Проект по разработке и внедрению эффективной системы внутреннего контроля предусматривает следующие этапы работ:
оценка объема проекта и планирование работ;
определение существенных счетов компании (материальных и нематериальных);
установление бизнес-процессов компании, важных с точки зрения существенных счетов;
описание структуры выделенных процессов;
определение рисков и их предварительное ранжирование;
проведение оценки наиболее существенных рисков и их ранжирование;
описание/разработка системы внутреннего контроля;
проведение первичной оценки эффективности систем внутреннего контроля;
настройка системы тестов и процедур для проведения периодического тестирования системы внутреннего контроля и формирования рекомендаций по их улучшению.
Рассмотрим более подробно каждый из указанных этапов.
На первом этапе необходимо четко определить границы выстраиваемой системы внутреннего контроля в соответствии с их предполагаемым объемом и степенью надежности. Под объемом понимается количество существующих в компании направлений деятельности и, следовательно, подразделений и финансовых документов, которые подпадут под действие системы. Степень надежности определяется через индикаторы существенности, задающие уровень финансовых рисков, которые должны стать предметом контроля. Исходя из этих двух измерений устанавливаются предполагаемый объем работ, состав проектной группы, график выполнения проекта.
Состав проектной группы и процедуры работы должны быть подобраны таким образом, чтобы обеспечить выполнение следующих важных условий проекта:
единство методов построения и оценки системы внутреннего контроля по всем подразделениям и филиалам компании;
формирование единой концепции и разработка целостной ролевой модели управления соответствиями;
достижение заданного уровня проработки системы внутреннего контроля в каждом подразделении и филиале с учетом ее общей экономической эффективности;
создание условий для информирования и коммуникации всех заинтересованных лиц;
эффективное обучение и передача знаний всем сотрудникам, которые будут вовлечены в функционирование системы внутреннего контроля;
реализация процедур управления проектом и эскалации решений (под эскалацией понимается изменение уровня и правил принятия решений в случае, если решение не может быть принято по заранее установленной процедуре заранее определенным составом ответственных лиц).
Следующей задачей, решаемой в проекте, является определение существенных счетов. Все счета компании, связанные с движением денежных средств, а также материальных и нематериальных активов, оцениваются на предмет значимости их объемов с точки зрения индекса существенности (как процент от оборота компании или другого финансового показателя). Индекс существенности может быть рассчитан на основе не только количественных, но и качественных показателей. Список отобранных таким образом счетов будет определять объем дальнейших работ по развертыванию системы внутреннего контроля. Следует понимать, что при большом числе существенных счетов система контроля будет достаточно громоздкой и дорогостоящей, тогда как при недостаточном количестве организация получит отрицательный результат при аудите.
Далее необходимо определить, какие процессы компании связаны с формированием отобранных существенных счетов. Для решения этой задачи целесообразно предварительно составить архитектуру процессов организации, содержащую полный набор как основных, так и вспомогательных и управляющих бизнес-процессов. За основу можно взять эталонную 13-процессную модель или соответствующую отраслевую модель деятельности.
Отобранные процессы подвергаются более детальному рассмотрению, позволяющему выявить правила работы с существенными счетами и сформировать представление о методах контроля за формированием финансовых документов. Анализ деятельности компании с точки зрения процессов играет существенную роль при построении системы внутреннего контроля. Такой подход обеспечивает контроль объема работ по документированию деятельности, при этом проводится описание только тех процессов компании, ее подразделений и филиалов, которые являются существенными с точки зрения выполняемого проекта.
Проведя детальное моделирование процессов, компания получает возможность определить, какие операции связаны с обработкой существенных счетов, как эти операции встроены в процесс и какие меры контроля применяются или могут быть применены для снижения финансовых рисков. Это также делает возможным провести точечную идентификацию всех рисков, связанных с формированием финансовых документов.
Помимо бизнес-процессов необходимо уделять внимание информационным системам, которые поддерживают выбранные процессы, поскольку в рамках их работы могут возникнуть ошибки, влияющие на достоверность финансовой отчетности.
Выявленные риски должны быть подвержены определенной оценке. Это необходимо для выявления наиболее существенных рисков, для которых и будет разработана система внутреннего контроля. Такой подход позволяет гарантировать внедрение эффективной системы управления. Каждый риск оценивается по двум параметрам - периодичность возникновения и объемы потерь на каждый случай. Оценка может быть как количественной, так и качественной. В случае качественной оценки доли каждого параметра используется шкала из 3-4 значений, что определяет от 9 до 16 зон градаций существенности риска. По результатам проведенной оценки осуществляется ранжирование всех выявленных рисков - либо по оцененному объему убытков (при количественной оценке), либо по отнесению к зонам существенности (в случае качественной оценки). Важна также классификация рисков с точки зрения преднамеренности приводящих к ним действий, что дает дополнительную информацию для определения существенности риска.
Следующий этап работ подразумевает определение контрольных действий в бизнес-процессах, направленных на минимизацию рисков, которые связаны с существенными счетами (через контроль правильности формирования соответствующих финансовых документов). При этом основное внимание уделяется документированию контрольных действий, хотя можно сразу дополнять или видоизменять их, если эксперты видят в этом целесообразность и обоснованность. Результатом работ должно стать полное документирование контрольных действий, включая название контроля, его детальное описание (цели, последовательность действий, периодичность, исходные документы, ответственное лицо), а также ссылка на реестр или документ (если таковые имеются), в котором фиксируется факт и результат проведения обозначенных контрольных действий.
После документирования всех контрольных действий необходимо провести их первичную оценку на предмет эффективности. Данная работа выполняется экспертами на основе всей созданной в ходе проекта документации и при необходимости с использованием рабочих документов, в отношении которых осуществляется контроль. По результатам оценки формируется отчет о качестве каждого контрольного действия. Качество подразумевает способность контроля выявлять ошибки и искажения информации, а также эффективность самих действий по выявлению и устранению этих ошибок. Качество контроля кодируется при помощи системы обозначений, что позволяет легко отбирать неэффективные контрольные действия и проводить общую оценку системы внутреннего контроля.
Для всех некачественных контрольных действий должны быть разработаны рекомендации по улучшению, по результатам реализации которых вносятся изменения в документацию по системе внутреннего контроля.
Далее наступает в некотором смысле ответственный момент, когда необходимо внедрить систему тестов и процедур, направленную на периодическое тестирование качества внутреннего контроля и его корректировку. Система должна действовать на постоянной основе, обеспечивая постоянную оценку и актуализацию, а также документирование контрольных действий для целей внешнего и внутреннего аудита.
Инструментарием, способным поддержать как проект по разработке системы внутреннего контроля, так и оперативную работу по ее тестированию и документированию, являются решения ARIS Process Risk Scout и ARIS Audit Manager. Эти решения, с одной стороны, обеспечивают удобный интерфейс и надежную базу для документирования контрольных действий, а с другой - позволяют упростить работу, связанную с проведением тестов, фиксацией результатов, уведомлением и формированием периодической отчетности для целей внешнего и внутреннего аудита.
Все элементы системы внутреннего контроля моделируются в графическом виде и хранятся в единой базе знаний, позволяющей получить целостную картину по организационной структуре, процессам, существенным счетам, контролю, рискам и соответствующим им атрибутам. Созданные модели являются основой для автоматической настройки системы тестов, результаты которых также фиксируются, что обеспечивает управление процедурами их эскалации и получение всесторонней документации по всей системе внутреннего контроля.
Используя ARIS SOx Audit Manager, предприятие может добиться соответствия всем требованиям закона Sarbanes-Oxley и внедрить высококачественную систему внутреннего контроля. |