje průběžně, nepřetržitě a na všech úrovních řízení, což umožňuje společnosti rychle identifikovat odchylky ve vnitřním kontrolním systému a předcházet jejich vzniku v budoucnu;
  • Metodická jednota - ICS procesy jsou implementovány na základě jednotných požadavků a přístupů pro všechny divize společnosti;
  • Integrita/složitost- ÚVT působí na všech úrovních a ve všech divizích společnosti, pokrývající všechny subjekty vnitřní kontroly a oblasti činnosti a tím i všechna rizika:
    • Odpovědnost za vybudování a udržování spolehlivého a efektivního vnitřního kontrolního systému nesou manažeři na všech úrovních řízení Společnosti;
    • Kontrolní postupy existují ve všech obchodních procesech a na všech úrovních řízení;
    • Každý zaměstnanec Společnosti zná, rozumí a plní svou roli ve vnitřním kontrolním systému
  • Odpovědnost- za fungování vnitřního kontrolního systému odpovídají v mezích svých pravomocí všichni zaměstnanci a vedení na všech úrovních společnosti;
  • Orientace na riziko- ICS ve Společnosti úzce spolupracuje se systémem řízení rizik, což přispívá k včasnému a efektivnímu zavádění opatření k ovlivnění rizik. Při analýze kontrolních postupů je třeba posoudit velikost a pravděpodobnost výskytu rizik, míru jejich vlivu na výsledky finančních a ekonomických činností a dosažení cílů společnosti, což umožňuje vyvodit závěr o dostatečnosti stávající kontroly. postupy, nebo potřeba vyvinout a zavést nové.
  • Optimalita - objem a komplexnost kontrolních postupů používaných ve Společnosti jsou nezbytné a dostatečné pro efektivní řízení rizik a dosažení cílů Společnosti. Prostředky a náklady na implementaci a následný provoz kontrolních postupů by neměly přesáhnout důsledky realizace rizika (poměr nákladů a ekonomického efektu) a celková úroveň zbytkového rizika by měla odpovídat rizikovému apetitu společnosti.
  • Oddělení povinností- Společnost rozlišuje práva a povinnosti subjektů vnitřní kontroly v závislosti na jejich postoji k procesům rozvoje, schvalování, aplikace a sledování vnitřního kontrolního systému. Není povoleno, aby jednomu zaměstnanci/jednotce byly současně svěřeny následující pravomoci:
    • schvalování transakcí s aktivy;
    • provádění transakcí s aktivy;
    • účetnictví/registrace transakcí;
    • kontrola správnosti, úplnosti a faktu transakce a zajištění bezpečnosti majetku.
  • Formalizace- ICS by mělo být formalizováno:
    • jsou popsána rizika a kontroly pro všechny významné obchodní procesy ovlivňující dosažení cílů společnosti;
    • výsledky kontrolních postupů jsou dokumentovány a uchovávány (primární dokumenty, zprávy, protokoly transakcí atd.);

3.2 Relevance a vývoj- veškerá dokumentace o vnitřním kontrolním systému (popis rizik, kontroly a další informace) musí být včas aktualizována a neustále vylepšována za účelem zvýšení efektivity řízení rizik. Vrcholové vedení vytváří podmínky pro neustálý rozvoj vnitřního kontrolního systému s přihlédnutím k potřebě řešit nové problémy vznikající v důsledku změn vnitřních i vnějších provozních podmínek. Základem organizace a fungování vnitřního kontrolního systému ve společnosti jsou tyto složky:

  • Kontrolní prostředí;
  • Odhad rizika;
  • Řízení;
  • Informace a komunikace;
  • monitorování ICS.

Podrobný popis součástí ICS je uveden v Příloze 1 těchto Zásad.

4. Subjekty vnitřní kontroly a jejich funkce

4.1 Vnitřní kontrolní systém společnosti je určen kombinací objektů a subjektů. Předmětem ICS jsou finanční a ekonomické činnosti divizí společnosti. Předměty vnitřní kontroly jsou stanoveny touto politikou a dalšími regulačními dokumenty Společnosti v oblasti vnitřní kontroly.

4.2 Stanoví se složení subjektů vnitřní kontroly Organizační struktura Společnost a zahrnuje:

  • představenstvo;
  • kontrolní výbor;
  • Generální ředitel;
  • Divize vnitřní kontroly;
  • Manažeři strukturální dělení a zaměstnanci Společnosti.

4.3 představenstvo- určuje obecné směry organizace vnitřního kontrolního systému ve společnosti, analyzuje celkovou účinnost a soulad vnitřního kontrolního systému s povahou, rozsahem a podmínkami činnosti společnosti v případě změn - zvažuje výsledky hodnocení účinnosti vnitřního kontrolního systému, identifikoval významné nedostatky a doporučil k jejich odstranění. Schvaluje politiku vnitřní kontroly a její změny.

Funkce a úkoly představenstva ve vztahu k vnitřnímu kontrolnímu systému jsou upraveny předpisy o představenstvu společnosti.

4.4 Revizní komise představenstva- hodnotí dodržování zásad vnitřní kontroly a řízení rizik a celkovou efektivitu vnitřního kontrolního systému ve společnosti (i na základě zpráv útvarů vnitřního auditu a vnitřní kontroly), dává doporučení ke zlepšení vnitřního kontrolního systému.

Funkce a úkoly výboru pro audit představenstva jsou upraveny příslušnými předpisy o výboru pro audit společnosti.

4.5 výkonný ředitel- odpovídá za organizaci a udržování fungování efektivního vnitřního kontrolního systému ve společnosti a sledování fungování vnitřního kontrolního systému, včetně:

  • určuje směry rozvoje a zlepšování vnitřního kontrolního systému ve společnosti;
  • schvaluje Předpisy o vnitřním kontrolním systému, Předpisy pro diagnostiku a zlepšování vnitřního kontrolního systému a další regulační dokumenty v oblasti vnitřních kontrolních systémů;
  • Prověřuje výsledky práce organizačního útvaru vnitřní kontroly, včetně výsledků diagnostiky vnitřního kontrolního systému;
  • Stanovuje odpovědnost za realizaci rozhodnutí vrcholového vedení v oblasti vnitřní kontroly;
  • Prověřuje a schvaluje akční plán k odstranění nedostatků ve vnitřním kontrolním systému.

4.6 Divize interního auditu- provádí nezávislé hodnocení účinnosti jednotlivých složek ICS, ICS kontrolovaných objektů a ICS společnosti jako celku a vypracovává doporučení ke zlepšení její spolehlivosti a efektivity, včetně:

  • Kontroluje soulad činnosti útvarů a zaměstnanců s regulačními dokumenty, které určují postup organizace a fungování vnitřního kontrolního systému;
  • Posuzuje soulad obsahu regulačních dokumentů upravujících organizaci a fungování vnitřního kontrolního systému s povahou a rozsahem činností Společnosti;
  • Identifikuje skutečnosti porušení, analyzuje důvody jejich výskytu a vypracovává doporučení pro zlepšení stávajících a/nebo zavedení nových kontrolních postupů, aby se předešlo opakování porušení;
  • Sleduje včasné a úplné odstranění zjištěných porušení a nedostatků;
  • Provádí kontrolu kvality diagnostického procesu vnitřního kontrolního systému ve Společnosti, kterou provádí vedení a zaměstnanci;
  • Doporučuje zlepšit vnitřní kontrolu.

4.7 Úkoly Vnitřní řídicí jednotky jsou:

Koordinace činností k formování a udržování účinnosti vnitřního kontrolního systému;

  • Metodická podpora vnitřních kontrolních systémů;
  • Organizace procesu diagnostiky SVC ve společnosti:
  • Příprava plánů rozvoje a zlepšování vnitřního kontrolního systému ve Společnosti;
  • Udržování a udržování aktuální infrastruktury ICS (registry rizik, kontrolní postupy a obchodní procesy);
  • Sledování plnění akčního plánu k odstranění nedostatků a zlepšení vnitřního kontrolního systému vč. kontrola kvality odstraňování nedostatků;
  • Informování všech účastníků ICS o změnách v přístupech, dokumentaci a dalších požadavcích v oblasti ICS;
  • Organizace přípravy programů školení personálu o organizaci a zlepšování vnitřního kontrolního systému.

Funkce, úkoly a pravomoci strukturálního útvaru pro koordinaci vnitřního kontrolního systému společnosti jsou definovány v příslušných předpisech.

4.8 Manažeři a zaměstnanci strukturálních divizí jsou odpovědní za vytváření, udržování a neustálé sledování vnitřního kontrolního systému v příslušných funkčních oblastech činnosti divizí v celé vertikále řízení a také provádějí kontrolní postupy v souladu se svými úředními povinnostmi, včetně:

  • včasná identifikace a analýza rizik ve finanční a ekonomické činnosti společnosti;
  • vývoj, formalizaci i následné provádění a zajišťování účinnosti a dostatečnosti kontrolních postupů v rámci jejich obchodních procesů;
  • aktualizace popisu vnitřního kontrolního systému a včasné informování útvaru vnitřní kontroly o změnách;
  • sledování fungování vnitřních kontrolních systémů, jakož i nezávislé hodnocení účinnosti jimi prováděných kontrolních postupů;
  • informování vedení o všech spáchaných nebo možných chybách/nedostatcích, které vedly nebo mohou vést k potenciálním negativním událostem;
  • absolvování školení v oblasti vnitřní kontroly a řízení rizik v souladu se schváleným školícím programem.

4.9 Společnost zajišťuje vytvoření efektivních kanálů pro výměnu informací, včetně vertikální i horizontální komunikace, s cílem vytvořit mezi všemi subjekty vnitřní kontroly porozumění normativním dokumentům přijatým v organizaci a fungování vnitřního kontrolního systému a zajistit jejich implementace.

4.10 Informace o fungování vnitřního kontrolního systému, o zjištěných nedostatcích a jiných významných okolnostech jsou poskytovány představenstvu, výboru pro audit představenstva, generálnímu řediteli, představenstvu nebo jiným orgánům v souladu se stávajícími právními požadavky a regulačními dokumenty Společnosti.

5. Role

5.1 Pro zajištění efektivního fungování vnitřního kontrolního systému jsou mezi manažery a ostatní zaměstnance Společnosti rozděleny tyto role:

  • Vlastník procesu/rizika
  • koordinátor ICS
  • Vykonavatel kontroly

5.2 Vlastník procesu/rizika- vedoucí jednotky/oddělení, který zodpovídá za:

  • pro efektivní fungování všech složek ICS ( viz komponenty ICS v příloze 1) z hlediska krytí rizik podnikatelské činnosti a sestavování účetní závěrky v rámci svých obchodních procesů/rizik;
  • za jmenování vykonavatelů kontroly a určení odpovědnosti za provádění těchto postupů v náplni práce příslušných zaměstnanců;
  • za zajištění výkonu a dokumentace kontrol vykonavateli kontroly v souladu s dokumentací o vnitřním kontrolním systému;
  • za zjišťování změn v procesech, rizikech nebo kontrolách, které vyžadují změny v dokumentaci ÚVT ao informování zaměstnanců Útvaru vnitřní kontroly / Koordinátora ÚK v příslušném oddělení;
  • za včasné schválení dokumentace o vnitřních kontrolních systémech (podrobný popis rizik, jednotné a přizpůsobené kontroly a další informace);
  • k odstranění nedostatků vnitřního kontrolního systému zjištěných v důsledku testování nebo monitorování.

5.3 Vykonavatel kontroly- zaměstnanec jakékoli úrovně, který je zodpovědný za:

  • za včasnou a kvalitní realizaci kontrolních postupů v souladu s dokumentací ÚVT;
  • za případné upozornění zástupce vykonavatele kontroly a pracovníka odboru vnitřní kontroly na nutnost provedení příslušného kontrolního řízení místo vykonavatele;
  • za včasné schválení dokumentace o vnitřním kontrolním systému (podrobný popis rizik, kontrol a dalších informací);
  • za provádění postupů pro sebehodnocení účinnosti vnitřního kontrolního systému;
  • za zjišťování změn v procesech, rizicích nebo kontrolách, které vyžadují změny v dokumentaci ICS a informování o tom vlastníka rizika/procesu, koordinátora ICS na příslušném oddělení a zaměstnanců útvaru vnitřní kontroly;
  • za odstranění nedostatků vnitřního kontrolního systému zjištěných v důsledku testování a monitorování.

5.4 koordinátor ICS Zaměstnanec v každém oddělení, který je zodpovědný za:

  • za organizaci a koordinaci procesu fungování vnitřního kontrolního systému v rámci příslušného útvaru;
  • za sledování kvality implementace a dokumentaci kontrolních postupů z hlediska kontrol prováděných na příslušném oddělení;
  • pro relevanci dokumentace o vnitřním kontrolním systému ve vztahu k příslušné strukturální jednotce;
  • za informování útvaru vnitřní kontroly o potřebě změny dokumentace ICS (změny v procesech, rizicích či kontrolách, včetně návrhu nového znění ohledně rizik, kontrol a dalších informací).

6. Požadavky a odpovědnosti při zajišťování účinnosti vnitřního kontrolního systému

6.1 Vnitřní kontrola je nedílnou součástí fungování jakékoli divize Společnosti.

6.2 Všichni zaměstnanci odpovídají za fungování a zajištění účinnosti vnitřního kontrolního systému Společnosti.

6.3 Vedení společnosti musí zaměstnancům sdělit, jak je důležité mít a zajistit efektivní fungování vnitřního kontrolního systému a také roli každého zaměstnance v tomto systému, včetně následujících základních požadavků:

  • Žádný zaměstnanec, přímo ani nepřímo, nesmí dovolit ani způsobit úmyslné falšování účetních, manažerských nebo jiných údajů vykazování.
  • Účetní údaje nelze měnit, je-li známo, že tyto změny mohou narušit podstatu příslušných transakcí.
  • Žádné částky/účty/transakce nesmí být skryty za účelem podhodnocení.
  • Všichni zaměstnanci Společnosti jsou povinni chránit majetek Společnosti a zajistit jeho efektivní využití.

6.4 Pokud má zaměstnanec Společnosti informace o nedostatcích nebo neefektivnosti vnitřních kontrolních postupů, musí to neprodleně oznámit svému přímému nadřízenému, dále vedoucím útvarů vnitřní kontroly a interního auditu.

6.5 Pokud zaměstnanec úmyslně nedodržuje tyto Zásady a nedodržuje kontrolní postupy, za které je odpovědný, bude vůči tomuto zaměstnanci uplatněno disciplinární opatření až do propuštění včetně propuštění v souladu s požadavky aktuální legislativy.

7. Sledování účinnosti vnitřního kontrolního systému

7.1 Účelem monitorování je vyhodnotit účinnost vnitřního kontrolního systému Společnosti, včetně jeho schopnosti zajistit plnění svých cílů a záměrů, a také zjišťovat závažnost nedostatků systému.

7.2 Sledování systému vnitřní kontroly účetního výkaznictví zahrnuje:

  • provádění neustálého sledování provádění kontrolních postupů vedením divizí v jim podřízených divizích;
  • Provedení sebehodnocení vnitřního kontrolního systému ve Společnosti;
  • provádění pravidelných kontrol provádění kontrolních postupů a kontrol souladu operací s právními požadavky a ustanoveními regulačních dokumentů organizace útvarem interního auditu;
  • posouzení účinnosti vnitřního kontrolního systému v procesu sestavování účetní závěrky externím auditorem
  • včasné sdělování informací o zjištěných nedostatcích v systému vnitřní kontroly nad účetním výkaznictvím zainteresovaným stranám v rámci vertikály řízení.

7.3 Sebehodnocení účinnosti vnitřního kontrolního systému (dále jen sebehodnocení vnitřního kontrolního systému) provádějí přímo subjekty vnitřního kontrolního systému:

  • Distribuce dotazníků - slouží ke sběru informací o efektivitě vnitřního kontrolního systému a změnách v podnikových procesech od zaměstnanců a vedoucích pracovníků útvarů Společnosti.
  • Sledování stavu vnitřního kontrolního systému je proces kontroly úplnosti, včasnosti implementace a správnosti dokumentace kontrolního systému.
  • Posuzování účinnosti kontrolních postupů - analýza účinnosti popisu a provádění kontroly, dále analýza dostatečnosti kontrolních postupů (posouzení, do jaké míry může kontrola za předpokladu jejího efektivního provádění účinně snižovat rizika spojená s tím).

7.4 Pravidelné hodnocení ICS pomáhá zlepšit jeho účinnost tím, že:

  • včasná identifikace změn v obchodních procesech, návrhu nebo fázích kontrolních postupů;
  • zvýšení motivace Kontrolorů a jejich Manažerů přímou účastí na zlepšování vnitřního kontrolního systému a neustálým sledováním kvality implementace kontrol;
  • poskytování informační základny vedení společnosti k potvrzení účinnosti vnitřního kontrolního systému.

7.5 Výsledky hodnocení ICS musí být zdokumentovány a předloženy vedení společnosti a výboru pro audit představenstva:

  • Útvar vnitřního auditu zpracovává zprávu na základě výsledků hodnocení vnitřního kontrolního systému;
  • Externí auditor připraví dopis vedení o významných nedostatcích zjištěných na základě výsledků externího nezávislého posouzení vnitřního kontrolního systému;
  • Úsek vnitřní kontroly zpracovává zprávu na základě výsledků sebehodnocení vnitřního kontrolního systému provedeného strukturálními útvary společnosti.

8. Provádění dodatků a změn zásad

8.1 Při změnách a doplňování legislativních aktů, regulatorních požadavků a regulatorních dokumentů Společnosti upravujících fungování vnitřního kontrolního systému lze změny a doplňky této Politiky provádět pouze řádně vykonanými rozhodnutími představenstva Společnosti. Představenstvo Společnosti může rovněž rozhodnout o schválení nové verze Zásad.

Příloha 1. Komponenty ICS podle metodiky COSO

Vnitřní kontrola se podle COSO Internal Control-Integrated Framework skládá z pěti vzájemně propojených složek, které vycházejí ze způsobu, jakým je podnik veden, a jsou spojeny s procesem jeho řízení. Mezi pět složek patří:

Kontrolní médium: Kontrolní prostředí vytváří v organizaci atmosféru, která ovlivňuje povědomí zaměstnanců o důležitosti provádění kontrol. Je základem pro všechny ostatní složky vnitřní kontroly, zajišťuje pořádek a disciplínu. Mezi faktory kontrolního prostředí patří integrita, etické hodnoty, styl řízení, rozdělení pravomocí a odpovědností, stejně jako procesy řízení a rozvoje zaměstnanců organizace. Efektivita kontrolního prostředí závisí také na pozornosti, kterou této problematice věnuje představenstvo.

Odhad rizika: Každá organizace čelí různým externím a interním rizikům, která je třeba vyhodnotit. Předpokladem pro hodnocení rizik je definice cílů, proto hodnocení rizik zahrnuje identifikaci a analýzu relevantních rizik spojených s dosažením stanovených cílů. Hodnocení rizik je nutná podmínkařízení rizik.

Řízení: Kontroly jsou zásady a postupy, které zajišťují provádění rozhodnutí vedení. Pomáhají zajistit, aby byla přijata nezbytná opatření proti rizikům, která mohou organizaci bránit v dosažení jejích cílů. Kontroly jsou implementovány v celé organizaci, na všech úrovních a napříč všemi funkcemi. Zahrnují řadu činností, jako jsou schvalování, povolování, inspekce, odsouhlasení, zprávy o probíhajících činnostech, uchování majetku a oddělení povinností.

Informace a komunikace: Všechny potřebné informace musí být identifikovány, formulovány a neprodleně sděleny příslušným zaměstnancům, aby bylo zajištěno, že budou schopni plně vykonávat své pracovní povinnosti. Informační systémy také hrají důležitou roli ve vnitřní kontrole, protože obsahují finanční, provozní a compliance informace, které pomáhají řídit a kontrolovat podnikání. Nejde jen o šíření vnitrofiremních informací, ale důležité je i informování zaměstnanců o vnějších událostech a činnostech, které jsou nutné k přijímání různých rozhodnutí. Efektivní komunikace v širším slova smyslu musí zajistit toky informací dolů a nahoru a mezi odděleními v celé organizaci. Je důležité, aby zaměstnanci společnosti dostali od vrcholového vedení jasně formulované stanovisko o důležitosti plnění svých povinností v oblasti vnitřní kontroly. Je také důležité, aby každý zaměstnanec jasně chápal svou roli ve vnitřním kontrolním systému a jak výsledek jeho práce souvisí s činností ostatních zaměstnanců. Personál si musí být vědom nutnosti sdělovat všechny důležité informace vedení společnosti. Efektivní komunikace o záležitostech souvisejících se zájmy společnosti musí být zajištěna také s externími stranami, například zákazníky, dodavateli, regulátory a akcionáři.

Sledování: Vnitřní kontrolní systém vyžaduje monitorování – proces periodického hodnocení kvality jeho práce. Toho je dosaženo neustálým sledováním kvality provádění určitých operací, samostatnými kontrolami pro posouzení účinnosti konkrétního procesu nebo kombinací těchto dvou možností. Nepřetržitý monitoring je prováděn na denní bázi vč. činnosti pro řízení a řízení příslušných procesů, jakož i další činnosti v rámci personálního výkonu jejich povinností. Rozsah a četnost jednotlivých auditů závisí na úrovni hodnocení příslušných rizik a také na výsledcích průběžného monitorování těchto operací. Na nedostatky vnitřní kontroly zjištěné během monitorování by mělo být upozorněno vedení a nejvýznamnější zjištění by měla být sdělena vrcholovému vedení a představenstvu.

Úzký vztah těchto komponent zajišťuje vytvoření integrovaného systému, který je schopen rychle reagovat na vznikající výzvy. Vnitřní kontrolní systém je nedílnou součástí provozní činnosti. Nejúčinnější systém vnitřní kontroly je, pokud jsou kontroly zabudovány do infrastruktury organizace a jsou součástí její podstaty. Vestavěné ovládací prvky zvyšují kvalitu a efektivitu činností a také pomáhají vyhnout se dodatečným nákladům a umožňují rychleji reagovat na určité události.


„COSO – Výbor sponzorských organizací Treadway Commission, USA“

Výbor sponzorských organizací komise Treadway(Angličtina) The Výbor z Sponzorování Organizace z a Chodník Komise, COSO) je dobrovolná, soukromá organizace se sídlem ve Spojených státech amerických a navržená tak, aby poskytovala vhodné rady firemnímu managementu ohledně kritických aspektů organizačního řízení, obchodní etiky, finančního výkaznictví, vnitřních kontrol, řízení podnikových rizik a boje proti podvodům.



Doporučujeme
Jak Ural vytvořil svůj tankový sbor
Flash disk: typy, hlavní vlastnosti
Způsoby přípravy čerstvé papriky
Metody vaření krůt