Практикующее

сообщество по
внутреннему
аудиту

Оценка эффективности внутреннего контроля:

ВНУТРЕННИЙ
Руководство PEMPAL для внутренних аудиторов в
государственном секторе
КОНТРОЛЬ

Оценка эффективности
внутреннего контроля:
Руководство PEMPAL для
внутренних аудиторов в
12 октября 2021 г. государственном секторе

Гиули Чкуасели, Министерство финансов, Грузия

Ричард Мэггс, эксперт, Всемирный банк
Ссылка на документ

ВНУТРЕННИЙ
Ссылка:
https://www.pempal.org/knowledge-
product/assessing-effectiveness-internal-
control-pempal-guidance-public-sector-
КОНТРОЛЬ
internal

Оценка эффективности внутреннего

контроля: Руководство PEMPAL для
внутренних аудиторов в
государственном секторе
 Благодарности....................................................................2
Что вам нужно знать о PEMPAL и IACOP?.....................................3
Введение...........................................................................4
Сокращения........................................................................5

ЧАСТЬ 1. ВВЕДЕНИЕ..............................................................6
ЧАСТЬ 2. ЧТО ТАКОЕ ВНУТРЕННИЙ КОНТРОЛЬ?...........................7
ЧАСТЬ 3. ПРИМЕНЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ В СТРАНАХ,
УЧАСТВУЮЩИХ В РЕАЛИЗАЦИИ ИНИЦИАТИВЫ PEMPAL..................13
ЧАСТЬ 4. МОДЕЛЬ ЗРЕЛОСТИ ВНУТРЕННЕГО КОНТРОЛЯ................15
Давайте обсудим
содержание
Приложение А. Принципы и основные направления внутреннего
контроля...........................................................................17
Приложение Б1. Среда контроля.............................................29
Приложение Б2. Оценка риска................................................47
Приложение Б3. Контрольные мероприятия...............................65
Приложение Б4. Информация и коммуникации...........................80
Приложение Б5. Мониторинг и оценка......................................94
Приложение В. Оценка зрелости средств внутреннего контроля.....103
ЧАСТЬ ВВЕДЕНИЕ
Идея лежащая в основе этого руководства

Это руководство было разработано для того, чтобы помочь

внутренним аудиторам лучше понимать основные
характеристики эффективного внутреннего контроля и способов
анализа и оценки функциональности систем внутреннего
контроля.

Здесь представлен ряд критериев оценки зрелости механизмов

внутреннего контроля. Они могут быть полезны для внутренних
аудиторов в организациях, которые находятся в процессе
разработки или совершенствования систем управления
государственными финансами (УГФ).
 Это руководство:
• Описывает основные характеристики внутреннего контроля,
рекомендованные Комитетом организаций-спонсоров Комиссии
Тредвея (COSO)1 (Часть 2 и Приложение А).

• Дает разъяснения в отношении пяти компонентов и 17

основополагающих принципов внутреннего контроля, которые
необходимо соблюдать, чтобы внутренний контроль был
эффективным и учитывал особенности работы в государственном
секторе (Часть 3 и Приложения Б1-Б5).
• Определяет критерии оценки степени соответствия каждому из
принципов (Приложения Б1-Б5).

• Рекомендует модель для четырехуровневой оценки зрелости

внутреннего контроля (Часть 4).

• Детально описывает основы оценки зрелости средств внутреннего

контроля на четырех уровнях, опираясь на критерии оценки
PEMPAL (Приложение В).
6
ЧАСТЬ ЧТО ТАКОЕ ВНУТРЕННИЙ КОНТРОЛЬ
 Рисунок 1. Определение внутреннего контроля.
COSO дает следующее определение
О чем идет речь: Что это означает:
внутреннего контроля:

Процесс, осуществляемый Внутренний контроль −

Операции высшим руководством, менеджерами и дело каждого
другими сотрудниками организации
Нет предела
для предоставления обоснованных
совершенствованию
Отчетность сведений средств внутреннего
контроля
в отношении достижения целей Контроль направлен на
Нормативно-
операций, отчетности и достижение
правовое
соответствие соответствия. целей организации

Поэтому внутренний контроль:

Зависит от человеческого Может обеспечить Также охватывает

фактора разумную, операции
Это не просто набор руководств, но не абсолютную и не ограничивается
форм и контрольных списков. уверенность для высшего отчетностью
Это еще и люди, которые ставят руководства и и обеспечением
цели и внедряют средства контроля органов управления. нормативно-правового
для их достижения. соответствия.

Непрерывный процесс
Внутренний контроль − это не отдельное событие или обстоятельство, а ряд текущих задач
и мероприятий. Это не цель, а средство ее достижения.
Далее перечислены ограничения для внутреннего контроля
 Внутренний контроль представляет собой процесс обеспечения разумной
уверенности в достижении поставленных целей.
 Внутренний контроль не может превратить плохого менеджера в хорошего.

 Внутренний контроль не может влиять на внешние факторы или

значительные операционные ограничения, которые могут оказывать
существенное влияние на операции. Например, к таким ограничениям
относится пандемия COVID-19.
 Неотъемлемые ограничения внутреннего контроля включают
поверхностные суждения при принятии решений, ошибки и
заблуждения, а также необходимость сбалансировать стоимость средств
контроля с сопутствующими рисками и выгодами.
 Средства внутреннего контроля обеспечивают ограниченную защиту в
определенных ситуациях, связанных с мошенническими действиями,
включая сговор между двумя или более лицами.
 Рисунок 2. Пять компонентов внутреннего контроля.

Действия, необходимые Механизмы контроля,

Это задает тон для применяемые в целях
организации и для
реагирования на риски, а также
влияет на управления рисками
политики и процедуры, которые
вовлеченность в и достижения целей.
помогают обеспечить исполнение
контрольные Динамичный и распоряжений руководства.
мероприятия всего итеративный процесс
персонала. определения и анализа Контрольные мероприятия
рисков с точки зрения помогают обеспечить
Среда контроля Достижения целей выполнение необходимых
− это основа для всех организации, действий в отношении рисков,
остальных который лежит в основе существенных с точки зрения
компонентов выбираемых подходов к Достижения целей
внутреннего контроля. управлению рисками. организации. Контрольные
Среда контроля
мероприятия выполняются на
Оценка риска
всех уровнях организации, на
различных этапах бизнес-
процессов и с охватом всех
технологических сред.
Система внутреннего контроля Контрольные мероприятия

Мероприятия по мониторингу Информация и коммуникация

Необходимо организовать мониторинг Эффективная коммуникация – это ключевой

систем внутреннего контроля для оценки
эффективности с течением времени и
поддержания эффективности процедур
внутреннего контроля.
Инструменты оценки качества
работы систем внутреннего
контроля с течением времени
фактор успеха внутреннего контроля. Процесс
эскалации информации в целях ее
рассмотрения руководством имеет особенно
важное значение для обеспечения
эффективности внутреннего контроля.
Информация, необходимая для того,
чтобы помочь сотрудникам
выполнять свои обязанности
ЧАСТЬ ПРИМЕНЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ В СТРАНАХ
УЧАСТВУЮЩИХ В РЕАЛИЗАЦИИ ИНИЦИАТИВЫ
Данное руководство призвано оказать поддержку внутренним аудиторам в
государственном секторе в странах присоединившихся к инициативе и помочь
внедрить эффективные системы внутреннего контроля на основе структуры
разработанной

 В Республике Молдова они были оформлены в виде набора

стандартов внутреннего контроля, которые имеют юридическую
силу после их опубликования в официальном правительственном
вестнике.
 В Грузии все пять компонентов COSO определены в «Законе о
государственном внутреннем финансовом контроле», который
обязывает руководителей государственных организаций
обеспечивать разработку, формирование и функционирование
компонентов финансового менеджмента и контроля. Дополнительно
подготовлена инструкция по соблюдению требований этого закона,
которая также относится к COSO 2013.
ЧАСТЬ МОДЕЛЬ ЗРЕЛОСТИ ВНУТРЕННЕГО КОНТРОЛЯ
 Уровень Характеристики
Уровень 1: Характеристики механизмов внутреннего контроля на этом
Неформальный
Ситуативный/
уровне (как правило) не задокументированы и непрерывно
меняются. Они управляются пользователями в ситуативной,
Четырехуровневая
хаотичный плохо контролируемой и реактивной манере. Такой подход модель оценки
создает хаотичную или нестабильную среду для внутреннего
контроля. зрелости
Уровень 2: Характерные черты на этом уровне: существуют определенные внутреннего
Формализованный
Стандартный/
механизмы внутреннего контроля, которые являются
повторяемыми и, возможно, обеспечивают непротиворечивые
контроля
повторяемый результаты. Дисциплина внутреннего контроля вряд ли будет
строгой, но там, где она существует, она способна помочь
обеспечить поддержку для внутреннего контроля в сложной
ситуации. Со временем будут созданы и начнут
совершенствоваться наборы определенных и документированных
стандартных процедур контроля. Это может быть длительный
этап развития и уровень, на котором большинство
организаций, вероятно, будут находиться долгое время.

Уровень 3: На этом уровне зрелости большинство механизмов внутреннего

Управляемый и контроля являются повторяемыми и обеспечивают
непротиворечивые результаты. Дисциплина внутреннего контроля
отслеживаемый
является строгой и гарантирует, что внутренний контроль будет
Прогнозируемый
поддерживаться и в сложной ситуации. Существуют
проработанные задокументированные стандартные процессы, и
основное внимание уделяется постоянному повышению
эффективности внутреннего контроля путем внесения как
постепенных, так и инновационных изменений и улучшений.
Уровень 4: Характеристики внутреннего контроля на этом уровне:
Оптимизированный эффективность внутреннего контроля измеряется и
Эффективный и сопоставляется с передовыми практиками в целях обеспечения
Результативный высокой эффективности в различных ситуациях.
ДЕТАЛИЗИРОВАННЫЕ ПРИЛОЖЕНИЯ
ПРИЛОЖЕНИЕ А. ПРИНЦИПЫ И ОСНОВНЫЕ НАПРАВЛЕНИЯ
ВНУТРЕННЕГО КОНТРОЛЯ

В данном приложении излагаются 17 принципов, а также основные

направления, которые могут быть актуальны и будут способствовать лучшему
пониманию особенностей применения каждого принципа в государственном
секторе.
ПРИЛОЖЕНИЯ Б1-Б5 − ПОЯСНЕНИЯ В ОТНОШЕНИИ КОМПОНЕНТОВ

В Приложениях Б1-Б5 содержатся дополнительные

пояснения, помогающие внутренним аудиторам
интерпретировать и применять пять компонентов и 17
принципов внутреннего контроля.

Каждое приложение уделяет основное внимание одному из

компонентов, иллюстрируя, как можно было бы
интерпретировать основные моменты, описывая цель и
главные характеристики каждого принципа и приводя набор
критериев для оценки эффективности внутреннего контроля.
ПРИЛОЖЕНИЕ Б1. СРЕДА КОНТРОЛЯ

В данном приложении основное внимание уделяется Компоненту 1 (среда

контроля), который является основой для всех остальных компонентов
внутреннего контроля. Среда контроля отражает тон руководства организации.

ПРИЛОЖЕНИЕ Б2. ОЦЕНКА РИСКА

В данном приложении основное внимание уделяется Компоненту 2
(оценка рисков), который позволяет организации учитывать степень, в
которой потенциальные события оказывают влияние на достижение
поставленных целей.
ПРИЛОЖЕНИЕ Б3. КОНТРОЛЬНЫЕ МЕРОПРИЯТИЯ
В данном приложении основное внимание уделяется Компоненту 3
(контрольные мероприятия), который предусматривает механизмы
контроля, позволяющие реагировать на риски, а также политики и
процедуры, которые помогают обеспечить выполнение распоряжений
руководства.
ПРИЛОЖЕНИЕ Б4. ИНФОРМАЦИЯ И КОММУНИКАЦИЯ

В данном приложении основное внимание уделяется

Компоненту 4 (информация и коммуникация), который
гарантирует, что соответствующая информация о деятельности
организации идентифицируется, собирается и передается в той
форме и в те сроки, которые позволяют сотрудникам исполнять
свои обязанности.

ПРИЛОЖЕНИЕ Б5. МОНИТОРИНГ И ОЦЕНКА

В данном приложении основное внимание уделяется

Компоненту 5 (мониторинг и оценка), который предусматривает
текущую оценку систем внутреннего контроля и процесс
проведения отдельных оценок.
ПРИЛОЖЕНИЕ В. ОЦЕНКА ЗРЕЛОСТИ
Принцип 1. Организация демонстрирует
СРЕДСТВ ВНУТРЕННЕГО КОНТРОЛЯ приверженность добросовестности и этическим
ценностям
В данном приложении описаны Уровень 1:
Неформальный
Уровень 2: Уровень 3:
Управляемый и
Уровень 4:
Оптимизирован-
Формализованный
ный
основные подходы к оценке Ситуативный/ Стандартный /
отслеживаемый
Эффективный и
хаотичный повторяемый Прогнозируемый результативный
зрелости средств внутреннего
Направление 1.1. Задает тон на верхних уровнях
контроля на четырех уровнях на Поведение, Сотрудники Высшее Менеджеры
ценности и имеют общее руководство показывают
основе критериев, разработанных стиль работы представление о информирует на
высшего высшем всех собственном
PEMPAL для каждого принципа, и руководства
не известны
руководстве,
его поведении и
сотрудников об
ожидаемом
примере
высокие
сотрудникам. стилях работы. стиле работы и стандарты
основных направлений, поведении. персонального
Ценности поведения.
рассматриваемых в приложениях Б1- публикуются и Они
в полной мере подтверждают
Б5. осознаются слова делом.
всеми в
организации.
Иллюстративные примеры для рекомендаций с
упором на Принцип Оценка изменений

На двух следующих слайдах более подробно рассматривается

Руководство PEMPAL, точнее один его принцип – Принцип 9
«Оценка изменений».
Риски, связанные с изменениями, настолько масштабны и
всеобъемлющи, что COSO рекомендует рассматривать их как
отдельный принцип внутреннего контроля.
В Приложении Б2 более подробно рассматривается принцип и
три основных направления, затем в Приложении В
указывается, что именно внутренний аудитор может найти на
разных уровнях зрелости для каждого из направлений.
 Обзор трех основных
направлений в Принцип 9. Организация идентифицирует и
оценивает изменения, которые могут оказать
приложении Б2
существенное влияние на систему внутреннего
контроля
Рисунок 12. Интерпретация Принципа 9

Направление Процесс идентификации рисков учитывает изменения в

9.1. политической, правовой, бюджетной и физической
Оценка средах, в которых работает организация.
изменений
во внешней
среде Смена правительства Изменение климата

Организация анализирует потенциальное влияние

Основное внимание новых подходов к работе, включая быстрое
распространение новых
уделяется рискам, Направление технологий.
возникающим в связи 9.2.
Оценка Новые мобильные Масштабные
с тремя элементами изменений данные и
Внедрение
новых ИТ-систем
изменения в рамках
проектов
изменений в бизнес- приложения
модели.
Новые области политики и (или)
Открытие или
действия органов государственного
закрытие офисов управления

Руководство учитывает изменения в подходах к

управлению и связанных с ними процедурах внутреннего
Направление контроля
9.3.
Оценка
Обеспечение эффективной
изменений Оценка уровней
текучести кадров среди передачи дел
в руководстве
высшего руководства на уровне высшего
руководства
21
 Уровень 1: Уровень 2: Уровень
Level 3: 3: Уровень
Level 4:4:
Level 1: Level 2: Defined
Неформальный Формализованный Управляемый и Оптимизирован-
Managed & Optimized
ный
Informal Standard/ отслеживаемый
Стандартный Monitored Efficient/
Ситуативный/х
Ad-hoc/Chaotic Repeatable / Эффективный и
аотичный повторяемый Прогнозируемый
Predictable Effective
результативный
PF 9.2 Assesses
Направление changes
9.2. Оценка in the business
изменений model
в бизнес-модели
Обеспечивается
There is limited Менеджеры
Management There are clear Существует
There is a unit
Развернуты четкие
ограниченный анализируют подразделение
consideration considers проекты
major процессы для
processes to deal within the
анализ основные в
работы с
of major
масштабных по внесению
change projects with information organization
организации,
информацией
изменений
changes inвthe изменений,
resulting in которое
иand that is
бизнес- которые приводят к
Оценка зрелости для business
модели.
changes in the
изменениям в key
коммуникационны
communication отвечает за for
responsible
ми мониторинг
одного направления − model. ключевых
structures, technologies/
технологиями/ monitoring
изменений.
9.2 − риски, структурах,
functions, roles, cyber security change.
кибербезопасност
функциях, ролях,
возникающие в services,и and
услугах
ью,
risks and
рисками и
результате изменений поставляемых
products delivered. operational
операционной
продуктах.
в бизнес-модели Management
Менеджеры
availability
доступностью
Через
through business
анализируют
considers changes планирование
изменения, continuity
to new technology непрерывности
связанные с новыми planningиand/or
-disruptive бизнеса (или)
прорывными
планирование
disaster recovery
технологиями,
technologies аварийного
включая мобильные planning.
including mobile восстановления
данные и их
Менеджеры
data andна
влияние their Management
анализируют
внутренние
impact on internal considers the
кадровый
процессы и
processes and потенциал
staffing capacity
процедуры
с учетом новых
internal control.
Внутреннего relevant to new
ролей и
контроля. roles and
целей.
objectives.

PF 9.3 Assesses changes in leadership 22

There is limited Management Management There is a unit
СПАСИБО ЗА ВНИМАНИЕ