Как выстроить эффективную систему внутреннего контроля в компании

Источник: "Финансовый директор" 

Если ваша компания нуждается в ужесточении внутреннего контроля, воспользуйтесь нашими рекомендациями, чтобы найти оптимальный уровень контроля и избежать распространенных ошибок. 


Как обеспечить оптимальный уровень внутреннего контроля в компании 

Чтобы выстроить эффективную систему внутреннего контроля в компании: 

  • проведите заранее диагностику текущего состояния контрольных процедур; 
  • создайте единые правила и регламенты бизнес-процессов; 
  • зафиксируйте круг ответственных. 

Что проверить в компании перед внедрением системы внутреннего контроля 

Отказ от предварительной диагностики текущей работы предприятия – одна из первых ошибок при внедрении системы внутреннего контроля. В любой компании есть контрольные процедуры, даже если их не формализовали. Эти процедуры нужно изучить, чтобы понять, какие зачатки внутреннего контроля нужно развить, а что добавить. Предварительная диагностика поможет: оценить имеющиеся в компании контрольные процедуры; выявить проблемные зоны и разработать план действий для их минимизации. 

Если пропустить предварительную диагностику, система внутреннего контроля окажется далекой от реальности. Чтобы избежать этой ошибки, заранее проанализируйте текущее состояние внутреннего контроля компании, в том числе оцените:  

  • контрольную среду (организацию работы подразделений); 
  • управление рисками; 
  • контрольные процедуры; 
  • информацию и коммуникации; 
  • действующие регламенты и результаты интервью ключевых сотрудников. 

Зачем нужны единые регламенты при внедрении контрольных процедур 

Нередко компании не формируют новые или не корректируют текущие регламенты работы подразделений – это типичная ошибка при построении системы внутреннего контроля. Если нет единых правил регламентации, контрольные процедуры не принесут желаемого эффекта. 


Когда обязательно корректировать регламенты:  

  • если в них нет обязательных разделов. Например, «входы» и «выходы» процесса, участники, последовательность выполнения действий, требования к конечному результату. Допустим, в платежном регламенте нет критериев, по которым контролер обязан проверить заявку на платеж. Нельзя гарантировать, что контролер не пропустит заявку без обязательных реквизитов или свыше бюджета;  
  • если не разделили функции исполнения и контроля. Например, в регламенте не указали, что проверять, соответствует ли заявка на платеж, должен не заинтересованный в оплате сотрудник;  
  • если регламент не соответствует реальному бизнесу, так как его подготовили консультанты, не пообщавшись с сотрудниками компании – исполнителями контрольных процедур;  
  • если контрольные функции не обеспечили средствами и полномочиями для их исполнения;  
  • если доля ручных контрольных процедур высока в ущерб автоматизированным контролям. 

Чтобы наладить эффективный внутренний контроль, предстоит:  

разработать единые стандарты описания бизнес-процессов и контрольных процедур, например, типовое положение о контрольной процедуре;  

возложить ответственность на структурное подразделение или должностное лицо за координацию бизнес-процессов, включая разработку форм, методик и шаблонов по описанию бизнес-процессов, а также за проверку качества подготовленных проектов, регламентов и контрольных процедур. 


Кому поручить контрольные процедуры 

Ответственность за процедуры внутреннего контроля последовательно распределяйте по всем уровням управления в компании, начиная с высшего менеджмента и заканчивая рядовыми исполнителями бизнес-процессов. Нельзя замыкать основную часть контрольных полномочий на одном структурном подразделении – это типовая ошибка при внедрении системы внутреннего контроля. 

Например, в компании создали один департамент, контролирующий деятельность остальных структурных подразделений, в том числе проверяющий: 

  • исполнение организационно-распорядительных документов; 
  • закупочную деятельность; 
  • инвестиционные проекты;
  • анализ ключевых показателей эффективности. 

Из-за загруженности департамент не успевает проверять все, а структурные подразделения самоустраняются от выполнения текущего контроля. Еще одна ошибка – делать упор на последующий контроль, выявлять нарушения за предыдущий период постфактум. Так пропустите злоупотребления в ходе процесса. К примеру, закупочную деятельность можно контролировать поэтапно: обосновать начальную максимальную цену, проанализировать тендерные предложения до проведения торгов и т. д. Но руководство компании проверяет только итоги прошедших закупок. Так оказывается, что заключили договоры с заведомо завышенной ценой. Чтобы избежать ошибок и добиться эффективного внутреннего контроля, распределите полномочия по трем линиям защиты:  

  • первая линия – контроль на уровне бизнес-подразделений. Задействуйте сотрудников структурных подразделений, реализующих контрольные процедуры в рамках текущего исполнения бизнес-процессов;  
  • вторая линия защиты – контроль на уровне специализированных подразделений (управление рисками, финансовый контроль, экономическая безопасность);  
  • третья линия защиты – независимая оценка эффективности контроля службой внутреннего аудита. 

Подготовлено по материалам ФСС «Система финансовый директор»