Вопрос 6. Документирование внутреннего контроля: виды и формы внутренних документов, обновление и хранение документов
Порядок организации и осуществления внутреннего контроля оформляется документально на бумажном носителе и (или) в электронном виде. Положения, касающиеся организации внутреннего контроля, являются частью учредительных и внутренних организационно-распорядительных документов экономического субъекта.
Положения, касающиеся контрольной среды экономического субъекта, могут являться частью документов, определяющих:
а) стратегию, цели и ценности экономического субъекта, его поведение на рынке и методы управления им;
б) правила поведения руководства и иного персонала экономического субъекта при наступлении различных событий, процедуры рассмотрения жалоб (кодекс корпоративного управления, кодекс деловой этики);
в) организационную структуру экономического субъекта, в том числе место и роль его подразделений, уровни принятия решений, штатное расписание;
г) функции подразделений экономического субъекта, полномочия и ответственность их руководителей (положения об отдельных подразделениях экономического субъекта);
д) правила принятия управленческих решений и осуществления сделок и операций, в том числе учетную политику экономического субъекта;
е) кадровую политику, устанавливающую подходы к найму, обучению и развитию персонала экономического субъекта, критерии оценки результатов деятельности, систему оплаты труда.
Применительно к ведению бухгалтерского учета, в том числе составлению бухгалтерской (финансовой) отчетности, контрольную среду могут описывать положение о бухгалтерской службе, учетная политика экономического субъекта и др.
Документированию рисков, как правило, предшествует описание бизнес-процессов и процедур работы экономического субъекта. Описание бизнес-процессов экономического субъекта может проводиться в разрезе направлений его деятельности, его юридической или организационной структуры.
Описание риска включает:
а) указание на потенциальное неблагоприятное внутреннее и (или) внешнее событие (факт, обстоятельство), порождающее риск;
б) причину и вероятность его возникновения;
в) возможные негативные последствия (ущерб), их количественную и (или) качественную оценку.
По результатам оценки рисков экономический субъект определяет наиболее существенные риски и принимает решения для минимизации их посредством организации и осуществления внутреннего контроля.
С целью систематизации принятых экономическим субъектом процедур внутреннего контроля, как правило, составляется матрица рисков и процедур внутреннего контроля, которая содержит:
а) описание риска, на минимизацию последствий которого направлен внутренний контроль;
б) наименование области или процесса, который подвержен риску;
в) наименование и краткое описание процедуры (процедур) внутреннего контроля, посредством осуществления которой (которых) минимизируются последствия риска;
г) классификацию процедуры внутреннего контроля (если это необходимо для структурирования информации);
д) ссылку на регламент осуществления процедуры внутреннего контроля (документ, в котором устанавливаются детальные требования к осуществлению внутреннего контроля);
е) исполнителя процедуры внутреннего контроля (сотрудник или информационная система);
ж) частоту (периодичность) осуществления процедуры внутреннего контроля;
з) входящие документы (на основании которых осуществляется процедура внутреннего контроля);
и) исходящие документы (свидетельства осуществления процедуры внутреннего контроля).
Документами, устанавливающими правила коммуникации, могут являться: положение об информационной политике (в области внешних и внутренних коммуникаций), графики предоставления данных и составления отчетности, должностные инструкции.
Экономический субъект обеспечивает хранение документации, оформляющей организацию и осуществление внутреннего контроля, в течение разумных сроков.