Законодательное регулирование

Л.В. Костикова, ОАО «БИНБАНК», руководитель центра внутреннего контроля департамента внутреннего контроля и аудита, член Института внутренних аудиторов
Н.Е. Цангль, руководитель службы внутреннего аудита ОАО «ТрансФин-М», заместитель директора Банковского института НИУ Вшэ, руководитель финансовой секции Института внутренних аудиторов, к.э.н.

В срок до 1 октября 2014 года кредитные организации обязаны привести свои учредительные и внутренние документы в соответствие с новой редакцией Положения Банка России № 242-П. Новая трактовка понятий «внутренний контроль» и «внутренний аудит», организационные требования, цели и задачи служб внутреннего контроля и внутреннего аудита все больше приближают форму их функционирования к концепции «три линии защиты», соответствующей международным стандартам.

А.С. Яковенко, НТЦ «ОРИОН», консультант по вопросам в области ПОД/ФТ

В один из основных комплексов мероприятий «антиотмывочного» законодательства - идентификацию клиентов, их представителей, выгодоприобретателей, бенефициарных владельцев - в 2014 году внесены значительные изменения. В каких случаях проводится упрощенная идентификация? Каковы способы и порядок ее проведения при предоставлении клиенту - физическому лицу электронного средства платежа? В какие сроки кредитная организация должна обновлять сведения, полученные в результате идентификации, и пересматривать уровень риска? Какие меры должна содержать программа идентификации, самостоятельно разработанная банком?

Банковский надзор

Д.Н. Козлов, ОАО Банк ЗЕНИТ, департамент рисков, начальник управления операционных рисков и контроля, доцент, к.т.н.
Ю.Н. Юденков, МГУ имени М.В. Ломоносова, факультет политологии, доцент, к.э.н.

Система внутреннего контроля в кредитной организации функционирует в первую очередь в соответствии с требованиями Банка России и лишь потом - в соответствии с рекомендациями корпоративного управления. Нормотворчество методологов Банка России - процесс непрерывный и ускоряющийся. В новой редакции Положения № 242-П используется много новых терминов, но не объясняются их сущность и процедуры внедрения, в частности термин «регуляторный риск». Разберемся с этим объектом контроля.

Т.А. Цыпурко, ГПБ (ОАО), департамент внутреннего контроля, директор управления методологии и развития

Несмотря на то что российский регулятор предписывает кредитным организациям обязательное проведение оценки системы внутреннего контроля, единой методики такой оценки (что оценивать, зачем, в какие сроки) не существует. Банк России рекомендует применять систему показателей, характеризующих качество системы органов и направлений внутреннего контроля, а также критерии, приведенные в новой редакции Положения № 242-П. С одной стороны, регулятор предлагает механизм, который кредитная организация может применить самостоятельно, с другой - он пока не может заставить участников оценки давать честные ответы на адресованные им вопросы.

Контроль потенциальных потерь

А.Л. Поспелов, Банк России, начальник управления Главного управления безопасности и защиты информации
П.В. Ревенков, Банк России, начальник отдела Главного управления безопасности и защиты информации, д.э.н.

Если в следующие пять лет пользователей дистанционного банковского обслуживания станет вдвое больше, какие риски грозят банкам по причине такого возрастания технической составляющей? Какие проблемы связаны с недостатками в обеспечении информационной безопасности в банках? Это и расширение профиля операционного риска, и неподготовленность сотрудников в вопросах обеспечения информационной безопасности в условиях дистанционного обслуживания, и другие факторы.

Е.В. Старостина, PwC, младший менеджер направления «Информационная безопасность»
В.Г. Наймарк, PwC, руководитель службы информационной безопасности региона Центральной и Восточной Европы

PC World называет BYOD самым ужасающим акронимом для IT-специалистов. Но корпоративные стандарты, похоже, все-таки проигрывают битву принципу «все свое ношу с собой». Насколько данная технология применима в банках? Каковы достоинства и недостатки BYOD? На что нужно обратить внимание IT-специалистам, службе внутреннего аудита и СВК, если принято решение внедрять данную технологию? Как минимизировать риски мошенничества и сохранять информационную безопасность банка при BYOD?

М.П. Бурдонова, АКБ «РосЕвроБанк» (ОАО), начальник управления нефинансовых рисков

Одной из эффективных стратегий построения интегрированной системы управления рисками является модель трех линий защиты, которая подразумевает вовлечение в процесс управления рисками персонал разного профиля, в том числе представителей служб внутреннего контроля и внутреннего аудита. Первую линию защиты представляют подразделения, которые генерируют риски в процессе деятельности. Для эффективного функционирования первой линии защиты необходимы инструменты адекватного управления уровнем принимаемых рисков и риск-взвешенная система мотивации.

Регламентация процессов и процедур

Н.С. Андреева, ОАО «Открытие Холдинг», глава внутреннего аудита

По мнению автора статьи1, СВК находилась на стыке второго и третьего уровня контроля, а иногда их совмещала или замещала. Теперь перед банками стоит задача разделить функционал между двумя службами - внутреннего контроля и внутреннего аудита. На ее решение направлены изменения, внесенные в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах». Какими будут подходы к организации системы контроля в банках и какими документами будет регламентирована деятельность двух контрольных служб?

О.Ю. Кашанова, Внешэкономбанк, заместитель начальника управления внешних проверок службы внутреннего контроля, аттестованный аудитор, к.э.н.

Открытие счета клиенту является одной из важнейших и своего рода уникальной услугой банка, и к различным аспектам внутреннего контроля открытия, закрытия и порядка ведения счетов клиентов, внутрибанковских и внебалансовых счетов сегодня проявляется особый интерес. Вопросы открытия и закрытия счетов четко регламентированы Банком России. Это упрощает деятельность контрольных служб кредитных организаций, но требует тщательного выявления несоответствий нормативным требованиям.

Комплаенс-контроль

Д.В. Чистов, КПМГ в России и СНГ, руководитель группы по системам комплаенс и ПОД/ФТ, директор

Какие подразделения банка должны входить в состав рабочей группы по FATCA? Удачным решением автор считает лидирующую роль службы комплаенса в подготовке банка к применению требований FATCA. Это созвучно и последним изменениям, внесенным в Положение Банка России об организации внутреннего контроля в кредитных организациях. Включение в службу комплаенс специалистов ПОД/ФТ и других областей, знающих банковские процессы и продукты, поможет банку провести работу по внедрению требований закона США на должном уровне и избежать претензий со стороны IRS или FATCA-аудитора.

В.В. Березанский, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, глава практики комплаенса
А.А. Килячков, компания EY, аудиторские услуги, расследование мошенничества и содействие в спорных ситуациях, менеджер

Казалось бы, чем может грозить антикоррупционный закон США компании, если она не эмитент и не резидент этой страны? Однако закон имеет экстерриториальный характер, и даже компании, которые не являются местными эмитентами или резидентами, могут попасть под юрисдикцию FCPA и понести ответственность, если они напрямую или через агента осуществляют любые действия на территории Соединенных Штатов, связанные с коррупционным платежом. Весьма поучительные примеры - известное дело Штрауба и не менее известное дело Штеффена.

М.А. Шалимова, Инвестиционный банк «Открытие Капитал», начальник управле- ния комплаенс, Международная ассоциация по комплаенсу (ICA), директор по развитию и сотрудничеству

Почему международный санкционный комплаенс становится существенным звеном в работе комплаенс-подразделения? Достаточно проанализировать режим международных санкций, установленных США и ЕС, чтобы ответить на этот вопрос. Требования режима носят экстратерриториальный характер, поэтому международный санкционный комплаенс необходим при взаимодействии с иностранными регуляторами, потенциальными международными инвесторами, контрагентами и другими международными стейкхолдерами, чтобы минимизировать репутационные и финансовые риски.

5. Координация работы всех департаментов в управлении своими рисками.

7. Контроль соблюдения стандартов минимизации рисков.

Ключевые цели и задачи

Схема 1. Процедуры (компоненты), с помощью которых банк управляет своими операционными рисками

Под операционными рисками понимаются риски банка, влекущие прямые и (или) косвенные потери (в т. ч. простои ресурсов) по следующим причинам, или под воздействием следующих факторов:

Случайные или преднамеренные действия физических и (или) юридических лиц, в том числе с участием сотрудников банка;

Несовершенство бизнес-процессов, в т. ч. организационной структуры банка в части распределения полномочий подразделений и служащих, порядка и процедур совершения банковских и других операций и сделок, их документирования и отражения в учете, несоблюдение служащими установленных порядка и процедур, неэффективность внутреннего контроля;

Сбои в функционировании систем и оборудования;

Неблагоприятные внешние обстоятельства, находящиеся вне контроля банка (в т. ч. изменения законодательства, рыночной конъюнктуры, стихийных бедствий, других форс-мажорных обстоятельств).

Под инцидентом понимается любое событие, связанное с операционными рисками, которое может повлечь ущерб для банка (материальный, имиджевый, и т. д.). Общая классификация инцидентов приведена в Приложении 1. Для целей учета различают значимые и незначимые инциденты.

Значимыми инцидентамибанк, например, признает все инциденты, связанные со злоумышленными действиями, и иные инциденты с потенциально возможной или фактически наступившей суммой убытка более 10 тысяч рублей . Значимые инциденты подлежат детальному учету (подробнее см. в разделе 6.1 «Эффективная работа с инцидентами»). К незначимым инцидентам, в таком случае, относятся иные инциденты (с меньшей суммой убытка).

Для целей анализа рисков и инцидентов (в т. ч. для расчета размера операционного риска) каждый идентифицированный риск, инцидент, убыток или проблема, обусловливающая риск, должны быть классифицированы по следующему списку критериев (список может быть расширен в рабочем порядке комитетом по рискам (см. п. 4.2.1):

3.3.1. По типу риска:

1. Риски техногенного, природного, социального характера.

2. Риски сбоев техники, программ, простоев.

3. Риски нарушений прав сотрудников, условий труда, конфликтов.

4. Риски ошибок в процессе обслуживания клиента или контрагента.

5. Риски ошибок внутреннего процесса, не связанного с обслуживанием клиента или контрагента.

6. Риски мошенничества и злоупотреблений с участием сотрудников банка.

7. Риски мошенничества и злоупотреблений с участием третьих лиц.

Эти типы рисков детализированы в Приложении 1.

3.3.2. По значимости:

1. Экстремальный (символьное обозначение AAA, красная зона).

2. Критичный (AA, красная зона).

3. Высокий (A, красная зона).

4. Средний (BB, желтая зона).

5. Низкий (B, желтая зона).

6. Допустимый (C, зеленая зона).

Эта шкала риска детализирована в Приложениях 2.1 и 2.2.

3.3.3. По бизнес-линии:

1. Банкинг физических лиц.

2. Банкинг юридических лиц.

3. Платежи и расчеты лиц, не являющихся клиентами банка.

4. Агентские услуги.

5. Биржевая и внебиржевая торговля.

6. Финансирование корпораций.

7. Управление активами.

8. Брокерские услуги.

Эти бизнес-линии детализированы в Приложении 3.

Могут использоваться и иные классификации риска.

Для управления операционными рисками в банке существуют три линии защиты :

1-я линия защиты – все подразделения банка, которые работают с операционными рисками на месте его возникновения.

Выделяют три вида ответственных:

Риск-координаторы (начальники департаментов и назначенные лица);

Эксперты по инцидентам;

Регистраторы (все сотрудники подразделения).

2-я линия защиты – субъекты, которые координируют в целом всю систему управления операционными рисками:

Комитет по рискам или иной комитет, наделенный соответствующими полномочиями (далее – комитет по рискам);

3-я линия защиты – подразделение внутреннего аудита (далее – подразделение по аудиту), которое осуществляет независимый аудит системы управления операционными рисками. Ответственные – аудиторы.

Визуальная схема субъектов, управляющих операционными рисками, и их задач представлена на схеме 2.

Субъекты, управляющие операционными рисками

Схема 2. Схема субъектов, управляющих операционными рисками банка, и их задач

Первая «линия защиты» включает в себя процесс управления операционными рисками на уровне каждого подразделения банка, его процессов, средств и ресурсов (децентрализованный подход).

В рамках первой линии защиты в подразделениях банка операционными рисками управляют:

Риск-координаторы;

Эксперты по инцидентам;

Регистраторы.

Перечисленные субъекты, безусловно, имеются во всех департаментах банка , так как каждый департамент в текущем состоянии уже производит разбирательства с инцидентами, проводит методологические и технологические улучшения своих процессов, обеспечивает взаимозаменяемость сотрудников (в рамках непрерывности деятельности) и т. д.

Если эти субъекты департаментов не оформлены должным образом , то риск-менеджеры оказывают помощь этому подразделению для соответствующего их оформления и обучения.

4.1.1. Риск-координаторы.

4.1.1.1. Риск-координаторы – это сотрудники, которые отвечают за организацию управления операционными рисками конкретного департамента и региональных сотрудников . Риск-координаторами являются руководитель департамента и сотрудники, назначаемые им для выполнения обязанностей риск-координатора .

4.1.1.2. Обязанность риск-координатора – организовать и контролировать выполнение сотрудниками своего департамента и региональными сотрудниками следующих риск-процедур:

1. Эффективная работа с инцидентами.

2. Выявление рисков и их устранение.

3. Система раннего предупреждения рисков.

4. Обеспечение непрерывности деятельности.

5. Координация работы всех департаментов в управлении рисками.

6. Система отчетов и прогнозов, поддержание базы рисков.

МОДЕЛЬ «ТРЕХ ЛИНИЙ ЗАЩИТЫ»

Модель улучшает понимание управления рисками и контроля с помощью разделения ролей и обязанностей. Ее основополагающая предпосылка заключается в том, что для эффективного управления рисками и контроля необходим надзор и управление высшего руководства и совета директоров в рамках трех отдельных групп (или линий защиты) в пределах организации (см.рис.18). Обязанности каждой из групп (или "линий") следующие:

• 1. владение и управление рисками и контролем (первая линия - операционное руководство).
• 2. отслеживание рисков и работы системы контроля в целях поддержки менеджмента (функции по управлению рисками, осуществлению контроля и обеспечению нормативно-правового соответствия, определенные менеджментом).
• 3. обеспечение независимого подтверждения совету и высшему руководству эффективности управления рисками и системы контроля (внутренний аудит).

Рисунок 18. Взаимосвязь между целями, концепцией и моделью

Каждая из трех линий играет важную роль в определении концептуальных основ управления организацией. Если каждая из трех линий будет выполнять свою роль эффективно, то это повышает вероятность успешного достижения организацией своих целей.

Каждый человек в организации несет ответственность в рамках внутреннего контроля, но чтобы гарантировать надлежащее исполнение ключевых обязанностей, Модель вносит ясность в определение конкретных ролей и обязанностей. Если организация надлежащим образом построит структуру трех линий, и они будут эффективно работать, то это обеспечит отсутствие уязвимых мест и ненужного дублирования действий, а также гарантирует эффективное управления рисками и контроль. Совет директоров сможет получать объективную информацию о наиболее серьезных рисках организации - и о том, как менеджмент минимизирует такие риски.

Модель предусматривает гибкую структуру, которая может использоваться в дополнение к Концептуальным основам. Подразделения каждой линии защиты будут отличаться от организации к организации, а некоторые подразделения могут быть объединены или разделены по линиям защиты (см.рис.19). Например, в некоторых организациях подразделения по обеспечению нормативно-правового соответствия во второй линии могут быть вовлечены в разработку средств контроля для первой линии, в то время как другие составляющие второй линии сфокусированы, в основном, на отслеживании работы таких средств контроля.

Реализация принципов внутреннего контроля (от 1 до 17), изложенному в концептуальных основах COSO, для каждой линии защиты отражены в Приложении 5 настоящего издания.

Рисунок 19. Модель грех линий защиты 1 .

1 Три линии защиты в рамках эффективного правления рисками и контроля. Институт внутренних аудиторов, 2013.

Независимо от структуры трех линий защиты, созданной конкретной организацией, существует несколько основных принципов, используемых в Модели:

• 1. Первая линия защиты возлагается на собственников бизнес- процессов, деятельность которых создает и/или регулирует риски, которые могут способствовать либо препятствовать достижению целей организации. Она включает выявление правильных рисков. Первая линия владеет рисками, и отвечает за разработку и использование средств контроля организации для управления такими рисками.
• 2. Вторая линия предусмотрена для оказания поддержки руководству посредством консультирования, совершенствования процессов и отслеживания эффективности управления, наряду с первой линией, в целях обеспечения эффективного управления рисками и контроля. Подразделения второй линии защиты отделены от первой линии защиты, но находятся под контролем и управлением высшего руководства и обычно выполняют некоторые управленческие функции. Вторая линия неотъемлема для выполнения функции управления и/или надзора в отношении многих аспектов управления рисками.
• 3. Третья линия обеспечивает подтверждение высшему руководству и совету относительно того, насколько усилия первой и второй линии соответствуют ожиданиям совета директоров и высшего руководства. Третья линия защиты обычно не может выполнять управленческие функции в целях защиты ее объективности и организационной независимости. Кроме того, третья линия отчитывается непосредственно перед советом. Как таковая, третья линия не выполняет управленческих функций, что отделяет ее от второй линии защиты.

Цель любой организации - достижение ее целей. Реализация таких целей включает использование возможностей, стремление к росту, принятие рисков и управление ими - все для развития организации. Неспособность принимать соответствующие риски, надлежащим образом управлять ими и контролировать может препятствовать достижению целей организации. Между двумя направлениями деятельности «создать ценность предприятия» и «сохранить ценность предприятия» существует и всегда будет существовать противоречия. Концептуальные основы предусматривают создание структуры для оценки риска и контроля для обеспечения их надлежащего регулирования и управления. Модель содержит руководство по созданию организационной структуры, распределению ролей и обязанностей между сторонами, что повысит эффективность управления рисками и контроля.

От организации службы внутреннего контроля во многом зависит эффективность бизнес-процессов предприятия, так как она не только проверяет достоверность бухгалтерских данных, но и позволяет минимизировать риски компании.

Учет по МСФО должен подвергаться оценке со стороны внутренних контролеров, ведь с помощью достоверных данных можно добиться поставленных менеджментом компании целей, например, выйти на IPO, привлечь инвестиции и т. д. Рассмотрим особенности организации внутреннего контроля на предприятии с помощью данной статьи.

Важность внутреннего контроля трудно переоценить, так как зачастую на основе уже проведенных процедур внутреннего контроля (или аудита) проводится и внешний аудит, результаты которого предоставляются внешним пользователям отчетности.

Зарубежный опыт организации системы внутреннего контроля

Широкое распространение и популярность получила так называемая модель трех линий защиты внутреннего контроля (см.рис.). Идея этой модели состоит в том, что система внутреннего контроля на предприятии может быть организована по-разному, в зависимости от стадии его развития.

В России подход трех линий защиты при построении системы внутреннего контроля пока только получает свое распространение. В настоящее время должного внимания организации службы внутреннего контроля не уделяется, особенно в средних компаниях. Служба внутреннего контроля скорее ассоциируется с проверкой наличия и использования активов, ликвидацией задолженности, а также с проверкой качества бухгалтерской (финансовой) отчетности и оптимизацией налогов и сборов. На наш взгляд, такой формат организации службы внутреннего контроля нуждается в пересмотре, так как понятие внутреннего контроля более обширное и включает в себя анализ и оценку операционной эффективности предприятия, а также оценку качества управления рисками.

При организации службы внутреннего контроля на предприятии следует также учитывать стандарты COSO «ERM» (действующий до этого стандарт COSO отличается от COSO «ERM» направленностью последнего на управление рисками компании и повышение достоверности отчетности). Coso - это частная организация в США, созданная с целью разработки рекомендаций для управленческого персонала организаций в части внутреннего контроля, управления рисками, устранения случаев мошенничества с финансовой отчетностью и т. д. Ценность разработки модели внутреннего контроля данной организации заключается в том, что, сравнивая свои данные с ней, организации смогут оценить собственную систему внутреннего контроля.

Особенности организации эффективной службы внутреннего контроля

Есть и трудности, с которыми могут столкнуться компании при постановке службы внутреннего контроля на предприятии, в частности, это:

• неполный или частичный доступ к необходимой информации;
• недостаточное доверие к деятельности службы внутреннего контроля;
• отсутствие средств на организацию системы внутреннего контроля на предприятии, в частности, на содержание штата;
• различия между российскими и международными стандартами аудита и т. д.

Первую проблему можно решить путем обеспечения эффективного взаимодействия службы внутреннего контроля с другими подразделениями компании при поддержке менеджмента компании.

Очень важной задачей подразделения внутреннего контроля (аудита) остается повышение доверия к своей деятельности со стороны сотрудников других подразделений и менеджмента компаний. Зачастую специалисты внутреннего контроля, аудита, комплаенса воспринимаются остальными сотрудниками как специалисты, выполняющие «ненужную» работу и отвлекающие от основной работы. Такая ситуация не способствует повышению качества проводимых проверок. Каждая компания самостоятельно решает эту проблему, но все применяемые методы должны быть направлены на создание дружелюбной атмосферы внутри компании между ее сотрудниками.

Проблема недостаточного доверия к деятельности службы внутреннего контроля решается путем повышения доверия к специалистам такой службы (причем обеспечение эффективного взаимодействия между подразделениями компании также может повысить доверие). Немаловажное значение для повышения доверия к внутренним контролерам имеют также следующие факторы:

• профессиональные качества и компетентность;
• значимость и качество полученной контролерами информации.

Так, специалисты внутреннего контроля в идеале должны иметь сертификат аудитора, большой опыт работы, хорошо ориентироваться в вопросах бухгалтерского и налогового учета, МСФО. Кроме того, специалисты такого рода должны постоянно повышать свою квалификацию.

Что касается значимости и качества полученной внутренними контролерами информации, этот пункт влияет не только на эффективность учетной работы компании, но и на принятие управленческих решений ее менеджментом. Значимость и качество работы достигается с помощью составления рабочей документации аудиторов (см. таблицу ниже), объективности и полноты проверки ведения учета.

Описание модели трех линий защиты для управления рисками

Следующая проблема, которая может возникнуть при постановке службы внутреннего контроля, - это нехватка у компании средств на эти цели. Отметим, что в настоящее время организация внутреннего контроля - не прихоть компании, а требование времени, ведь исправление ошибок может занять больше времени. В зависимости от размера и вида деятельности компании можно подобрать оптимальное количество специалистов. Для небольшой компании будет достаточно одного-двух специалистов, можно также воспользоваться услугами аутсорсинговых компаний. В любом случае желательно заранее оценить возможные расходы и выбрать наиболее приемлемый для компании вариант.

Между российскими и международными стандартами, как учета, так и аудита, существуют различия, поэтому, если деятельность компании должна быть подвергнута оценке с точки зрения международных стандартов, следует задуматься о привлечении специалистов службы внутреннего контроля соответствующего уровня и квалификации.

Наиболее важный этап в работе службы по внутреннему контролю - это контроль за корректировками МСФО. Проверяемые операции условно можно подразделить на стандартные (типовые), нестандартные и на проверку рисков, которым может быть подвергнут бизнес.

Сложными участками учета, которые требуют внимания, являются также оценка активов и обязательств, отражение резервов, подготовка примечаний к отчетности, проверка данных, предоставляемых филиалами организации.

Наиболее сложный подход к оценке, предлагаемый МСФО, - это оценка по справедливой стоимости. При наличии средств лучше всего обратиться к профессиональному оценщику, однако если такой финансовой возможности у компании нет, то можно самостоятельно определить справедливую стоимость.

МСФО предлагает несколько вариантов определения справедливой стоимости в зависимости от вида актива: стоимость на основном (ранее активном) рынке, стоимость на аналогичные активы, дисконтированная стоимость и т. д. Специалист по внутреннему контролю при проверке определения справедливой стоимости должен проверить документальное оформление определения справедливой стоимости актива, а также объективность и достоверность полученных результатов. На мнение пользователей отчетности во многом может повлиять информация, раскрываемая в примечаниях к отчетности. Следует тщательно продумать объем и масштаб раскрываемых данных и согласовать эту информацию с менеджментом компании.

Внимания к себе требует также начисление резервов. Порядок их учета регламентируется не только МСФО (IAS) 37 «Резервы, условные активы и условные обязательства», но и, в зависимости от специфики деятельности компании, МСФО (IAS) 11 «Договоры подряда», Разъяснением КРМФО (IFRIC) 6 «Обязательства, возникающие в связи с участием в специализированном рынке - отходы электротехнического и электронного оборудования».

Чтобы организовать эффективную службу внутреннего контроля, также следует нормализовать работу других подразделений, в частности отдела по МСФО, перепроверить методические материалы, в том числе учетную политику, на предмет ошибок и несоответствия данных учета. Важен также график документооборота - при задержке представляемых службе внутреннего контроля данных ее работа также будет выполняться гораздо медленнее.

Для обеспечения согласованной работы в процессе должны быть задействованы другие подразделения компании. Особенность проведения операций внутреннего контроля заключается в том, что контроль рассматривает не только отдельные направления (бухгалтерский учет, операции по объединению бизнеса) деятельности компании, но и целые бизнес-процессы, а также всю деятельность компании.

Таким образом, правильно организованная система внутреннего контроля на предприятии имеет важное значение для повышения эффективности деятельности компании.

Оценка возможных рисков

Мнение

Светлана Роганова , ведущий бухгалтер компании «Эльдорадо»

Практика эффективного внутреннего контроля

По нашему мнению, наиболее эффективная методика осуществления деятельности службой внутреннего контроля - это использование подхода на основе трех линий защиты. Если правильно перенять этот зарубежный опыт в России, риск того, что компания, например, допустит ошибки в бухгалтерской отчетности, будет невелик. В основе этого метода - проверка данных по трем «фронтам». Особенность подхода в том, что если одна из линий не заметит ошибку, то она будет нивелирована на следующей линии защиты. Работа третьей линии защиты наиболее ответственна, так как нужно проверить данные первых двух.

Сложность в практическом осуществлении проекта заключается в том, чтобы грамотно распределить специалистов по трем линиям защиты. Наше предложение: к первой линии защиты отнести бухгалтерию, отдел отчетности, ко второй линии - службу внутреннего контроля, отдел, отвечающий за риски, службу комплаенс (при наличии), к третьей - службу внутреннего аудита. Завершающей инстанцией по проверке данных будут выступать внешние аудиторы.

Несмотря на то что для многих компаний довольно дорого содержать штат службы внутреннего контроля и одновременно еще и внутреннего аудита, для крупного бизнеса это реальная необходимость в настоящее время, иначе из-за большого объема информации очень просто не заметить ошибку или не учесть соответствующий риск. Служба внутреннего аудита должна быть выше по рангу службы внутреннего контроля и осуществлять контроль за работой последней. Кроме того, службы могут помогать друг другу в методологической поддержке, в проведении взаимного контроля качества, разделении зон ответственности. При таком подходе можно сократить затраты на внешний аудит. Внутренние контролеры должны также плотно взаимодействовать с менеджментом компании и решать возникающие вопросы во взаимоувязке - эффективность службы внутреннего контроля в этом случае повысится в разы.