Как выстроить систему внутреннего контроля, для обеспечения полноты, достоверности учета и отчетности

"Внутренний контроль в кредитной организации", 2024, N 4

КАК ВЫСТРОИТЬ СИСТЕМУ ВНУТРЕННЕГО КОНТРОЛЯ, ЧТОБЫ ОБЕСПЕЧИТЬ ПОЛНОТУ И ДОСТОВЕРНОСТЬ УЧЕТА И ОТЧЕТНОСТИ

Из-за значительного повышения уровня автоматизации процессов бухгалтерского учета риск необеспечения полноты и достоверности учета и отчетности банков значительно минимизирован, но не исключен в полной мере. Более того, частые изменения в нормативных требованиях, поиск новых видов и форм сделок, импортозамещение и иные факторы создают предпосылки для повышения уровня операционных и регуляторных рисков. Эффективно выстроенный внутренний контроль в целях обеспечения полноты и достоверности бухгалтерского учета и отчетности может позволить быстро адаптироваться к изменениям при минимальном влиянии на уровень риска.

Нормативные документы устанавливают обязанность по организации и осуществлению внутреннего контроля в целях обеспечения полноты и достоверности бухгалтерского учета и отчетности, но не предусматривают конкретный порядок, формы и методы его организации, предлагая ориентироваться на рекомендации <1>. Следовательно, главные бухгалтеры и руководители учетных подразделений должны самостоятельно определить подходы и принципы организации системы внутреннего контроля в целях обеспечения полноты и достоверности бухгалтерского учета и отчетности в каждой конкретной организации, исходя из присущего именно ей уровня рисков.

--------------------------------

<1> Пункты 7 - 9 ст. 21 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете".

Рассмотрим подходы и принципы, которыми можно руководствоваться при формировании системы внутреннего контроля в области бухгалтерского учета, и оценим, как это может повлиять на исключение ошибок в учете и минимизацию операционных рисков.

Способы исключения недостоверных данных в учете

Как известно, компонентами системы внутреннего контроля являются <2>:

- контрольная среда;

- система управления рисками;

- контрольные процедуры;

- информационная система;

- мониторинг средств контроля.

--------------------------------

<2> Пункт 13.5 Приказа ФНС России от 25.05.2021 N ЕД-7-23/518@ "Об утверждении Требований к организации системы внутреннего контроля, а также форм и форматов документов, представляемых организациями при раскрытии информации о системе внутреннего контроля" (далее - Приказ N ЕД-7-23/518@).

Ошибки в бухгалтерском учете - это риски, которые привели либо могут привести к событиям операционного риска вследствие применения к кредитной организации регуляторных мер воздействия либо вследствие предъявления претензий клиентами. Для того чтобы ошибки не стали реализовавшимися событиями операционного риска, необходимо построить систему, позволяющую предотвратить либо в максимально короткие сроки выявить и устранить недостоверные данные бухгалтерского учета и отчетности.

Таким образом, система внутреннего контроля должна обеспечивать выполнение контрольных процедур, направленных на предупреждение или минимизацию рисков, влияющих на достижение целей организации <3>, в том числе на обеспечение полноты и достоверности бухгалтерского учета и отчетности.

--------------------------------

<3> Пункт 9.1 Приказа ФНС России N ЕД-7-23/518@.

Контрольные процедуры являются одним из основных видов воздействия на риск и представляют собой мероприятия, действия работников и (или) операции информационных систем, осуществляемые на различных уровнях организационной структуры и направленные на уменьшение вероятности реализации риска и (или) минимизацию величины риска как угрозы <4>.

--------------------------------

<4> Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 "О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах".

Следовательно, если разработать и внедрить в бизнес-процессы кредитной организации контрольные процедуры при отражении в бухгалтерском учете всех совершаемых операций, возможно минимизировать риск отражения недостоверных данных в бухгалтерском и налоговом учете.

Рассмотрим способы и методы реализации контрольных процедур в бизнес-процессах совершения операций, проведения расчетов и отражения сделок.

Система внутреннего контроля должна функционировать на всех уровнях контроля бизнес-процесса (операции), в том числе:

- до фактического начала бизнес-процесса (операции) - с целью предупреждения или минимизации негативного воздействия событий и факторов, которые могут повлиять на достижение целей организации;

- непосредственно в ходе осуществления бизнес-процесса (операции) - с целью своевременного выявления и немедленного устранения возникающих в ходе работы нарушений и отклонений от заданных параметров;

- после осуществления бизнес-процесса (операции) - с целью установления достоверности отчетных данных и оценки соответствия результатов целевым (плановым) показателям <5>.

--------------------------------

<5> Приказ ФНС России N ЕД-7-23/518@.

В связи с этим различают предварительные, текущие (оперативные) и последующие контрольные процедуры.

По форматам контроля контрольные процедуры могут быть:

- безусловные - алгоритмы и настройки автоматизированных систем, устанавливающие порядок действий при отражении операций в учете и блокирующие некорректные действия;

- субъективные - ручной дополнительный контроль и контрольные сверочные отчеты.

Основные формы и методы контроля

Рассмотрим одну из форм эффективного предварительного контроля для минимизации ошибок в учете - обеспечение соответствия алгоритмов и настроек автоматизированных учетных систем учетной политике банка, методикам учета, инструкциям и правилам. При разработке, внедрении либо донастройке автоматизированных систем учета помимо общих регуляторных требований необходимо использовать внутренние требования в отношении конкретных операций и сделок, правила логической взаимосвязи и последовательности событий, характеристик и т.п.

Основная часть документов, являющихся основанием для совершения операции, отражения сделки, формируется в автоматизированных системах на основании введенных первичных данных клиента либо заключенной сделки. Поэтому контрольные процедуры в большей степени должны быть направлены на соответствие первичных данных клиента/договора и т.п. данным, внесенным в автоматизированные системы, а также на исключение возможности их последующего изменения либо изменение только при наличии соответствующей санкции (верификации, акцепта и т.п.).

Например, этими данными являются статус резидентности клиента, срок заключения сделки, курс валюты, котировки ценных бумаг, процентные ставки и т.п.

Но для организации эффективной системы внутреннего контроля недостаточно предусмотреть автоматизацию правил проведения операций и отражения их в учете. Необходимо обеспечить реализацию и безусловное функционирование следующих контрольных процедур:

- подтверждение наличия полномочий на совершение операции, формирование записей в учете посредством ввода кодов, паролей, использования ключей и разграничения прав доступа к автоматизированным системам;

- фиксация информации о совершенной операции и ее исполнителе;

- обеспечение сохранности данных о совершенных действиях (сохранение удаленных записей, обеспечение сохранности первичного документа);

- обеспечение отражения всех совершенных действий как записями в системе, так и с возможностью визуального просмотра в электронном виде и вывода на печать.

Совокупность автоматизированных форматно-логических контролей, интегрированных правил открытия счетов и формирования бухгалтерских проводок, а также комплексных шаблонов проектирования АБС, отвечающих за консистентность и сверку учетных данных, обеспечивает достоверность и полноту контрольных процедур бухгалтерского учета.

Таким образом, трансформация правил и требований в автоматизированные алгоритмы и настройки позволяет сформировать значимый компонент эффективной системы внутреннего контроля бухгалтерского и налогового учета и исключить ошибки при совершении операций, проведении расчетов и отражении сделок.

Вместе с тем исключение возможности совершения сотрудниками самостоятельных либо несанкционированных действий позволит облегчить текущий и последующий контроли.

Чтобы обеспечить высокий уровень эффективности данного компонента системы внутреннего контроля в зоне ответственности главных бухгалтеров и руководителей учетных подразделений, при реализации указанных правил и требований к автоматизированным системам учета необходимо привлекать экспертов с углубленными знаниями бухгалтерского учета - специалистов учетных подразделений, методологов, консультантов, специалистов по внутреннему контролю бухгалтерского учета, технологов и бизнес-аналитиков.

После реализации алгоритмов и настроек систем требуется подтверждение корректности реализации требований посредством тестирования специалистами учетных подразделений, а также периодический мониторинг на актуальность. При этом инициатором и ответственным за обеспечение соответствия настроек требованиям законодательства в части бухгалтерского и налогового учета является в большей степени не главный бухгалтер, а руководитель учетного подразделения.

Одним из признаков недостаточно эффективной системы внутреннего контроля является наличие ручных операций в автоматизированных учетных системах. Соответственно, снижение этого показателя говорит о положительной динамике в повышении эффективности системы внутреннего контроля в части полноты и достоверности бухгалтерского и налогового учета.

Чтобы получить достаточные гарантии полноты и достоверности бухгалтерского учета и отчетности в момент совершения операции (отражения в учете), в части автоматизированных операций необходимо сформировать контрольный контур автоматизированных учетных систем (мониторинг стабильности и корректности работы настроек и алгоритмов), а в части недостаточно автоматизированных операций - ручной дополнительный контроль (верификация, акцепт).

Обеспечение соответствия

дополнительного контроля уровню рисков

Дополнительный контроль отдельных неавтоматизированных операций, включая операции в корреспонденции со счетами, указанными в Приложении 3 к Положению N 809-П <6>, должен быть направлен на подтверждение следующих параметров:

- корректности ввода данных по совершаемой операции (наименование клиента, реквизиты договора, параметры сделки, курс и т.п.);

- соответствия отражаемой в учете операции ее основанию;

- корректности применяемых счетов и корреспонденции счетов;

- полноты и корректности заполнения реквизитов и атрибутов данных;

- арифметической точности вычислений.

--------------------------------

<6> Положение Банка России от 24.11.2022 N 809-П "О Плане счетов бухгалтерского учета для кредитных организаций и порядке его применения".

При выстраивании процедур дополнительного контроля целесообразно руководствоваться подходами, предусмотренными в Положении N 716-П <7>, и рассматривать дополнительный контроль как часть общей системы внутреннего контроля в целях минимизации операционных рисков, относящихся к бухгалтерскому учету.

--------------------------------

<7> Положение Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".

Требованиями Положения N 809-П <8> предусмотрена возможность проведения дополнительного контроля автоматизированным путем. В этом случае должны быть обеспечены:

- однозначная идентификация подписи бухгалтерского работника, контролирующего работника, а также других должностных лиц, оформивших документ, проверивших его и санкционировавших совершение операции и отражение ее в бухгалтерском учете;

- блокировка в учетных системах возможности исполнения одним работником функций по выполнению операции и ее контролю.

--------------------------------

<8> Пункт 3.2 раздела 3 Положения N 809-П.

Для минимизации операционных рисков целесообразно осуществлять дополнительный контроль в момент ручного ввода данных в автоматизированные учетные системы вне зависимости от того, вводятся непосредственно счета учета и их корреспонденция или вводятся только наименование клиента, сумма операции и иные параметры и атрибуты, а счета и их корреспонденция определяются автоматизированным путем.

Таким образом, текущий (оперативный) контроль представляет собой мониторинг стабильности и корректности работы автоматизированных учетных систем и контроль достоверности данных, введенных вручную. При достижении достаточного уровня покрытия контролями указанных точек риска еще один компонент системы внутреннего контроля в целях обеспечения полноты и достоверности бухгалтерского учета и отчетности может быть признан эффективным.

Последующий контроль - это регулярные контрольные процедуры,

а не периодические проверки

Эффективного предварительного и текущего контроля недостаточно для построения эффективной системы внутреннего контроля. Для получения гарантий полноты и достоверности бухгалтерского учета и отчетности должен быть выстроен последующий контроль отраженных в учете фактов деятельности кредитной организации.

К процедурам последующего контроля могут быть отнесены:

- процедуры контроля в рамках завершения операционного дня;

- процедуры контроля при формировании документов дня (сшивы и документы в электронном виде - ДЭВ) и передаче их на хранение;

- формирование книги регистрации открытых счетов и ведомостей открытых и закрытых счетов;

- инвентаризация имущества и счетов расчетов;

- мониторинг и периодические проверки актуальности и эффективности контрольных процедур.

Данные процедуры могут быть реализованы как в формате контрольных отчетов с последующей ручной обработкой, так и в форме автоматизированного мониторинга с соответствующими сигналами об отклонениях и протоколами реагирования на сигналы. Способы и инструменты проведения таких сверок и процедур контроля могут быть организованы в тех форматах и объемах, которые соответствуют уровню автоматизации процессов кредитной организации и ее контрольной среде.

Так, в процессе завершения дня необходимо предусмотреть следующие процедуры контроля:

- контроль на "красное сальдо";

- контроль переносов остатков на соответствующие счета по правилам учета (просроченная задолженность и т.п.);

- сверку данных синтетического и аналитического учета (реконсиляция);

- отработку логических контролей (если остаток есть, то должно пройти начисление <...>, сделана дополнительная проводка <...>; если входящий остаток по счетам <...> на последний день месяца не равен нулю, то в последний день месяца должны быть обороты по счетам <...>, исходящий остаток по балансовому счету <...> не превышает исходящий остаток по внебалансовому счету <...>);

- контроль корректности корреспонденции счетов доходов и расходов;

- контроль равенства остатков на счетах <...>;

- контроль равенства общей суммы оборотов по счетам <...>;

- контроль обнуления остатков по счетам <...>;

- контроль урегулирования "чувствительных" счетов;

- подтверждение завершения всех предусмотренных процессов;

- иные виды контроля.

При организации процедур контроля в части формирования документов дня (сшивы и ДЭВ) в соответствии с требованиями Банка России <8> необходимо обеспечить сверку электронных документов дня и бухгалтерских документов на бумажных носителях на полноту по критерию соответствия количеству и объему операций, проведенных за операционный день в автоматизированных учетных системах, и данным ежедневной отчетности.

--------------------------------

<8> Указание Банка России от 25.11.2009 N 2346-У "О хранении в кредитной организации в электронном виде отдельных документов, связанных с оформлением бухгалтерских, расчетных и кассовых операций при организации работ по ведению бухгалтерского учета".

В целях контроля загрузки электронных документов на хранение должен быть обеспечен контроль полноты (успешности) загрузки электронных документов по всем операциям за определенный операционный день. Нормативные требования позволяют формировать бухгалтерские документы дня полностью в электронном виде. Для оптимизации процедур контроля при формировании документов дня необходимо предварительно минимизировать количество бумажных бухгалтерских документов. Можно оставить только документы на бумажных носителях клиентов банка с их "живой" подписью. Во всех остальных случаях документы на бумажных носителях не требуются, если все соответствующие параметры и атрибуты внесены в автоматизированные учетные системы.

Чтобы обеспечить полноту и корректность книги регистрации открытых счетов, требованиями раздела 2 Положения N 809-П <9> предусмотрено формирование ведомостей открытых и закрытых счетов, что является процедурой контроля следующих параметров:

- некорректного формата либо отсутствия данных;

- соответствия даты открытия лицевого счета дате договора;

- наличия сообщения в налоговые органы и соответствия дат;

- наличия ответственного лица и подразделения;

- соответствия даты сообщения в налоговые органы дате фактического закрытия счетов;

- исключения задвоения номеров лицевых счетов;

- наличия ключа номера счета;

- иных параметров.

--------------------------------

<9> Пункт 2.1 раздела 2 Положения N 809-П.

Инвентаризация - процедура контроля, представляющая собой периодический контроль полноты и качества регулярных контрольных процедур, который должен проводиться в соответствии с требованиями законодательства РФ <10>. Качественное проведение инвентаризации также может являться эффективной процедурой контроля полноты и достоверности бухгалтерского учета активов и обязательств <11>.

--------------------------------

<10> Статья 11 Федерального закона от 06.12.2011 N 402-ФЗ "О бухгалтерском учете".

<11> Пункт 2.1 гл. 2 Указания Банка России от 04.09.2013 N 3054-У "О порядке составления кредитными организациями годовой бухгалтерской (финансовой) отчетности".

Инвентаризация счетов расчетов представляет собой подтверждение остатков на счетах учета расчетов с дебиторами и кредиторами, расчетов по требованиям и обязательствам и незавершенных расчетов. Периодичность, методы и инструменты этой процедуры должен определить главный бухгалтер либо руководитель учетного подразделения <12> в соответствии с требованиями Банка России.

--------------------------------

<12> Пункт 3.2 раздела 3 Положения N 809-П.

Вместе с тем цель инвентаризации имущества - обеспечить сохранность имущества, в связи с чем данный процесс не является контрольной процедурой в целях обеспечения полноты и достоверности бухгалтерского учета.

Формами последующего контроля также являются мониторинг и периодические проверки актуальности и эффективности контрольных процедур. Проведение проверок последующего контроля предусмотрено требованиями Положения N 809-П <13>. Данными требованиями определено, что "в процессе последующих проверок должны вскрываться причины выявленных нарушений правил совершения операций и ведения бухгалтерского учета и приниматься меры к устранению недостатков". Таким образом, проверки последующего контроля проводятся по выявленным в рамках процедур контроля нарушениям правил ведения учета. В ходе проверок подтверждаются полнота и корректность исправления выявленных нарушений, проводится расследование причин этих нарушений и разрабатываются меры для недопущения нарушений в будущем. Следовательно, основная роль последующих проверок - исключить повторение тех нарушений, которые уже выявлены и зафиксированы.

--------------------------------

<13> Пункт 3.3 раздела 3 Положения N 809-П.

Вместе с тем периодический мониторинг процедур предварительного и текущего контроля позволит обеспечить эффективность процедур до совершения операций и выявить риски, которые еще не реализованы. Для этих целей необходимо тестировать все процедуры контроля на достаточность покрытия рисков в случае изменения соответствующих факторов:

- изменения требований регулятора, внутренних нормативных документов и тарифов;

- миграции данных;

- перехода на новые автоматизированные системы/доработки автоматизированных систем;

- организационных изменений;

- появления/изменения бизнес-процессов реализации продуктов банка;

- изменения иных факторов.

Итак, организация системы внутреннего контроля главными бухгалтерами и руководителями учетных подразделений, в том числе посредством формирования эффективных процедур контроля на всех этапах обработки и проведения операций, не только обеспечивает выполнение требований законодательства в части бухгалтерского и налогового учета, но и позволяет значительно снизить операционные риски, а также обеспечить полноту и достоверность финансовой отчетности.

И. Харитончик

Начальник

Управления последующего контроля

Департамент учета и отчетности

Банк ВТБ (ПАО)

Подписано в печать

15.11.2024