Как организовать систему управления рисками, внутреннего контроля и аудита в публичном обществе

Совет директоров утверждает внутренние документы общества, в которых определяет принципы и подходы к организации системы управления рисками и внутреннего контроля, а также внутреннего аудита. Исполнительные органы общества обеспечивают ее создание и эффективное функционирование. Внутренний аудит проводит ответственный сотрудник, структурное подразделение общества либо сторонняя организация. Его проведение обязательно для публичных обществ с 01.07.2020.

1. Как организовать систему управления рисками и внутреннего контроля

1.1. Для чего организуется система управления рисками и внутреннего контроля

Система управления рисками и внутреннего контроля организуется, чтобы обеспечивать объективное и реальное представление о текущем состоянии дел в обществе, его перспективах, целостность и прозрачность отчетности, разумность принимаемых рисков (п. 5.1.3 Кодекса корпоративного управления).

Задачами такой системы в публичном обществе прежде всего являются:

  • минимизация рисков в деятельности;
  • обеспечение сохранности активов;
  • обеспечение соблюдения требований законодательства в процессе деятельности;
  • обеспечение своевременности и достоверности всех видов учета и отчетности;
  • предупреждение коррупции и противодействие ей.

1.2. Кто участвует в системе управления рисками и внутреннего контроля

Совет директоров устанавливает принципы и подходы к организации данной системы (пп. 9.2 п. 1 ст. 65, п. 1 ст. 87.1 Закона об АО, п. 5.1.1 Кодекса корпоративного управления). С этой целью он утверждает внутренние документы общества, в которых определяется характер взаимодействия между участниками системы, их ответственность.

Такими документами могут быть, например:

  • политика внутреннего контроля;
  • политика управления рисками.

Исполнительные органы общества обеспечивают создание и эффективное функционирование системы (п. 5.1.2 Кодекса корпоративного управления).

Ревизионная комиссия (если ее наличие предусмотрено уставом) контролирует финансово-хозяйственную деятельность общества, готовит предложения по совершенствованию системы управления рисками и контроля.

Рекомендуем создать следующие структурные подразделения, отвечающие за управление рисками и внутренний контроль:

  • службу (департамент) внутреннего контроля;
  • службу (департамент) управления рисками (риск-менеджмента);
  • службу (департамент) качества.

Такие подразделения могут разрабатывать и внедрять методики и инструкции о том, как оценивать риски и реагировать на них, как проводить контрольные процедуры и оценивать их эффективность, как реагировать на выявленные отклонения, а также проводить обучение сотрудников. Наличие этих органов будет способствовать формированию единых подходов к организации данной системы.

Функционал служб, ответственных за управление рисками и внутренний контроль, нужно определить в регламентах и должностных инструкциях.

Органы и работники общества на всех уровнях управления в рамках своей компетенции осуществляют внутренний контроль и управление рисками, а также несут ответственность за исполнение соответствующих внутренних документов общества.

2. Как организовать обязательный с 01.07.2020 внутренний аудит

2.1. Для чего организуется внутренний аудит

Внутренний аудит организуется в публичном обществе для независимой оценки надежности и эффективности системы управления рисками и внутреннего контроля, а также практики корпоративного управления (п. 25 ст. 1 Федерального закона от 19.07.2018 N 209-ФЗ, п. 5.2 Кодекса корпоративного управления).

Системное проведение внутреннего аудита позволяет обеспечить доверие совета директоров, владельцев компаний, кредиторов и инвесторов к финансовой (бухгалтерской) отчетности общества. Так, большинство международных бирж допускает к размещению ценные бумаги лишь тех обществ, которые проводят внутренний аудит.

Внутренний аудит позволяет оценить деятельность публичных обществ на высоком профессиональном уровне, беспристрастно, объективно и независимо.

2.2. Как организовать внутренний аудит

Возможны следующие варианты:

  1. Назначить ответственное должностное лицо или создать отдельное структурное подразделение (п. 25 ст. 1 Федерального закона от 19.07.2018 N 209-ФЗ, п. 5.2.1 Кодекса корпоративного управления).

Совет директоров своим решением назначает на должность такое лицо или руководителя подразделения, утверждает условия трудового договора с ним и, кроме того, может отстранить его от должности.

До утверждения советом директоров эти вопросы рассматривает комитет по аудиту. Данный орган формируется им для предварительного рассмотрения вопросов, связанных с контролем за финансово-хозяйственной деятельностью общества (п. 16 ст. 1 Федерального закона от 19.07.2018 N 209-ФЗ). Некоторые вопросы формирования и деятельности комитета по аудиту изложены в Информационном сообщении Минфина России от 07.08.2018 N ИС-аудит-24.

Функционально подразделение внутреннего аудита рекомендуется подчинить совету директоров, а административно — непосредственно единоличному исполнительному органу общества.

Подразделение может быть названо, например, службой (департаментом) внутреннего аудита.

  1. Привлечь стороннюю организацию (такая возможность должна быть предусмотрена внутренними документами) (п. 25 ст. 1 Федерального закона от 19.07.2018 N 209-ФЗ, п. 5.2.1 Кодекса корпоративного управления).

Совет директоров своим решением определяет юридическое лицо, которое будет осуществлять внутренний аудит, и условия договора с ним, в том числе размер вознаграждения. Предварительно данные вопросы рассматривает комитет по аудиту.

Поскольку сотрудники общества обладают более полной информацией о его деятельности, рекомендуем передать сторонней организации только часть функций внутреннего аудита, а оставшуюся часть закрепить за соответствующим подразделением общества. Такая схема облегчит проведение внутреннего аудита сторонней организацией и будет способствовать достоверности результатов.

2.3. Какие мероприятия проводятся в рамках внутреннего аудита

Внутренний аудит заключается в проведении регулярных проверок и контрольных мероприятий. Рекомендуем утвердить план проверок на год, сформировав его по итогам анализа выявленных ранее рисков и недостатков в контроле.

В рамках внутреннего аудита могут проводиться, в частности, такие мероприятия:

  • сопоставление бизнес-процессов общества с его целями;
  • проверка надежности систем противодействия злоупотреблениям и коррупции;
  • проверка обеспечения достоверности бухгалтерской (финансовой отчетности);
  • проверка наличия в обществе обязательных внутренних документов и соответствия их требованиям законодательства;
  • проверка обеспечения сохранности активов общества;
  • выявление недостатков системы управления рисками и внутреннего контроля, не позволяющих достичь цели деятельности общества;
  • проверка соблюдения этических принципов деятельности общества;
  • оценка соблюдения прав акционеров;
  • проверка соблюдения требований к раскрытию информации об обществе и подконтрольных ему лицах;
  • консультирование и обучение персонала, который задействован в управлении рисками и внутреннем контроле.

По итогам проверок внутренние аудиторы готовят отчет о результатах, в котором отмечают выявленные нарушения, оценку рисков таких нарушений, рекомендации по их устранению, а также предложения по оптимизации работы. Отчет, как правило, получают руководство общества, его владельцы и внешние аудиторы.

Рекомендуем утвердить форму отчета в положении о внутреннем аудите. Следует учесть, что понятность структуры отчета позволит снизить трудоемкость, а значит, и стоимость услуг внешнего аудитора.