Документ предоставлен КонсультантПлюс

 

"Аудитор", 2021, NN 7, 8

 

МОНИТОРИНГ ЭФФЕКТИВНОСТИ И СБАЛАНСИРОВАННОСТИ

СИСТЕМЫ КОМПЛАЕНС-КОНТРОЛЯ ОРГАНИЗАЦИИ

 

Статья посвящена исследованию методических аспектов оценки комплаенс-контроля как одной из форм внутреннего контроля, направленной на предупреждение фактов нарушения законодательства в сфере финансов, налогов и предпринимательства. В ходе анализа существующих методик оценки СВК сформирована теоретическая модель, включающая концепцию, подходы к организации, оценке СВК, группы качественных и балльно-весовых методов. В статье предлагается авторская методика тестирования системы внутреннего комплаенс-контроля, имеющая прикладное значение для мониторинга, проводимого аудиторскими организациями и внутренними аудиторами.

 

В связи с усложнением финансово-хозяйственной деятельности, расширением сферы воздействия законодательства и влиянием различного рода рисков на репутацию и имидж предприятия актуальность приобретают вопросы организации и обеспечения эффективности системы комплаенс-контроля. В зарубежной практике мониторинг системы комплаенс-контроля используется со стороны органов финансового контроля для оценки вероятности возникновения у проверяемого субъекта рисков нарушения законодательства. Таможенные и налоговые органы, опираясь на риск-ориентированный подход, могут использовать оценку комплаенс-системы для принятия решений о выборе объектов контроля. При этом контрольно-надзорные органы до момента проверки ограничены в доступе к внутренней информации объекта контроля, которая может обеспечить доказательную базу применения законодательства и реализации всех необходимых контрольных процедур. Вывод об эффективности системы внутреннего контроля (СВК) согласно международным стандартам аудита (МСА), модели внутреннего контроля COSO может сделать внутренний или внешний аудитор, который помимо подтверждения достоверности бухгалтерской отчетности выполняет сопутствующие аудиту услуги и проводит процедуры оценки СВК. Согласно МСА аудитор обязан сообщить руководству о недостатках СВК.

Эффективная комплаенс-система организации является залогом ее стабильного и устойчивого состояния, реализации планов и перспектив развития. В связи с этим информация о состоянии комплаенс-системы общественно-значимых организаций, подтверждаемая аудитором, должна быть публичной и доступной контрольно-надзорным органам и иным внешним пользователям. В основу исследования положены научные труды по вопросам сущности и роли комплаенс-контроля (С.А. Бейгуленко [1], Ю.А. Ткаченко, М.В. Шевченко [2], В.Ф. Попондопуло, Д.А. Петрова [3], А.А. Николаевой [4], А.С. Оробинского [5]), теоретико-методических основ оценки СВК (М.А. Азарской, Н.В. Щербаковой [6], Г.В. Максимовой, К.А. Каретникова [7], С.В. Бокатой, А.А. Земцова [8], С.Д. Даудова, О.Н. Ковалевой [9], Ю.А. Павловой [10], С.А. Касьяновой [11], И.А. Резвых [12], В.В. Киреевой [13]). В вышеперечисленных исследованиях СВК рассматривается с позиции общих и отраслевых, рисковых аспектов, оценки эффективности и надежности. В то же время методические аспекты оценки и мониторинга системы комплаенс-контроля остаются малоизученными.

Мониторинг является постоянно действующим процессом оценки функционирования комплаенс-контроля. Мониторинг СВК - это "контрольные действия, направленные на оценку эффективности, т.е. способности исключить и минимизировать риски организации, достигать запланированных целей" [14]. На основе результатов мониторинга органы корпоративного управления могут принимать своевременные меры по адаптации и актуализации внутреннего контроля. Мониторинг позволяет оценивать работоспособность и сбалансированность системы непрерывно в процессе деятельности организации.

 

Комплаенс как форма внутреннего контроля

 

Комплаенс-контроль представляет собой часть системы внутреннего контроля, его особенностью являются выполнение функций защиты от недобросовестного экономического поведения участников рыночных отношений, создание благоприятной деловой репутации и инвестиционного имиджа, а также контроль финансовых и нефинансовых рисков. Методологическим направлением научных исследований внутреннего контроля является системный подход. С.А. Бейгуленко [1], Ю.А. Ткаченко, М.В. Шевченко [2] определили комплаенс как элемент СВК, направленный на предотвращение комплаенс-рисков, причинами возникновения которых становятся факты несоблюдения законодательства, государственных и отраслевых стандартов, кодексов этики. В.Ф. Попондопуло, Д.А. Петров [3] дают следующее определение: "Комплаенс - это система "управления рисками несоответствия осуществляемой хозяйствующим субъектом деятельности: требованиям нормативных правовых актов, обычаев, обязательных стандартов саморегулируемых организаций, предписаниям контролирующих органов; складывающейся правоприменительной практике, макроэкономическим параметрам; иным значимым для осуществления деятельности факторам". Однако в литературе конкретных элементов и компонентов комплаенс-системы не приводится.

В МСА 315 реализован общий подход к понятию внутреннего контроля, который может использоваться по отношению ко всем формам контроля. Под СВК понимаются "процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов и нормативных актов" <1>. Системный подход рассматривает объект исследования в качестве целостного организма с упорядоченными элементами, взаимодействие и соподчиненность которых направлены на реализацию функций системы. Составными элементами СВК являются: субъект, объект, предмет контроля, механизм, определяющий цель, методико-техническое обеспечение, действия и (или) решения, принимаемые по результатам контроля и направленные на минимизацию риска.

--------------------------------

<1> Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" (введен в действие на территории Российской Федерации Приказом Минфина России от 09.01.2019 N 2н).

 

В Информации Минфина ПЗ-11/2013 <2> подчеркивается связь комплаенса с общими задачами внутреннего контроля. Целью внутреннего контроля является получение уверенности в обеспечении организацией соблюдения требований законодательства при совершении фактов хозяйственной жизни и ведении бухгалтерского учета. Система комплаенс-контроля предприятия включает процедуры проверки соблюдения общих и специальных требований валютного, налогового и бухгалтерского и иного финансового законодательства, принятых и действующих на всех уровнях управления, начиная с санкционирования операций и заканчивая оценкой ее выполнения.

--------------------------------

<2>Информация Минфина России N ПЗ-11/2013 "Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности".

 

Функция комплаенса заключается в снижении убытков и потери деловой репутации в случае нарушения законодательства, правил и норм экономического поведения и этики [15]. Отсутствие в организации комплаенс-контроля приводит к росту санкций со стороны регуляторов, дополнительным расходам на консультационные услуги юристов и аудиторов, снижению уровня капитализации и банкротству [4]. Система внутреннего комплаенс-контроля способствует адаптации и реализации правил составления инвестиционных бюджетов, планов, нормативов, соблюдению финансового законодательства; в свою очередь, несоблюдение какой-либо функции комплаенса приводит к разбалансированности всей СВК, вследствие чего снижается эффективность контрольных и управленческих мероприятий. Учитывая функции и роль комплаенс-контроля как отдельной формы внутреннего контроля, под комплаенс-контролем следует понимать "деятельность специализированных подразделений организаций или должностных лиц, внешних независимых аудиторских фирм по проверке финансово-хозяйственной деятельности объекта контроля и информации, раскрываемой в отчетности на соответствие нормативно-правовым и иным внутренним регламентам в целях предупреждения, выявления и пресечения экономических правонарушений и преступлений, формирования деловой репутации в условиях рыночной конкуренции и обеспечения экономической безопасности для защиты интересов всех стейкхолдеров организации" [15].

 

Теоретико-методическая база оценки эффективности

и сбалансированности комплаенс-контроля

 

Единого мнения по поводу комплексного критерия оценки контроля не существует, используются понятия "надежность", "эффективность", "результативность", "устойчивость", "сбалансированность", "надлежащее функционирование" и "адекватность". Понятие "эффективность" применяется чаще всего, поскольку закреплено в международных стандартах аудита (МСА 315). Теоретическая модель оценки комплаенс-контроля базируется на концепции, подходах и методах, которые систематизированы на рис. 1.

 

Теоретическая структура оценки комплаенс-контроля

Составлено по: [6 - 13, 18, 23]

 

 

Рис. 1

 

При оценке СВК применяются экономический, функциональный, системный, нормативный и операционный подходы [7]. Экономический подход, получивший распространение в системе государственного контроля, предполагает достижение полезного экономического эффекта при наименьших затратах. В рамках данного подхода используются индикаторы: доля расходов на содержание СВК в общей сумме расходов, соотношение между расходами при его организации собственными силами и на аутсорсинге, отношение суммы расходов к сумме выявленных или потенциальных нарушений, степень охвата проверяемых операций. Для оценки результативности используются показатели: количество выявленных нарушений, рисков, процент принятых и реализованных рекомендаций. Экономический подход в недостаточной мере учитывает качественные характеристики надежности, сбалансированности, адекватности СВК как сложного и многоэлементного объекта исследования.

Такие качественные характеристики могут быть оценены при использовании функционального, нормативного подходов, когда оценке подлежат функции, принципы, задачи функционирования СВК [16]. В научной литературе функциональный подход, основанный на формировании иерархической модели с учетом взаимосвязи функций, объектов и направлений контроля, наиболее развит П.Н. Майданевичем [17]. Автор предлагает оценивать СВК с позиции организационных, методических, технических и специфических критериев. Используя нормативный подход, Н.В. Потапова [18] предлагает оценивать факторы надежности: соответствие правовым нормам, стандартам, этическим принципам, правилам применения профессионального суждения. С нашей точки зрения, данный подход требует развития и применения к комплаенс-контролю.

В стандартах внутреннего аудита и методических рекомендациях указываются нормативы и принципы, на которых основывается организация и функционирование контрольной системы финансово-хозяйственной деятельности. В научной литературе вопрос конкретизации принципов, на которых базируется СВК, раскрыт в полной мере.

По отношению к СВК необходимо учитывать соблюдение принципов ответственности, постоянства, комплексности (целостности), своевременного сообщения об отклонениях, распределения обязанностей, гласности, адекватности, независимости, единства требований, оперативности, целесообразности, универсальности, непрерывности, соразмерности масштабам и виду деятельности, рисковой ориентации, методического плюрализма, ответственности субъектов контроля, коммуникации, заинтересованности высшего руководства и т.п. [14, 19]. В.И. Позолотина [20] выделяет принципы независимости, компетентности, всеобъемлющего характера, всесторонней согласованности и взаимодействия с другими службами организации, информированности персонала в отношении правил соблюдения законодательства. Учитывая применимость вышеперечисленных принципов к комплаенсу, автором разработана критериальная оценка эффективности и сбалансированности системы комплаенс-контроля (рис. 2).

 

Критериальная система оценки эффективности

и сбалансированности комплаенс-контроля

 

 

Рис. 2

 

Сбалансированное, стабильное и связанное функционирование элементов комплаенс-системы повышает надежность и снижает уязвимость системы при воздействии внешних факторов. С точки зрения операционного подхода оцениваются реализация и результативность процедур контроля, их оперативное воздействие на комплаенс-риски и непрерывное функционирование. В ходе мониторинга ключевыми процедурами становятся не только процедуры оценки, но и наблюдения за ходом выполнения контрольных процедур. Свойство масштабности означает соответствие комплаенс-процедур и функции комплаенса масштабам деятельности организации. Операционная эффективность оценивается объемом применяемых проверочных процедур и постоянством применения процедур контроля [6].

Эффективность и сбалансированность достигаются с помощью упорядоченной и целенаправленной контрольной деятельности. Комплаенс-система функционирует на основе главного принципа - выявления и устранения незаконной и экономически невыгодной финансово-хозяйственной деятельности. Большинство экономистов (С.А. Бейгуленко [1], А.С. Оробинский [5], А.Н. Литвиненко, Л.К. Самойлова, А.А. Ольха [21]) сходятся во мнении, что цель комплаенс-контроля заключается в управлении комплаенс-рисками, разработке механизма противостояния угрозам со стороны внутренней и внешней среды, способным нанести ущерб экономическому субъекту, его стейкхолдерам и государству. При этом сама система должна быть направлена на постоянный мониторинг факторов риска, изменений в отечественном и международном законодательстве, принятии ответных действий на современные тенденции и вызовы экономики. Комплаенс-система, выполняя функцию защиты деловой репутации, позволяет сформировать инвестиционный и кредитный имидж, позиционировать организацию во внешней среде. Задачи оценки, координации, контроля репутационного риска встроены в общий механизм комплаенса [22].

Репутация обеспечивается за счет надежности, инвестиционной активности, доверия со стороны контрагентов. Комплаенс-контроль является надежной защитой противодействию легализации (отмыванию) доходов, полученных преступным путем, финансовым преступлениям, что, в свою очередь, является гарантией устойчивого экономического развития предприятия и привлечения источников финансирования в долгосрочной перспективе. Контрагенты, доверяя организации и веря в отсутствие нарушений законодательства с ее стороны, минимизируют риск претензий со стороны регуляторов, привлечения руководства организации к ответственности. Комплаенс-контроль направлен на своевременное предотвращение и обнаружение фактов мошенничества, угроз банкротства, выявление фактов оппортунистического поведения субъектов в рыночной экономике. Таким образом, в качестве функций комплаенс-контроля, обеспечивающих реализацию стоящих перед ним целей, следует выделить:

- организующую - снижение неопределенности во взаимоотношениях в целях преодоления конфликтов и оппортунистического поведения агентов, способность создавать нормативную и методическую базу;

- ограничительную - установление формальных и неформальных рамок, за нарушение которых предусматривается система финансовых санкций;

- координирующую - формирование условий, способствующих снижению трансакционных издержек, связанных с заключением сделок;

- информационно-управленческую - повышение информированности участников экономических сделок, обеспечение доступности и прозрачности информации, снижение издержек на поиск информации, повышение эффективности системы управления;

- регулирующую - создание механизма защиты предприятия, минимизация последствий комплаенс-рисков (ошибок, просчетов, неверных решений, незаконных схем и т.п.) для субъектов, общества и государства;

- методическую - создание методических рекомендаций, положений по правильному выполнению процедур, действий;

- прогнозно-аналитическую - анализ причин и прогнозирование последствий комплаенс-рисков.

Под эффективностью комплаенс-системы следует понимать способность системы контроля выявлять и противодействовать факторам возникновения комплаенс-рисков с помощью реализации определенных процедур при минимизации трудозатрат и расходов, связанных с выполнением контрольных процедур. Под сбалансированностью системы комплаенс-контроля будем понимать способность выявлять все виды комплаенс-рисков, учитывая функции и задачи всех элементов системы комплаенс-контроля.

Большинство существующих методик оценки эффективности контроля используют метод тестирования и пять ключевых компонентов СВК. Достоинство методики Л.А. Юдинцевой [23] заключается в предложении этапов оценивания в рамках реализации всех процессов, разработке системы рабочей документации, возможности учета всех составляющих риска и принципов стабильности контрольных процедур. Методический подход И.А. Резвых [12] базируется на понимании деятельности организации, а также влияющих на нее факторов, предлагаемых формах рабочей документации (включающих элементы СВК и методы управления рисками), учете в качестве оценочных параметров факторов риска, значимых видов риска. Достоинством методики, предлагаемой В.В. Киреевой [13], выступают, во-первых, процедуры идентификации рисков и оценки дизайна контроля (способности эффективно предотвращать и исправлять выявленные нарушения, исключать недостающие и дублирующие процедуры) и, во-вторых, внедрение системы документирования результатов. Во всех вышеперечисленных методиках используются контрольные листы оценки эффективности СВК, включая рекомендации и интерпретации оценок.

Тестирование системы комплаенс-контроля представляет собой логическое содержание и последовательность применения комплаенс-процедур для минимизации комплаенс-рисков; тесты должны позволять структурировать направления проведения комплаенс-процедуры. В ходе тестирования формулируются вопросы, стандартизируются возможные ответы и готовится план действий, анализируются и обобщаются результаты оценки.

Механизм тестирования для мониторинга комплаенс-системы базируется на следующих принципах:

- учет критериальной системы оценки эффективности и сбалансированности согласно рис. 2;

- разработка тестовых вопросов с учетом особенностей видов деятельности конкретной организации и действующих нормативно-правовых актов (НПА), регламентирующих ее деятельность;

- перечень тестируемых вопросов по отношению к конкретной организации должен учитывать виды финансово-хозяйственной деятельности и нормативно-правовую базу, регламентирующую специфические вопросы деятельности организации;

- приоритет должен отдаваться тем областям комплаенс-риска, которые являются наиболее существенными угрозами для конкретного предприятия;

- должны применяться экспертная балльная оценка, обобщение результатов оценки методом "мозгового штурма" или иные командные оценки;

- возможность минимизации главного недостатка метода тестирования ("субъективность оценки") путем подтверждения мнения эксперта конкретными фактами и описанием существенных последствий (сопровождение оценки выводами в примечаниях и комментариях);

- в обязательном порядке должны приниматься во внимание вопросы, учитывающие условия организации СВК (дизайн) и ее функционирование (операционную эффективность).

В ходе мониторинга сбалансированности и эффективности комплаенс-системы важным моментом является установление областей влияния комплаенс-рисков и готовности контрольной среды обеспечить экономическую безопасность организации (табл. 1).

 

Таблица 1

 

Классификатор комплаенс-рисков для проведения

мониторинга эффективности комплаенс-контроля

 

Вид комплаенс-риска	Обозначение	Характеристика комплаенс-риска
I. Риски, возникающие вследствие ошибочных неумышленных действий
I.1. Регламентный риск	IPR (I.1)	Риск неумышленного нарушения законодательства, требований контрольно-надзорных органов
I.2. Операционный риск	IOR (I.2)	Риск невыполнения финансово-хозяйственных операций, неэффективности или незаконности операций, невыполнение должностных обязанностей сотрудниками
I.3. Репутационный риск	IRR (I.3)	Риск неквалифицированных действий персонала, влияющих на репутацию, риск уменьшения числа заказов клиентов, потеря рынков сбыта, негативная информация в СМИ
I.3.1. Риски нарушения НПА, влияющих на финансовую отчетность	IPR (I.3.1)	Риск искажения данных финансовой отчетности в результате несоблюдения НПА в области бухгалтерского, налогового законодательства, методических рекомендаций, стандартов, правил делового поведения
I.3.2. Риски несоблюдения прочих НПА, относящихся к бизнес-процессам	IPR (I.3.2)	Риск нарушения норм законодательства в области предпринимательской и иной деятельности, что может привести к полной или частичной приостановке деятельности, высоким штрафным санкциям, замедлению реализации инвестиционных проектов и т.п.
I.3.3. Риски проверок, нарушения требований надзорных органов	IPR (I.3.3)	Риск вероятности возникновения проверок со стороны ФНС, ФТС и других органов в результате включения организации в категорию высокого налогового, таможенного и иного рисков
II. Риски, возникающие вследствие умышленных недобросовестных действий
II.1. Регламентные риски	IPR (II.1)	Риск умышленного нарушения законодательства, требований контрольно-надзорных органов в результате обмана и стремления получить незаконные экономические выгоды
II.1.1. Коррупция и легализация доходов, полученных преступным путем	IPR (II.1.1)	Риск умышленного нарушения законодательства в целях получения личной выгоды путем незаконного использования своего влияния (конфликт интересов, подкуп, нелегальное вознаграждение, экономический шантаж)
II.1.2. Риски незаконного присвоения активов	IPR (II.1.2)	Риск воровства, кражи, хищения ТМЦ и иных активов, принадлежащих организации
II.1.3. Риск фальсификации данных учета и отчетности	IPR (II.1.3)	Риск недобросовестного искажения данных финансовой отчетности в целях приобретения незаконной экономической выгоды, сокрытия фактов иного экономического преступления
II.1.4. Риски вследствие умышленного нарушения прочего законодательства (валютного, таможенного, налогового и т.п.)	IPR (II.1.4)	Риски нарушения норм законодательства в области предпринимательской и иной деятельности, которые могут привести к полной или частичной приостановке деятельности, высоким штрафным санкциям, замедлению реализации инвестиционных проектов и т.п.

 

Для оценки эффективности предлагается оценивать организацию (дизайн) и операционную эффективность элементов системы комплаенс-контроля, используя показатель уровня комплаенс-риска:

 

I_i = R_i x K_i x S_i,

 

где I_i - оценка уровня комплаенс-риска; R_i - вероятность возникновения факторов комплаенс-риска; K_i - степень реагирования элемента комплаенс-контроля на риск (действия, процедуры и методы управления риском); S_i - уровень значимости финансовых и нефинансовых последствий комплаенс-риска.

Например, при оценке значимости уровня последствий может применяться шкала от 1 до 10, при этом величина баллов может определяться в результате прогнозной оценки суммы ущерба при несоблюдении законодательства. В частности, S = 2 может присваиваться при дисциплинарных наказаниях за нарушение законодательства, S = 5 - при административном наказании в форме штрафа, S = 10 - при уголовном наказании.

Риск и индикатор эффективности комплаенс-контроля имеют обратную взаимосвязь, т.е. при более высоком значении риска эффективность будет иметь более низкое значение.

 

Развитие метода тестирования элементов системы

комплаенс-контроля для реализации процедур мониторинга

 

В процессе мониторинга проводится оценка адекватности комплаенс-процедур, устанавливается факт применения контрольных методов, подтверждается отражение результатов контроля в рабочей и отчетной документации. Комплаенс-среда включает в себя определенную позицию и осведомленность собственников, руководства в отношении этических норм, принципов, соблюдение сотрудниками профессиональной компетентности, следование в своей работе профессиональным стандартам. Внутренняя комплаенс-среда определяет философию, стиль и стратегию управления комплаенс-рисками. Для поддержания эффективности комплаенс-системы должны быть приняты положения и внутренние локальные нормативные акты, регламенты документооборота. Комплаенс-среда должна способствовать предотвращению несанкционированных операций, экономической безопасности всех видов и направлений деятельности организации. В табл. 2 представлен перечень процедур для проведения мониторинга и оценки комплаенс-среды.

 

Таблица 2

 

Рабочий документ "Мониторинг и оценка комплаенс-среды"

 

Функция элемента комплаенс-контроля		Тестируемый вопрос	Оценка		R	K	S
			Дизайн	Операционная эффективность
1	2	3	4	5	6	7	8
Приверженность принципам и этическим стандартам	IPR (I.1, II.1) , IRR	Разработаны ли положения, инструкции по антикоррупционному, антимонопольному комплаенсу, нормы и стандарты делового поведения?	P
	IPR ( II.1), IRR	Соблюдаются ли принципы честности, противодействие конфликту интересов?		P
	IPR (I.1, II.1)	Разработаны ли политика и процедуры в отношении соблюдения законодательства и локальных нормативных актов (ЛНА)?	P
	IRR	Какова деловая репутация компании и ее руководства в СМИ? Имеются ли отрицательные отзывы?		P
	IPR (II.1)	Разработаны ли механизмы предупреждения конфликтов интересов (кодекс поведения, правила принятия подарков и т.п.)?	P
	IPR (II.1)	Демонстрирует ли руководство соблюдение принципов четности, противодействие конфликту интересов?		P
Распределение прав и обязанностей, повышение уровня подотчетности	IOR, IPR (I.1, II.1)	Является ли устойчивой и понятной организационная структура компании? Каково распределение обязанностей между сотрудниками? Способна ли организация при существующей оргструктуре реализовать цели деятельности и планы развития?	P
	IOR, IRR, IPR	Действует ли кадровая политика (подбор кадров, повышение квалификации и ознакомление с НПА, оплата труда, проверка при отборе на вакантные должности с наличием доступа к активам)?	P
Надзорная функция	IPR (I.1, II.1)	Разработаны ли принципы контроля, имеется ли ротация контролирующих сотрудников?	P
	IPR (I.1, II.1)	Осуществляется ли надзор за действием комплаенс-системы?		P
	IPR (I.1, II.1)	Является ли результативной политика соблюдения законодательства?	P
	IOR, IPR ( II.1)	Эффективно ли функционирует механизм санкционирования крупных сделок организации?		P
	IPR IPR (I.1, II.1)	Осуществляется ли взаимодействие с контрольно-надзорными органами?		P
Приверженность принципам профессиональной компетентности	IOR, IRR, IPR	Соблюдаются ли квалификационные требования, проводятся ли мероприятия по повышению квалификации? Соответствует ли квалификация сотрудников уровню и сложности выполняемой работы?		P
Итоговая оценка		Оценка комплаенс-риска на уровне дизайна
		Оценка комплаенс-риска на уровне операционной эффективности
		Оценка в отношении соблюдения принципов гласности, прозрачности, профессиональной компетентности

 

Информационная система как компонента комплаенс-контроля включает процедуры и записи, установленные для инициирования сделок организации, их регистрации, обработки и включения их в финансовую отчетность, а также для ведения учета соответствующих активов, обязательств и капитала. Принципом формирования системы бухгалтерского учета является реализация ее главных функций, связанных с прогнозированием и предотвращением нарушений бухгалтерского и налогового законодательства, соблюдением регламента формирования и отражения в учете бухгалтерских документов, проведением сверок расчетов и наличия санкций в документах.

В ходе оценки функционирования информационной системы (табл. 3) необходимо сделать выводы о наличии или отсутствии риска неточности обработки данных в информационном программном продукте и базе учетных данных, риска искажения оценочных обязательств в связи с многоступенчатостью расчетов и применением профессионального суждения, риска уничтожения данных в результате несанкционированного доступа в информационную систему. Следует обратить внимание на оценку риска искажения информации о сделках и учетных данных по причине неуместного стороннего вмешательства со стороны третьих лиц, взлома или утечки баз данных.

 

Таблица 3

 

Рабочий документ

"Мониторинг и оценка информационной системы"

 

Функция элемента комплаенс-контроля		Тестируемый вопрос	Оценка		R	K	S
			Дизайн	Операционная эффективность
1	2	3	4	5	6	7	8
Использование актуальной информации	IPR (I.3.1)	Имеется ли актуализированная учетная политика организации? Утвержден ли график документооборота?	P
	IQR, IPR (I.1, II.1)	Эффективна и оперативна ли система документооборота? Соответствует ли она масштабам деятельности?		P
	IQR	Своевременно ли фиксируются операции в информационной системе?		P
Правовая безопасность	IQR, IPR (I.1, II.1)	Проводятся ли процедуры идентификации и правомерности регистрации сделок?		P
Информационная безопасность	IPR (I.1, II.1)	Применяется ли автоматизация обработки учетных и контрольных процедур (в т.ч. складского учета)?	P
	IQR, IPR (I.1, II.1)	Проводится ли проверка целостности компьютерных данных и полноты информации в базе данных?		P
	IPR (I.1, II.1)	Применяется ли система блокировки компьютера на рабочем месте бухгалтера, если он покидает свое рабочее место?	P
	IPR (II.1)	Ознакомлены ли сотрудники бухгалтерии с правилами информационной безопасности?	P
	IPR (II.1)	Обеспечена ли защита информационных баз данных? Имеется ли запрет на хранение ведомостей и иной информации в облачном хранилище?	P
	IPR (II.1)	Часто ли производится архивирование финансовой информации?		P
	IPR (II.1)	Насколько сложны применяемые пароли? Имеется ли вход по персональному паролю? Обеспечивается ли сохранность паролей?	P
	IPR (I.1, II.1)	Имеются ли обоснования изменениям в электронных документах? Имеется ли снятие даты запрета изменения данных на время исправления документа?		P
	IPR (II.1)	Исключаются и предотвращаются ли случаи фальсификации финансовых данных?		P
	IPR (I.1, II.1)	Проводятся ли процедуры восстановления данных в случае сбоев?		P
Внешняя коммуникация	IRR, IPR(II.l)	Организованы ли "горячая линия" по сообщению о фактах коррупции, проведение независимых расследований?	P
Внутренняя коммуникация	IPR (I.1, II.1)	Регулярное информирование работников об изменениях законодательства, в т.ч. путем профессионального обучения		P
Итоговая оценка		Оценка комплаенс-риска на уровне дизайна
Итоговая оценка		Оценка комплаенс-риска на уровне операционной эффективности

 

В основе информационных систем заложен принцип фиксирования фактов хозяйственной жизни и бухгалтерских записей в стандартных и унифицированных формах электронной документации. При необычных и нестандартных операциях, оформленных ручным способом, в учете могут содержаться ошибки, искажения и факты недобросовестных сделок, что вызывает необходимость в тщательном комплаенс-контроле таких сделок.

Комплаенс-процедуры выступают одним из важных элементов системы комплаенс-контроля, поскольку направлены на выявление и нейтрализацию причин возникновения комплаенс-рисков. Комплаенс-процедуры включают правила, методы, действия, которые разрабатываются для предотвращения и обнаружения ошибок, незаконных сделок и злоупотреблений полномочиями. В ходе мониторинга необходимо удостовериться в адекватности средств контроля, полноте охвата в отношении всех видов рисков. Вопросы тестирования должны быть направлены на оценку реализации превентивной функции комплаенс-процедур. Комплаенс-процедуры могут применяться на организационном и функциональном уровнях, реализовываться вручную или с помощью IT-средств, быть предупреждающими и выявляющими. В ходе мониторинга операционной эффективности комплаенс-процедур используются опрос персонала, наблюдения за выполнением процедуры. Дизайн оценивается на основании инспектирования документов и оценки работоспособности программных прикладных инструментов.

По результатам тестирования (табл. 4) следует сделать вывод о достаточности существующих комплаенс-процедур и их актуализации, возможности нейтрализации всех видов рисков и предупреждения различных фактов экономических правонарушений и преступлений.

 

Таблица 4

 

Рабочий документ "Мониторинг и оценка комплаенс-процедур"

 

Функция элемента комплаенс-контроля		Тестируемый вопрос	Оценка		R	K	S
			Дизайн	Операционная эффективность
1	2	3	4	5	6	7	8
Оценка сохранности активов и безопасности, процедуры физического контроля	IPR (I.1, II.l)	Приняты ли стандарты, положения о проведении инвентаризаций, ревизий, назначается ли инвентаризационная комиссия?	P
	IPR (I.1, II.l)	Ограничен ли доступ к активам? Обеспечивают ли средства контроля физическую безопасность активов? Имеется ли система видеонаблюдения?		P
	IPR (I.1, II.l)	Проводятся ли полные и регулярные инвентаризации (по всем МОЛ, особенно в территориально отдаленных подразделениях)?		P
	IPR (I.1, II.l)	Проводятся ли процедуры контроля возвратов активов и оформления документов?		P
Санкционирование сделок и операции	IOR, IRR, IPR	Действует ли система согласования сделок, их авторизации? Проверяется ли документы на достоверность и подлинность?		P
	IOR, IRR, IPR	Проводится ли проверка сделки до момента ее осуществления на соответствие законодательству и организационно-распорядительной документации?		P
	IPR (II.1)	Действует ли двойной уровень согласования условий договора (финансовой и юридической службой)		P
	IPR IPR (II.1)	Санкционированы ли изменения в системе и программе?		P
Документальное оформление и контроль движения документов	IPR IPR (II.1)	Проводится ли контроль наличия и подлинности документов, подписи, подтверждение достоверности документов контрагентом?		P
	IPR IPR (I.1, II.1)	Применяются ли процедуры проверки на соответствие первичных документов требованиям законодательства?		P
	IPR IPR (I.1, II.1)	Действует ли контроль за своевременностью оформления расчетно-кассовой документации?		P
	IPR, IPR (I.1, II.1)	Осуществляется ли документальный контроль входящих документов; сохранности документов?		P
Сверка данных	IPR, IPR (I.1, II.1)	Проводится ли контроль взаимосвязанных операций?		P
Оценка достижения целей и показателей	IOR	Анализируется ли динамика и выполнение инвестиционных планов, бюджетов?		P
Соответствие установленным требованиям, правилам, стандартам	IOR, IRR, IPR	Проводится ли оценка благонадежности контрагентов, правового и налогового статуса контрагента?		P
	IPR	Ведется ли реестр значимых НПА, его актуализация и распределение обязанностей между должностными лицами?	P
	IOR, IRR, IPR	Проводится ли проверка составления и достоверности сведений, передаваемых контрольно-надзорным органам?		P
Прикладные процедуры компьютерной обработки данных	IOR, IPR IPR (I.1, II.1)	Осуществляются ли процедуры логической и арифметической обработки данных (проверка заполнения всех полей документов)? Имеется ли запрет ввода при отсутствии всех реквизитов?		P
	IOR, IPR, IPR (I.1, II.1)	Автоматизирована ли сверка данных?	P
Антикоррупционный комплаенс и предупреждение мошенничества	IOR, IPR	Определен ли круг операций, подлежащих особому контролю?	P
	IRR, IPR, IPR (II.l)	В полном объеме и на регулярной основе проводятся процедуры соблюдения ПОД/ФТ?		P
	IPR., IPR (II.l)	Осуществляется ли повышенный контроль за расходами административно-управленческого персонала?		P
	IRR, IPR, IPR II.l)	Проводятся ли внутренние расследования в отношении нарушения этических стандартов?		P
	IPR, IPR(II.1)	Установление и соблюдение лимитов ответственности в зависимости от сумм закупок и платежей		P
	IPR, IPR(II.1)	Проводится ли преддоговорная проверка правового и налогового статуса контрагентов?		P
	IRR, IPR, IPR (II.l)	Контроль за использованием служебной информации в целях обогащения, неэтичного поведения на рынках		P
	IOR, IRR, IPR	Проводятся ли процедуры выявления мнимых и притворных сделок?		P
	IOR, IRR, IPR	Контролируются ли операции и отражение их в учете в случае применения цепочки контрагентов?		P
	IOR, IRR, IPR	Проводится ли оценка возможности вовлечения контрагента в коррупционные схемы?		P
	IOR, IRR, IPR	Проводится ли оценка тесноты взаимосвязи и родства контрагентов и менеджеров, сотрудников, вовлеченных в сделку?		P
	IPR IPR (II.l)	Имеются ли факты сознательного обхода средств контроля?		P
	IPR , IPR (II.l)	Контролируется ли правильность ввода операций вручную; корректировок в начале и в конце отчетных периодов?		P
Разграничение полномочий	IOR, IRR, IPR	Назначены ли уполномоченные лица, ответственные за контроль и взаимодействие с таможенными, налоговыми и иными органами?	P
Итоговая оценка		Оценка комплаенс-риска на уровне дизайна
		Оценка комплаенс-риска на уровне операционной эффективности
		Количество предотвращенных нарушений

 

В ходе мониторинга и оценки управления комплаенс-рисками (табл. 5) необходимо установить процедуры идентификации, количественно-качественные методы оценки, запланированные и выполненные мероприятия по снижению комплаенс-рисков, методы оценки значимости рисков, процедуры документального оформления результатов оценки.

 

Таблица 5

 

Рабочий документ

"Мониторинг и оценка управления комплаенс-рисками"

 

Функция элемента комплаенс-контроля		Тестируемый вопрос	Оценка		R	K	S
			Дизайн	Операционная эффективность
1	2	3	4	5	6	7	8
Идентификация и анализ рисков	IOR, IRR, IPR	Действует ли количественная/качественная оценка комплаенс-рисков?		P
	IOR, IRR, IPR	Учитываются ли факторы возможного возникновения регуляторных рисков, анализируются ли риски при внедрении инноваций, новых продуктовых линий, открытия новых производств, филиалов?		P
Оценка рисков несоблюдения требований законодательства	IOR, IRR, IPR	Наличие подразделения / должностного лица, ответственного за управление рисками, оценкой мотивов, возможностей и обстоятельств мошенничества	P
Идентификация и анализ актуальных задач и значительных изменений	IOR, IRR, IPR	Известны ли руководству события и факты, оказывающие негативное воздействие? Происходят ли изменения в макросреде, приводящие к изменению рисков?		P
Меры управления рисками	IOR, IRR, IPR	Представляется ли отчет по рискам собственнику / исполнительному органу?		P
	IOR, IRR, IPR	Скоординирован ли процесс управления регламентным риском (выявление, оценка, мониторинг, разработка мер по снижению риска)?	P
	IOR	Какие меры предпринимаются для снижения рисков невыполнения инвестиционных программ, планов, бюджетов?		P
	IOR, IRR, IPR	Применяются ли процедуры сокращения, принятия, перераспределения рисков?		P
Итоговая оценка		Оценка комплаенс-риска на уровне дизайна
		Оценка комплаенс-риска на уровне операционной эффективности
		Количество охваченных комплаенс-рисков

 

Оценка системы мониторинга средств контроля необходима в случае сбоев в информационных системах, при переходе на другую автоматизированную систему учета, внедрении новых технологий, разработке новых видов продукции, при появлении новых видов операций. Предлагаемые вопросы и процедуры для оценки системы мониторинга представлены в табл. 6.

 

Таблица 6

 

Рабочий документ "Оценка системы мониторинга"

 

Функция элемента комплаенс-контроля		Тестируемый вопрос	Оценка		R	K	S
			Дизайн	Операционная эффективность
1	2	3	4	5	6	7	8
Осуществление одновременных или раздельных мероприятий оценки	IOR, IRR, IPR	Проводятся ли мониторинг изменения законодательства; актуализация действующего законодательства, антикоррупционных положений?		P
	IOR, IRR, IPR	Осуществляются ли процедуры мониторинга и проверки соблюдения требований к деловому поведению и принятия дисциплинарных взысканий в случае нарушений?		P
	IOR	Оцениваются ли на постоянной основе правила заключения договоров и регламенты проведения сделок по продажам?		P
	IPR (II.1)	Актуализируются ли внутренние положения в соответствии с законодательством, судебной и международной практикой, кодексами, стандартами?		P
	IOR, IRR, IPR	Контролируются ли постоянные изменения в отрасли, изменения планов, бюджетов; прогнозов; ключевых контрольных показателей?		P
Оценка недостатков системы и их устранение	IOR, IRR, IPR	Разработаны и внедряются ли рекомендации по повышению эффективности контрольных процедур?		P
Итоговая оценка		Оценка комплаенс-риска на уровне дизайна
		Оценка комплаенс-риска на уровне операционной эффективности
		Оценка устойчивости комплаенс-системы