Организация системы внутреннего контроля - позиция ФНС

Сегодняшняя наша с вами тема посвящена организации системы внутреннего контроля с позиции Федеральной Налоговой Службы, надо сказать что до того как Федеральная налоговая служба вообще рассказала про внутренний контроль и сформировала свое мнение мы с вами руководствовались мнением минфина в 2011 году.

Понятие внутренний контроль, появилась у нас с вами в федеральном законе 402-фз, а бухгалтерском учете, этому понятию была посвящена небольшая статья 19 внутренний контроль и тут встал вопрос, а как вообще-то организовать эту систему внутреннего контроля в организациях.

Никаких разъяснений не было, никто понять толком и на тот момент, пожалуй, только крупные компании с иностранным капиталом понимали, что вообще это за внутренний контроль такой. Так как зарубежные компании уже, в общем, давно выстраивали систему внутреннего контроля по различным концепциям.

Чаще всего это была концепция коса и соответственно внедряли эту систему в Российские дочерние компании, а вот прочие организации прочие юридические слабо себе представляли как все это организовать. Разъяснение у нас с вами не было практически никаких до 13 года, в тринадцатом году Минфин выпустил применение законодательства и в этом документе он разъяснил, что же такое все-таки понимается под внутренним контролем каковы его цели.

Что такое элементы внутреннего контроля, как документировать внутренний контроль, как вообще его организовать, но конечно же Минфин это все не сам придумал, все это было придумано до него и за основу была взята концепция системы внутреннего контроля.

Наверняка многие про нее знают многие для многих уже стало привычной вот этого трехмерная модель в виде кубика системы внутреннего контроля трехмерная матрица взаимосвязанных целей, уровни управления компонентов.

В данном случае я ее представила несколько в таком урезанном варианте в конце курса она побольше выглядит этот кубик более детализирован, здесь я немножечко его сделала поменьше для того, чтобы просто к требованиям минфина его больше, как бы приспособить, потому что цели минфина у нас только три выделено.

А вот здесь они у нас на сайте были помечены эффективность, результативность, достоверность бухгалтерской отчетности, рождения применимого законодательства и собственно говоря, кубик исходя из этих целей, я вам здесь представила на верхней стороне этого кубика, как раз цели у нас обозначены перед нами на стороне, которые прям перед нами.

Это у нас компоненты системы внутреннего контроля, которые выделил Минфин их 5 и боковая сторона — это уровни управления, это не что иное как наша с вами организационная структура, а хочу сказать, что значит система внутреннего контроля и по системе косо и ,так как она определена минфином должна отвечать полностью специфики финансовых хозяйственной деятельности организации и должна функционировать безусловно на постоянной основе иначе в нашем СВК нет никакого смысла.

Одна из составляющих СВК — это система управления рисками и вот как раз эта схема это Матрица отражает способность организации рассматривать управление рисками, как всей компании в целом, так и по отдельным целям, по отдельным компонентам, по отдельным подразделениям, которые входят в структуру предприятия и так далее.

Что же у нас Федеральная налоговая служба и как она определяет систему внутреннего контроля в ФНС не осталось в стороне от СВК. И вот я не зря упомянула про систему управления рисками, именно риск, ориентированный подход лег в основу новой формы налогового контроля. Налоговый мониторинг с 1 января 15 года в налоговом кодексе произошли изменения, там был установлен, как раз вот прописан, прописана новая форма налогового контроля, в форме налогового мониторинга.

Вообще, надо сказать, что Федеральная налоговая служба, она как-то на мой взгляд более шире подошла к определению СВК нежели Минфин, как раз именно позицию ФНС, как она определяет систему внутреннего контроля. Мы сегодня посмотрим, будем рассматривать в налоговом кодексе, достаточно объемное определение системы внутреннего контроля, она сейчас перед вами, это статья 105.26, но смысл в том, что организация, организация она не просто должна разработать какие-то там методики и положения о системе внутреннего контроля по управлению рисками.

Но это должно еще работать, то есть вы не просто разрабатываете, положили на полку и забыли про это, должно реально работать в исполнении вот этой статьи 105.26 ФНС было был разработан подзаконный акт, приказ 518 по требованиям к организации системы внутреннего контроля.

В приказе был определен порядок организации СВК требованиях компонентам, а порядок раскрытия информации для целей налоговых органов, оценка СВК и определение уровня организации системы внутреннего контроля. Кроме того, в приказе дан алгоритм, благодаря которому организация самостоятельно может определить, а на каком же уровне у нее находится система внутреннего контроля.

Здесь я хочу обратить внимание, вот на какой момент, конечно приказ 518 был прежде всего принят для действующих участников налогового мониторинга, и для потенциальных участников, которые собираются туда вступить. Однако нигде и никем не запрещено использовать данное положение, по всем остальным юридическим лицам, который пока не в мониторинге.

Почему я говорю пока, потому что скорее всего через год-два все организации, которые подпадают под определенные критерии, установленные налоговым кодексом, в обязательном порядке войдут в налоговые мониторинг и обязаны будут выполнять все эти требования, которые установлены приказом 518, поэтому я хочу на нем сегодня остановиться поподробнее.

У нас налоговое администрирование переходит на совершенно другой уровень взаимодействия, на цифровое взаимодействие, поэтому этому уже с вами наблюдаем из физическими лицами и с малыми предприятиями, и с ипэшниками.

И вот уже дело доходит до среднего и крупного бизнеса, вводятся налоговый мониторинг, который скорее всего будет обязательным. Почему я сказала, что Федеральная налоговая служба более шире и детальнее подошла к определению системы внутреннего контроля, вот сейчас перед вами на слайде для сравнения приведены цели СВК, как они изложены минфином и как они изложены 518 приказе Федеральной налоговой службе.

В варианте с ФНС этих целей больше, ну давайте мы с вами разберемся, действительно ли это так или просто, ФНС детально раскрыла те цели, которые были ранее представлены минфином и цели по концепции стрелочками показано полное совпадение целей минфина и ФНС, и там и там упорядочная эффективное ведение финансово-хозяйственной деятельности, и там и там достоверность и своевременность бухгалтерской отчетности, но только обращаю внимание, что минфин говорит только про бухгалтерскую отчетность.

Но это естественно он является регулятором бухгалтерского учета и отчетности, а вот ФНС говорит и о бухгалтерской отчетности, и у налоговой, а прочие отчетности более шире подходит к этому ну и соответственно у нас соблюдение законодательства Российской Федерации, а вот что касается трех остальных, а цели которые выделены фнсом, то давайте подумаем с вами вот о чем. Может ли организация эффективно функционировать и достигать своих целей и составлять корректную отчетность без управления рисками, без выявления оценки, без минимизации устранения рисков, без мониторинга результатов выполнения контрольных процедур.

Понимания, насколько эффективны они работают, можно ли говорить о соблюдении законодательства, если не соблюдается правильность исчисления, полнота, своевременности платы налогов. Конечно, мы не можем об этом говорить таким образом вот на мой взгляд цели из ВК, которые были установлены федеральные налоговые службы 518 приказе, являются более детализированными и никак вообще не противоречат целям минфина и целям по системе курса, кроме того ФНС является регулятором налоговой системы и администрирует налоги и, поэтому конечно же, когда они формулировали в 518 приказе своей цели, они не могли обойти их стороной и выделили их как бы вот в отдельные цели.

Как я уже сказала, система внутреннего контроля и по системе косо и по требованиям минфина ну и соответственно по 518 приказу ФМС должна функционировать на всех абсолютно уровнях контроля осуществления бизнес-процессов и операций. Для начала бизнес-процесса, для чего нам это нужно мы должны понимать, мы должны спрогнозировать предупредить планировать те риски, которые могут возникнуть минимизировать их уже на стадии планирования по возможности для того, чтобы максимально избежать негативного воздействия.

А вот этих событий факторов, которые могут повлиять на достижение целей, ради которых, собственно говоря, была создана организация в ходе осуществления бизнес-процесса это тоже отдельная такая тема. Нам необходимо выявлять свои временные выявлять и по возможности минимизировать и устранять возникающие в ходе работы риски и как-то, а вот эти отклонения от заданных параметров постараться смягчить.

Ну и уже после осуществления бизнес-процессов, конечно, нам необходимо понимать насколько достоверно, мы получили достоверные данные у нас полученные насколько у нас результаты, которых мы фактически добились соответствуют тем целевым плановым показателям, на которые мы рассчитывали, поэтому система внутреннего контроля функционирует. У нас, конечно, от начала и до конца на постоянной основе, а вот теперь что определяет у нас 518 приказ — вот как раз тот алгоритм.

Мы постараемся хотя бы вкратце его рассмотреть, как можно оценить систему внутреннего контроля по требованиям ФНС уровень СВК оценивается организация самостоятельно и оценка. Это производится по всем пяти компонентам по определенным критериям какие это компоненты они, собственно говоря, не отличаются никак от того, что определил Минфин.

Это контрольная среда, это система управления рисками это контрольные процедуры информационные системы и мониторинг средств контроля, вот эти компоненты мы будем оценивать. По критериям про критерии скажу чуть-чуть попозже, мы будем рассматривать отдельно, выполнение вот этих вот критериев дает возможность присвоить баллы и отнести соответственно систему внутреннего контроля к определенному уровню.

Суммировав эти баллы, таких уровней ФНС выделяет пять, самый начальный это от 0 до 20 баллов ну, честно говоря, это, наверное, когда вы организации вообще практически на нуле это система внутреннего контроля, возможно она есть, но ничего не формализовано никаких положений у нас не утверждено не разработана. Ну то есть что-то есть, но мягко говоря не совсем соответствует требованиям. Ну и самый, пожалуй, продвинутый это совершенствуемый уровень — это когда у нас с вами система внутреннего контроля набирает от 80 до 100 процентов.

Но честно могу сказать, у нас вот я никогда ни разу еще в практике не сталкивалась с организациями, которые имеют совершенствуемый уровень системы внутреннего контроля на самом деле это такая СВК, при которой автоматизирована вообще все автоматизированные выявления оценка, документация, контрольные процедуры. Все проходит в автоматическом режиме, такое практически ни у кого я не встречала, честно вам скажу уровень, уровень организации СВК и порядок проведения налогового мониторинга.

Раз уж мы о нем говорим взаимосвязаны друг с другом каким образом, чем выше уровень СВК, тем меньше информации будет запрошена у организации в ходе проверки. Ну и естественно при подготовке к тому же самому мониторингу, или если Вы самостоятельно будете готовить свои свою систему внутреннего контроля конечно. Нужно максимально стремиться, приблизиться хотя бы к пятому уровню.

Систему внутреннего контроля совершенствуема хотя бы управляемым, но это в общем достаточно сложно давайте. Мы сейчас с вами пройдемся уже по критериям, которые необходимо оценивать для того, чтобы понимать уровень системы внутреннего контроля. Так первые компонент, контрольная среда она будет оцениваться у нас с вами по четырем критериям, в организации должны быть утверждены, доведены до сведения каждого сотрудника профессиональные, этические и поведенческие стандарты.

Это первый критерий, второй критерий мы должны с вами оценить, насколько активно руководитель нашей организации участвует в выстраивании системы внутреннего контроля. У нас контрольная среда должна быть сформирована на основе принципов и стандартов, которые как раз направлены на поддержание руководством, да и сотрудников в целом организации системы внутреннего контроля.

Далее в организации должно быть установлено разделение ответственности, распределение полномочий и обязанностей сотрудников, обеспечивающий функционирование мониторинг, оценку организации, совершенствования системы внутреннего контроля.

Это функции абсолютно разные, они должны быть разделены в этом, мы находим даже сопротивление какое-то иногда со стороны руководство компании, потому что не все руководители понимают, насколько именно вот такое разделение, распределение полномочий и обязательств, обязанностей насколько оно важно для выстраивания системы внутреннего контроля.

Четвертый критерий, компетенции развития персонала, это значит в организации должны быть утверждены стандарты найма, мотивации, оценки продвижения, увольнения сотрудников сертификации и так далее.

Я хочу обратить Ваше внимание на следующее, как раз на вопрос оргструктуры разделение ответственности и полномочий сотрудников, в большинстве случаев вот я на встречах даже сталкиваюсь с такими проблемами организации.

Поясняют как я уже сказал, что руководство не идет на то, чтобы создавать отдельные какие-то, подразделения, которые, например, осуществляли было внутренний контроль или внутренний аудит, и задают нам вопрос, а может ли, можем ли мы на бухгалтерию возложить функции и сбора первички и отражение операции в учете и формирование отчетности контроля за правильностью выявления рисков и оценку эффективности контроля и внутреннего аудита, всю на бухгалтерию.

Да можно, но это значит, что у нас с вами из ВК по этому критерию не работает, не работает для предотвращения попыток нарушить требования системы внутреннего контроля в обществе, должно быть обеспечено разделение несовместимых функций. А вот то, что я сейчас перечислила, когда мы с вами и первичку отражаем и собираем и в учете отражаем и отчетность эффективность контроля и проверяем, это функция и конечно ну на крупных предприятиях.

Понятное дело более-менее распределение, разделения вот этих функций соблюдается для среднего бизнеса, пожалуй, это только вот в будущем, они начинают сейчас это понимать и постепенно, наверное, будем двигаться в этом направлении. Если у нас речь с вами зайдет о том, что тот же самый налоговый мониторинг будет обязательно.

Именно поэтому нам очень важно понимать, вам важно понимать функционал каждого подразделения и сотрудников, которые работают в нашей с вами, ваших организаций. Кому подчинен сотрудник, кем он руководит, его функции, решение которые он имеет право принимать, его ответственность, документы, которые он имеет право составлять, подписывать, исполнять, контролировать, какова его взаимозаменяемость, кто его может заменить, и кого он может заменить.

Вот таким образом их продолжение этого вопроса обращаю Ваше внимание на следующее, а конечно, выстраивание надежных эффективных системы внутреннего контроля, системы управления рисками, безусловно способствует повышению результативности до любого бизнеса и достижения цели, ради которых была создана та или иная компания и ответственность.

Вот за то, что вот эти системы функционируют, несет руководство именно оно призвано внедрить эти системы с учетом своей отраслевой специфики, размера организации, это тоже имеет большое значение нормативно-правовой среды, в которой существует вот эта организация, который она осуществляет свою деятельность и многих других факторов.

В 2013 году коллеги, Международный Институт внутренних аудиторов разработал модель так называемая модель трех линий защиты, которая координирует вот процесс управления рисками и внутреннего контроля, за счет четкого определения и разграничения соответствующих функций и обязанностей.

Первая линия защиты, что это такое, это структурные подразделения, которые фактически являются владельцами риска и несут ответственность за что, за выявление риска, своевременное выявление, за оценку риска, за управление рисками, снижения уровня рисков, анализ формирования отчетности, ну и так далее.

Руководители этих структурных подразделений обязаны разработать и внедрить и обеспечить выполнение контрольных процедур, способных максимально минимизировать вот эти выявленные риски в рамках конечно своих структурных подразделений или в рамках тех бизнес-процессов, которые они курируют.

Вторая линия защиты — это подразделение, которые, собственно, обеспечивают методологический подход к управлению рисками определяют стандарты, координирует действия компании в области управления рисками. В компетенцию этих подразделений не входит ответственность за своевременные выявления оценка рисков, это как бы этим занимается этим занимаются структурные подразделения первой линии защиты, а во вторую линию обычно входят подразделение внутреннего контроля подразделение, которое обеспечивают безопасность внутреннюю соблюдение законодательства юридические службы и так далее.

Они как раз обеспечивают непрерывный мониторинг, такой процесс разработки и функционирование контрольных процедур, относящихся к первой линии защиты, консультирует по вопросам управления рисками, проводит обучение сотрудников компании и так далее. Но я хочу обратить внимание, что структурные подразделения, относящиеся к первой линии защиты и второй линии защиты они абсолютно взаимосвязаны, они друг без друга существовать не могут.

По сути то, что разрабатывает, вторая линия должна исполнять первое и второе соответственно их еще и контролировать, насколько они эффективно и своевременные правильно соблюдет, которая была разработана.

Ну и третья линия защиты, это служба внутреннего аудита, внутренний аудит у нас проводит независимую оценку эффективности управления рисками, выявляют нарушения, дает конкретные предложения по совершенствованию системы управления рисками.

Проводит мониторинг функции первого, вот этих структурных подразделений первой и второй линии защиты, осуществляет контроль выполнения мероприятий, которые были разработаны для того, чтобы повысить эффективность контрольных процедур.

Служба внутреннего аудита, она абсолютно независима и подчиняется непосредственно или совету директоров комитета по аудиту высшему органу, который имеется в организации в конкретной организации. внутренний аудит обеспечивает независимую и объективную гарантию и рекомендации относительно адекватности.

И вообще эффективности корпоративного управления внутренние аудиты, как я уже сказала подотчете высшему органу и как вот говорят, он является по сути глазами и ушами этого высшего органа, абсолютно независимая подразделение.

Но вот это вот независимость, как раз и гарантирует, что внутренний аудит непредвзят в планировании выполнении своей работы, пользуется безусловно беспрепятственным доступом к сотрудникам, к любому сотруднику, к ресурсам, к информации, которую ему потребуется для того, чтобы сделать какие-то выводы по поводу работы системы внутреннего контроля управления рисками.

Однако, тут я хотела бы обратить внимание на следующее, независимость совершенно не подразумевает изоляцию между внутренним аудитором и менеджментом, между структурами подразделениями первой и второй защиты, первой и второй линии защиты должна, должно быть регулярное взаимодействие, и работа должна быть выстроена в соответствии с теми стратегическими и операционными потребностями организации, которые они имеются на данный момент, ну иначе просто усилия внутреннего аудита и его работа, они будут неуместны, они будут никому не нужны.

Следующий компонент, который мы с вами оцениваем, это система управления рисками и оценивается этот компонент по трем критериям, выявление рисков, оценка рисков и документировании рисков.

Система управления рисками должна быть построена таким образом, чтобы своевременно предотвращать, минимизировать негативные последствия и достижения цели ради, которых организация была создана. Система управления рисками, как я уже говорила функционирует только на постоянной основе, должна быть обязательно регламентирована организационно распорядительными документами, то есть этот порядок выявления оценки документирования должен быть закреплен в локальных документах организации.

Но система управления рисками вообще включает в себя не только выявление, оценку и документирования — это целый такой комплекс последовательности действий, направленных на предотвращение и минимизацию возможного ущерба возможны. Во-первых, это планирование, и мы про это говорили, я про это сказал, уровне вот до начала бизнес-процесса, как раз должны быть запланированные возможные риски по новому бизнес-процессу.

Далее в этот комплекс конечно же входит, выявление оценка рисков, минимизация рисков, устранения, мониторинг рисков и так далее. Выявление рисков и оценка рисков должны осуществляться в отношении абсолютно всех операций, в том числе тех, которые требуют применения специального профессионального суждения, при отсутствии каких-то способов или методов расчета, например оценочных значений или методов признания доходов, например или расходов или так далее.

Выявление рисков и оценка рисков осуществляется и по однотипным операциям и операциям, которые не типичные для вашей организации по характеру, по объему, по частоте их осуществления, на это нужно обращать особое внимание и выносить эти риски рассматривать их отдельно.

Для чего мы оцениваем риск, оценка каждого риска должна проводиться для того, чтобы определить его уровень, какой это риск высокий средний или низкий, уровень риска у нас с вами напрямую зависит от вероятности его возникновения, и от тех последствий, которые риск может оказать на состояние компании, а следовательно у нас оценка уровня риска должна обеспечивать возможность определения влияние риска на достижение организации тех целей, ради которых организация, собственно, была создана.

Вот перед вами такой несколько может быть упрощенный вариант матрицы, которая позволяет определить уровень риска исходя из вероятности и последствий 518 приказом фз определено, что оценка риска должна проводиться организацией, методом который организация выбирает сама, то есть нам в приказе описали некую канву, дали, а мы уже сами должны разработать для себя и принять для себя эти методы, способы выявления оценки рисков, которые нам с вами удобные, которые мы сможем применить.

То есть для того, чтобы вот, например эта Матрица заработала, мы должны с учетом специфики деятельности с учетом наших объемов, нашей организации, определить, при каких условиях вероятность возникновения того или иного риска будет низкой, средней, высокой. На основании каких показателей мы можем оценить последствия от этого риска, как существенные несущественные или имеющие среднего влияния.

Вот все вот эти условия и методы определения вероятности и последствий, они у нас должны лечь в основу нашей, нашего вот систему управления рисков нашего локального документа. Тогда у нас с вами только в этом случае Матрица заработает, и тогда мы с вами будем адекватно определять уровень риска.

Какие факторы могут риск повысить, ну во-первых это макроэкономические изменения, изменения социально-экономической ситуации и собственно говоря, это риски, которые возникают конечно не по вине компании. Иногда мы даже можем не знать о нем заранее не можем предусмотреть и управлять таким риском, нам придется уже собственно возникновения связь, связь риска с требованиями по ведению бухгалтерского и налогового учета. Сложности осуществления хозяйственных операций — это скорее неумышленный человеческий фактор, риски эти будут относиться к контрольной среде больше и непосредственно в компетенции сотрудников. Степень ручного вмешательства ну тут, как я уже сказала, чем больше у нас будет автоматизировано рисков и контрольных процедур, тем больше уровень СВК у нас будет.

И вот еще хотела бы обратить внимание на такой фактор, как недобросовестные действия — это конечно превышение должностных полномочий руководством или иным персоналом, включая сговор на это тоже нужно обращать особое внимание.

Следующий компонент, который мы с вами должны будем оценить это контрольные процедуры и вот этот компонент мы оцениваем по 5 критериям. Мы должны понимать, насколько адекватно у нас контрольные процедуры описаны, как у нас организованы документирование, выполнения контрольных процедур, насколько они эффективны.

Какое количество автоматизированных контрольных процедур мы с вами имеем, и каково, вот это соотношение автоматизированных и ручных контрольных процедур обращаем внимание, что конечно контрольные процедуры, вы разрабатываете сами и вы вольны самостоятельно определить, какое количество контрольных процедур должно покрывать тот или иной риск.

Но вы должны быть абсолютно уверены, что ваши контрольные процедуры максимально минимизирует этот риск у любого пользователя, который не обладает специальными знаниями. Например, специфика вашей организации финансовых хозяйственной деятельности должно складываться понимание следующего, каким образом выполнение ту или иной контрольной процедуры направлена на предотвращение или минимизацию риска. Кто участвует в контрольной процедуре, кто отвечает за ее выполнение, как распределены от роли участника, до кем именно осуществляется выполнение контрольной процедуры, а кем осуществляется контроль в отношении, выполнения процедуры.

Здесь опять распределение у нас обязанностей, в чем заключается контроль, каким образом выявляются ошибки и какие документы свидетельствуют о том, что контрольная процедура была выполнена, вот это все у нас с вами тоже должно быть описано в наших документах, это все должно применяться.

Результаты выполнения контрольных процедур безусловно должны документироваться, а для того, чтобы систематизировать проводимые у нас с вами в организации контрольной процедуры, относящиеся к выявлению рисков, и для того, чтобы оценить степень предотвращения минимизации заявления рисков, организации составляет матрицу рисков и контрольных процедур и здесь сразу могу обратить внимание на то, что у нас не бывает рисков без контрольных процедур. Это грубейшая ошибка, означающая что риск у нас в организации он просто не отработан.

Что, может быть, в качестве контрольных процедур, что может выступать, вот здесь вот обратите, пожалуйста, внимание я здесь не зря написала, что Минфин равно ФНС потому что виды контрольных процедур ФНС и минфином они определены абсолютно одинаково.

Здесь практически нет никакой разницы, документальное оформление и подтверждение фактов хозяйственной жизни организации, это что это мы с вами так знаем, что записи в бухгалтерском учете и любом учете осуществляется только на основании первичных документов. Это одна из контрольных дальше у нас должна осуществляться сверка всех данных путем проверки, полноты, точности, корректности полученной информации.

У нас должен быть обеспечен надзор, который обеспечивает эту оценку достижения поставленных целей или показателей. У нас наши первичные документы должны соответствовать полностью тем требованиям, которые содержатся в законодательстве.

Дальше, следующая контрольная процедура — это, собственно говоря, о том, о чем мы уже с вами говорили это разграничение полномочий, в том числе посредством исключения совмещение одним должностным лицом функции инициирования исполнения, контроля совершения хозяйственных операций, это совершенно разные функции.

Дальше функционирование операций обеспечивающей подтверждение правомочности вообще их совершения, особенно если это касается расходования денежных средств, контроль за фактическим наличием имущества и вообще за состоянием объектов. Но это инвентаризация, да и вот эта процедура, она как раз обеспечивает сохранность наших с вами активов.

А вот следующая контрольная процедура, она относится непосредственно к информационным системам, и она связана с компьютерной обработкой информации, информационными системами осуществления контроля доступа. И безусловно у нас должен быть разграничен доступ должностных лиц к определенным блокам учета, в целях исключения несанкционированы доступа и возникновения бухгалтерской отчетности, искажения информации. И вот про информационные системы, это собственно следующий компонент, который мы оцениваем и подготовка информационных систем — вот это вот самый, пожалуй, трудный и долгий такой момент оценки самый сложный, наверное, из компонентов системы внутреннего контроля.

К информационным системам сейчас предъявляются очень большие требования и это неудивительно так как я уже говорила, чем больше процессов будет автоматизирована, тем выше уровень контроля, тем выше система внутреннего контроля.

Информационные системы у нас с вами оцениваются по 5 критериям, проводится ли внутренние и внешние аудит информационных систем, насколько часто он проводится, проводится ли он вообще.

Да как у нас работает защита от несанкционированного доступа, насколько корректно у нас работает информационные системы, для организации бухгалтерского и налогового учета, насколько корректно работает информационные системы для контроля за правильностью счисления подготовки отчетности и имеются ли вообще контроли, которые выполняются превентивно.

518 приказ ФНС предъявляет свои требования к информационным системам, что у нас должны выполнять информационные системы, во-первых, они должны таким образом обрабатывать данные, чтобы обеспечивать выявление и отслеживания ошибок, противоречий, неточностей и информировать о них в режиме реального времени. Кроме того информационные системы должны доводить до руководителя организации, как раз вот эту информацию об ошибках, выявленных о противоречиях и различных недостатках информационные системы, должны обеспечивать инициирование учета, обработку операций, составление отчетности по этим операциям, соответственно перенос в регистре бухгалтерского учета.

Практически каждая информационная система, под это заточена, ты должна конечно, обеспечивать исправление ошибок, противоречий точности при отражении операции в учете и так далее, но это требование, которые изложены в 518 а вот сейчас.

У нас на официальном сайте ФНС уже опубликован проект, приказа о требованиях к информационным системам, и вот здесь в этом проекте приказа эти требования гораздо шире и их очень много. Они разработаны в целях установления единообразных подходов к порядку получения, обработки документов, которые будут использовать налоговые органы при осуществлении налогового мониторинга.

Здесь мы, конечно, к мониторингу опять возвращаемся, что должны обеспечивать информационные системы в соответствии с проектом приказа по требованиям, во-первых, доступ к документам, а затем получение, обработка документов, которые налоговая будет потом использовать при проведении проверок.

Проведение автоматизированной проверки контрольных соотношений показателей налоговой отчетности, мы должны понимать, что у нас внутри документальный контроль соблюдается, что она соблюдается контроль в налоговых регистрах. Сводные аналитические налоговые регистры, все вот эти вот автоматические контроли у нас должны быть абсолютно соблюдены.

Далее, формирование состава структуры раскрытия показателей регистров бухгалтерского налогового учета, в информационных системах должны быть размещены документы на русском языке, кроме того, информационные системы должны содержать следующую информацию о самой организации, архив документов, которые будут использоваться налоговиками при проверке, бухгалтерскую отчетность, налоговую иную отчетность, которая будет необходимо.

Все регистры бухгалтерского и налогового учета расшифровка отдельных показателей документы, которые будут связаны с исчислением уплатой перечислением налогов сборов, то есть это максимальная такая информация, который будет содержаться в информационных системах. Ну и кроме всего прочего, огромное количество других требований по функциональным возможностям, по раскрытию информации, показателей налоговой отчетности, по запросной системе и так далее и так далее.

Что должно содержаться и всем этим требованиям должны соответствовать вашей информационной системы, нам с вами ничего не остается делать, как только соблюдать эти требования в том случае, если мы попадем под налоговый мониторинг.

Буквально два слова упомянуть хотелось, что на сегодняшний день Федеральная налоговая служба внедряет пилотный проект по интеграции информационных систем компании с информационной системой ФНС уже в 21 году была создана Рабочая группа по интеграции полностью ее планирует завершить, обкатать к 24-му году и уже в 24 году все те, кто будет заходить на налоговый мониторинг, они уже будут сразу интегрироваться с информационной системой налогового органа.

Соответственно процесс этот будет следующим, то есть система будет общаться с системой, по сути, даже без вмешательства специалистов бухгалтеров и про третий критерий компонент, хочу еще сказать, это мониторинг организации средств контроля. Он будет оцениваться у нас с вами по трем критериям, каким вообще образом проходит мониторинг и оценка СВК, разрабатываются ли мероприятия по совершенствованию языка и проводится ли у нас внутренние и внешние аудит. С какой периодичностью он проводится, для чего все это нужно, а мы с вами должны понимать, что в организации мало того, что у нас должны присутствовать, конечно все элементы внутреннего контроля всех компонентов.

Необходимо еще, чтобы они работали, и вот целью проведения мониторинга является, как раз оценка эффективности системы внутреннего контроля, оценка эффективности контроля процедур и способность вообще обеспечить выполнение поставленных целей задач и выявление существенных недостатков системы внутреннего контроля.

И разработка как раз мероприятия по совершенствованию системы внутреннего контроля, они направлены для того, чтобы убрать все недостатки системы и сделать ее более эффективным. Мониторинг проводится непрерывно, то есть внутренний контроль у нас должен мониториться на постоянной основе, входит повседневной деятельности организации.

Для понимания, конечно, эффективности системы внутреннего контроля, общество проводит оценку на предмет соответствия ее определенному уровню, про который мы вот с вами сегодня говорили. Начальные это уровень или совершенствуемый, и как он допустим в течение года изменился, повысился у нас с вами уровень системы внутреннего контроля или не повысился, и, если он не повысился почему и какие мероприятия мы должны провести для того, чтобы у нас система внутреннего контроля уровень ее повысился.

Мониторинг системы внутреннего контроля, будет считаться эффективным только в том случае, если по итогам его проведения были предприняты организации, соответствующие мероприятия по рассмотрению результатов и вынесения решений по устранению недостатков, по принятию соответствующих рисков.

Может быть, разработки дополнительных контрольных процедур, которые могут снизить риск до минимума.

Коллеги, вот это, собственно, пожалуй, все те требования, которые на сегодняшний момент предъявляет Федеральная налоговая служба, еще раз повторю эти требования были разработаны для действующих и потенциальных участников налогового мониторинга, но нам никто не запрещает пользоваться этими требованиями и организовывать свою систему внутреннего контроля.

Таким образом, чтобы она у нас вышла на достаточно высокий уровень и еще раз напомню, что возможно возможно, через год-два налоговый мониторинг, это форма налогового контроля будет обязательно для тех компаний, которые будут подходить под определенные критерии, установленные сейчас налоговым кодексом, я, пожалуй, на этом хотела бы уже закончить свое выступление.

Эксперты

Эксперт - Светлана Еремина

Опыт практической работы в реальном секторе, в аудите и консалтинге более 20 лет.

Многолетний опыт проверки крупных предприятий, в числе которых ДЗО ПАО «ГМК «Норильский никель», группы «Стройгазконсалтинг», группы «Роза Хутор», ООО «Адидас», группы компаний «Роснефть», ДЗО АО «Зарубежнефть», ДЗО АО «Ростелеком», Футбольный клуб «Москва», МФК «Норильский никель», Баскетбольный клуб ЦСКА, Хоккейный клуб ЦСКА, ГК «Атол», ГК «Ай-Теко» и другие.

Светлана Еремина

Руководитель комплексных проектов департамента «Финансовое консультирование, аудит и МСФО», эксперт по направлению «Налоговый мониторинг»

Услуги