Требований к организации системы внутреннего контроля что это
Малый бизнес: нужна ли ему система внутреннего контроля?
Старший аудитор ООО «Сибирская Юридическая Компания-Аудит»
специально для ГАРАНТ.РУ
Даже если руководитель думает, что в его организации нет системы внутреннего контроля, она есть (как в известном фильме). Без нее не может существовать организация, даже маленькая. Любой собственник имущества заинтересован в его сохранности, контроле над финансовыми потоками, для этого он и разрабатывает определенные требования. Часто они не формализованы, но все им подчиняются. Правила организации и контроля при ведении бизнеса без комплексного подхода, зачастую, возникают в те моменты, когда случаются определенные проблемы – недостача товара, кража имущества, необходимость восстанавливать участки учета при смене бухгалтера, утечка информации конкуренту и т.д. Для устранения возможных проблем в будущем и повторения неприятных ситуаций руководитель начинает закрывать проблемные места – пересматривать систему хранения товара, организации логистики на каждом этапе движения товара, заниматься вопросами обеспечения резервного копирования системы бухгалтерской системы, приобретать и устанавливать программные продукты для защиты информации от утечки и т.д. Но можно работу по построению системы внутреннего контроля проводить не методом «латания дыр», а проводить комплексно, последовательно, постепенно развивая.
Обязанность организовать и осуществлять внутренний контроль совершаемых хозяйственных операций, закреплена на законодательном уровне, в п. 1 ст. 19 Федерального закона от 6 декабря 2011 г. № 402-ФЗ «О бухгалтерском учете» (далее Закон № 402-ФЗ). В этом же документе, в п. 2 ст. 19 Закона № 402-ФЗ, сказано, что если бухгалтерская (финансовая) отчетность организации подлежит обязательному аудиту, она обязана организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).
Таким образом, уже видим как минимум два направления в порядке построения системы внутреннего контроля – в виде комплекса контрольных мероприятий за хозяйственной деятельностью и специальных контрольных процедур, связанных с формированием бухгалтерской (финансовой) отчетности.
Первое направление является для собственников наиболее важным, хотя часто имея отлаженную систему контролей на этапе формирования бухгалтерской (финансовой) отчетности, видим ее существенные недостатки при осуществлении хозяйственных операций. Ведь основными задачами внутреннего контроля является обеспечение результативности деятельности, соблюдение законодательства при совершении фактов хозяйственной деятельности и обеспечение достоверности и своевременности бухгалтерской и иной отчетности. Без выполнения последней задачи, собственник не будет информирован об эффективности инвестиций в организацию.
Что же представляет из себя система внутреннего контроля? Она включает следующие основные элементы:
Контрольная среда – это совокупность принципов и стандартов деятельности организации, которые определяют общее понимание внутреннего контроля и требования к нему на уровне организации в целом. Она является основой для обеспечения и поддержания дисциплины и порядка в организации, эффективности системы ее внутреннего контроля.
Так, в любой организации, даже небольшой, всегда складывается определенная корпоративная культура, этика поведения ее сотрудников (даже не формализованная, не описанная в конкретном документе). Часть элементов корпоративной культуры может быть формализована организацией при соблюдении ею требований законодательства, в частности, трудового. Например, в организации документально зафиксирован трудовой распорядок, с которым под роспись знакомят сотрудников, созданы должностные инструкции, в которых описаны основные требования, предъявляемые к кандидату на эту должность, сформирована структура подчиненности сотрудников, условия работы и оплата труда, которые указываются в заключаемых трудовых договорах и т.д. Разработкой такого сложного документа, как кодекс этики поведения сотрудников, не всегда занимаются даже крупные организации. Среди компонентов контрольной среды могут присутствовать в организации, но не быть формализованными, например, такие ее компоненты, как информирование о принципах честности, принципах поведения сотрудников, отношение между функциональными подразделениями, выработка взаимоотношений с бухгалтерской службой, принципы и правила подбора кадров.
Пожалуй, самый интересный компонент – это оценка риска. На мой взгляд, базовый элемент, так как он является процессом выявления и анализа рисков, которые представляют собой вероятность и последствия недостижения организацией своей цели. Что является основной целью коммерческой организации? Конечно же получение дохода, прибыли, инвестиционная привлекательность для собственника. И если в деятельности организации есть риски, которые не способствуют достижению этой цели, их необходимо устранять.
Вот как раз следующий элемент системы внутренних контролей призван этому способствовать. Процедуры внутренних контролей – это действия, направленные на минимизацию рисков деятельности организации. Например, появление недостачи товара, части имущества организации, приведет к тому, что организация недополучит доход от продажи товара, от использования другого имущества. Как этот риск можно уменьшить? Путем организации складского хозяйства с обеспечением доступа к материальным ценностям ограниченного круга лиц, путем заключения с ними договора о материальной ответственности, проведением регулярных инвентаризаций товаров и иного имущества. Практика жизни показывает, что данные контрольные процедуры не всегда приводят к 100 процентному устранению риска, но способствуют его значительному снижению.
Приведу еще один аргумент, который свидетельствует о том, что оценка риска является базой для системы внутренних контролей. Руководство, собственники компании, понимают, что «закрыть» все риски, с которыми организация сталкивается в процессе своей деятельности, невозможно. Здесь как раз важно найти рациональное зерно и провести оценку наиболее характерных рисков бизнеса из тех, которые приведут к наибольшим потерям организации, их ранжировать. Далее необходимо разработать контрольные процедуры, способствующие минимизации наиболее значимых рисков для конкретной организации. Затраты на осуществление контрольных процедур не должны превышать возможные риски. Не нужно покупать бронированный склад стоимостью миллионы рублей для хранения ящика банальных удочек для рыбалки, которые планируем продавать.
Источниками информации для принятий решений в организации является информационная система, которую она использует. А с помощью тех или иных средств коммуникации руководство организацией распространяет информацию, необходимую для принятия управленческого решения и осуществления контроля. Так, для проведения инвентаризации товара из системы, где зафиксировано его движение, выгружаются его остатки, с помощью приказа руководитель создает комиссию по инвентаризации и информирует о дате проведения инвентаризации.
Ну, и относительно пятого элемента – оценки внутреннего контроля, его значимость не менее важна, так как на данном этапе выявляется эффективность внутреннего контроля. Периодичность такой оценки может быть различной, но не реже раза в год. В процессе ведения бизнеса может сложиться такая ситуация, что система сама себя проявит в неэффективности, если выяснится, что контрольная процедура не закрывает риск и он сказался на деятельности организации в какой-то момент времени. Но лучше такого момента не дожидаться, а периодически анализировать элементы системы на эффективность их работы.
Важно периодически проводить оценку рисков и их ранжирование, так как организация не существует в одних и тех же условиях ведения бизнеса постоянно (меняется внешняя среда, вводятся новые процедуры в компании, новые информационные системы, новые виды бизнеса, меняется организационная структура и т.д.), а, следовательно, необходимо пересматривать и контрольные процедуры, призванные устранять риски, в которых компания существует. Не нужно проводить процесс ради процесса, у него должен быть результат и эффект. Так, если какой-то процесс хозяйственной деятельности был автоматизирован, и настроены и работают автоматические средства контроля, то проведение дополнительных ручных контрольных процедур, раннее осуществляемых сотрудниками, не требуется.
Еще раз обращу внимание, и особенно это важно для малых организаций, затраты на построение системы внутреннего контроля не должны превышать его эффективность. Но есть элементы, которые требуют формализации и необходимы практически для каждой организации. Один из элементов системы внутренних контролей – это учетная политика организации, содержащая не только выбранные методы и способы учета, но и определяющая первичные документы, которые создаются в организации и затрагивают разные этапы организации деятельности компании, а, следовательно, и разные подразделения. Наличие подписи на первичном документе – тоже элемент контроля, так как подпись ставит лицо, ответственное за совершение хозяйственной операции и подтверждающее ее совершение. Утверждая авансовый отчет, ставя на нем свою подпись, руководитель подтверждает, что сотруднику необходимо компенсировать указанную сумму в авансовом отчете. Другой элемент контроля – подписание актов сверок с контрагентами, и это не простая формальность с целью корректного отражения задолженности в бухгалтерской (финансовой) отчетности, но и важное мероприятие для бизнеса, так как решает вопросы, в том числе и возможного истребования задолженности в дальнейшем, урегулирования ее в оперативном порядке.
Еще одна из важнейших процедур внутреннего контроля в организациях разных отраслей – это проведение инвентаризации товароматериальных ценностей. Она всегда формализована, так как требует документального оформления на каждом этапе ее осуществления – на подготовительном (создание комиссии, определение дата начала), основном (составление и подписание инвентаризационных ведомостей, описей) и заключительном (приказ об итогах инвентаризации). Процедура копирования и архивирования информационных систем – тоже одна из необходимых процедур системы внутреннего контроля. И определение периодичности ее проведения требует формализации (утверждение сроков проведения, порядка, времени и т.д.), так как отсутствие данной процедуры может привести к существенным потерям бизнеса.
Таким образом, в любой организации существует система внутреннего контроля, которая может выстраиваться, как с четким осознаем проводимого процесса с элементами формализации, так и интуитивно, как так в процессе деятельности организации периодически возникают рисковые моменты, требующие анализа и элиминации, и, если организация существует на рынке продолжительный период времени, у нее будут сложившиеся элементы системы внутренних контролей, в том числе и формализованные. И тем самым, соблюдение требования Закона № 402-ФЗ о необходимости организовать систему внутреннего контроля – это не простая формальность, а насущная необходимость для функционирования и развития бизнеса в разных отраслях.
Требований к организации системы внутреннего контроля что это
На основании п. 7 ст. 105.26 НК РФ (Закон от 29.12.2020 № 470-ФЗ с изменениями) система внутреннего контроля должна соответствовать требованиям к её организации, которые устанавливает ФНС России.
Поэтому с 7 августа 2021 года нужно руководствоваться таким приказом ФНС от 25.05.2021 № ЕД-7-23/518 (далее – Приказ № ЕД-7-23/518). Он закрепил:
Суть в том, что в соответствии с этим приказом вся информация о системах внутреннего контроля участников налогового мониторинга будет приведена к единому стандарту. А это позволит налоговикам обрабатывать ее автоматически.
Кроме того, конкретизация раскрываемых данных позволит налоговикам активнее применять риск-ориентированный подход в налоговом мониторинге.
Какие изменения
Важная задача налогового мониторинга – снижение налоговых рисков организации. Налоговый орган комплексно анализирует их и оценивает эффективность работы системы внутреннего контроля налогоплательщика по выявлению и предотвращению этих рисков. Результаты этой работы – основа для планирования проверок. Они определяют:
Компании с 07.08.2021 предоставляют более подробную информацию о рисках. Так, предусмотрено раскрытие информации:
В форме «Информация об организации системы внутреннего контроля» теперь более стандартизованное изложение информации обо всех внутренних нормативных документах налогоплательщика в отношении организации и функционирования системы внутреннего контроля.
Соответствующим образом скорректирован состав документов. Так, таблицы «Анализ контрольных процедур» больше нет. Введена новая форма «Информация о рисках по отдельным сделкам и операциям».
Если до 07.08.2021 по электронке отправляли информацию об организации системы внутреннего контроля, то теперь добавлены электронные форматы представления:
Таблицы с данными тоже поправили. Например, в сведения о результатах контрольных процедур нужно вносить информацию о количестве проверенных договоров, операций и документов.
Когда отчитываться
ПРЕДМЕТ ОТЧЁТА
ПЕРИОДИЧНОСТЬ И СРОК СДАЧИ
При отсутствии данных для раскрытия сдают с нулевыми значениями.
Далее – ежеквартально на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала
Далее – за период проведения налогового мониторинга 1 ноября года, следующего за периодом проведения мониторинга
Далее – ежегодно на 1-е число месяца соответствующего года, не позднее одного месяца со дня наступления соответствующего года
Вообще проводить оценку необходимости внесения изменений в систему внутреннего контроля нужно не реже 1 раза в квартал. При внесении изменений актуальную информацию нужно сообщить налоговикам в срок до 5 рабочих дней со дня внесения изменений.
Когда отчитываться
Раскрываемую налоговикам информацию о рисках компании, идентифицируемых для налогового мониторинга, сведения о рисках по отдельным сделкам и операциям и матрицу рисков и контрольных процедур нужно сдать за отчетные периоды, наступившие после 1 января 2022 года.
Что мониторят налоговики
Компании, в отношении которых идёт налоговый мониторинг, обязаны соблюдать требования к системе внутреннего контроля:
Вообще, система внутреннего контроля должна работать на всех уровнях бизнес-процесса (операции). А именно:
ЭТАП
ЦЕЛЬ
Для налогового мониторинга интересны следующие области риска:
Содержание требований к организации системы внутреннего контроля
Это следующие вопросы:
Также Приказ № ЕД-7-23/518 содержит 19 приложений с бланками отчётов и их электронными форматами. А ещё – 4 перечня:
Приложение. Требования к организации системы внутреннего контроля
Приложение
к приказу ФНС России
от 16.06.17 г. N ММВ-7-15/509@
Требования
к организации системы внутреннего контроля
II. Организация системы внутреннего контроля организации
2.1. Система внутреннего контроля организации должна обеспечивать:
упорядоченное и эффективное ведение финансово-хозяйственной деятельности организации, в том числе достижение финансовых и операционных показателей, сохранность активов;
правильность исчисления (удержания), полноту и своевременность уплаты (перечисления) налогов, сборов, страховых взносов;
достоверность, полноту и своевременность отражения результатов финансово-хозяйственной деятельности в бухгалтерской (финансовой), налоговой и иной отчетности, а также учета таких результатов при исчислении (удержании) налогов, сборов, страховых взносов, полноты и своевременности их уплаты (перечисления);
соблюдение законодательства Российской Федерации, в том числе при совершении фактов хозяйственной жизни по совершенной или планируемой сделке (операции) или совокупности взаимосвязанных сделок (операций), а также по иным совершенным фактам хозяйственной жизни организации;
мониторинг результатов выполняемых контрольных процедур, направленных на своевременное выявление, исправление и предотвращение ошибок (искажений) в бухгалтерской (финансовой), налоговой и иной отчетности.
2.2. Система внутреннего контроля организации должна отвечать специфике финансово-хозяйственной деятельности организации, функционировать на постоянной основе.
2.3. Система внутреннего контроля организации должна функционировать на всех уровнях контроля осуществления бизнес-процесса (операции), в том числе:
до фактического начала бизнес-процесса (операции) с целью предупреждения или минимизации негативного воздействия событий и факторов, которые могут повлиять на достижение целей организации;
непосредственно в ходе осуществления бизнес-процесса (операции) с целью своевременного выявления и немедленного устранения возникающих в ходе работы нарушений и отклонений от заданных параметров;
после осуществления бизнес-процесса (операции) с целью установления достоверности отчетных данных и оценки соответствия результатов целевым (плановым) показателям.
III. Контрольная среда организации
3.1. Контрольная среда организации должна быть сформирована на основе принципов и стандартов, направленных на установление и поддержание руководством и сотрудниками организации системы внутреннего контроля организации.
3.2. В организации должны быть утверждены и доведены до сведения каждого сотрудника профессиональные, этические и поведенческие стандарты.
3.3. В организации должны быть утверждены стандарты (правила) найма, мотивации, оценки, продвижения, увольнения сотрудников, а также требования к профессиональным знаниям и навыкам сотрудников.
3.4. В организации должно быть установлено разделение ответственности и полномочий сотрудников, обеспечивающих функционирование, мониторинг, оценку организации и совершенствование системы внутреннего контроля организации.
IV. Система управления рисками организации
4.1. Система управления рисками организации должна быть разработана для обеспечения организации и функционирования системы внутреннего контроля организации.
4.2. Система управления рисками организации должна своевременно предотвращать и минимизировать негативные последствия недостижения организацией целей упорядоченного и эффективного ведения финансово-хозяйственной деятельности (в том числе достижения финансовых и операционных показателей, сохранности активов).
4.3. Система управления рисками организации должна функционировать на постоянной основе и соответствовать целям, задачам и стратегии организации.
4.4. Система управления рисками организации должна быть регламентирована организационно-распорядительными документами организации.
4.5. Система управления рисками организации должна обеспечивать выполнение последовательности действий, направленных на предотвращение или минимизацию возможного ущерба за счет воздействий на причины и последствия возникновения рисков, в том числе:
выявление организацией рисков;
анализ и оценка организацией рисков;
определение организацией границ приемлемости рисков;
раскрытие организацией информации о выявленных рисках организации;
принятие организацией решений о способе управления риском на основе оценки достаточности имеющихся в распоряжении организации контрольных процедур для покрытия рисков.
4.6. Выявление и оценка организацией рисков должны осуществляется на основе всестороннего анализа и оценки последствий внутренних и внешних факторов и условий финансово-хозяйственной деятельности организации.
4.7. Система управления рисками организации должна обеспечивать выявление и оценку наличия или вероятности возникновения обстоятельств, которые могут привести к искажению информации в бухгалтерской (финансовой), налоговой и иной отчетности, неправильному исчислению (удержанию), неуплате (неперечислению) налогов, сборов, страховых взносов и несвоевременному представлению (непредставлению) отчетности в налоговый орган.
V. Выявление организацией рисков
5.1. Выявление организацией рисков должно быть составной частью системы управления рисками организации и системы внутреннего контроля организации. Выявление организацией рисков должно осуществляться на основе принципов комплексности, последовательности, непрерывности и оптимальности.
5.2. Выявление организацией рисков должно быть направлено на идентификацию событий, ситуаций, обстоятельств, которые могут оказать влияние на достижение организацией целей деятельности, а также анализ причин и источников возникновения рисков.
5.3. Выявление организацией рисков должно осуществляться исходя из допущения о том, что налоговый орган обладает в полном объеме всей информацией, которая имеется в распоряжении организации на момент выявления рисков.
5.4. Выявление организацией рисков должно обеспечивать определение совокупности ключевых индикаторов риска, отклонение от которых (невыполнение которых) свидетельствует о наличии у организации потенциальных событий, способных влиять на достижение целей деятельности.
5.5. Выявление организацией рисков должно обеспечивать составление перечня источников риска, который определяет потенциальные зоны риска.
5.6. Выявление организацией рисков должно осуществляться в отношении всех операций, в том числе операций, требующих применения профессионального суждения при отсутствии точных способов и методов расчета оценочных значений, методов признания доходов, расходов или требующих допущений о влиянии будущих неопределенных событий.
5.7. Выявление организацией рисков должно осуществляться по однотипным операциям и по операциям, нетипичным по характеру, объему или частоте их осуществления.
5.8. Выявление организацией рисков должно обеспечивать возможность проверки наличия фактов, свидетельствующих об уклонении от уплаты (перечисления) налогов, сборов, страховых взносов.
5.9. Выявление организацией рисков должно обеспечивать оценку характера, вероятности возникновения и величины потенциального искажения бухгалтерской (финансовой), налоговой и иной отчетности.
5.10. Оценка организацией характера риска должна основываться на следующих факторах:
связь риска с макроэкономическими изменениями, изменениями социально-экономической ситуации;
связь риска с требованиями по ведению бухгалтерского и налогового учета и подготовке отчетности;
сложность осуществления хозяйственной операции, в том числе необходимость проведения сложных расчетов и соблюдения учетных принципов;
степень ручного вмешательства в процесс учета хозяйственной операции;
степень субъективности при расчете оценочных показателей, содержащихся в бухгалтерской (финансовой), налоговой и иной отчетности;
связь риска с недобросовестными действиями.
5.11. Выявление организацией источников рисков должно осуществляться на основе анализа условий осуществления финансово-хозяйственной деятельности организации.
5.12. При анализе организацией условий осуществления финансово-хозяйственной деятельности организации должны учитываться:
цели и стратегические планы организации;
отраслевые факторы (сезонность, цикличность, достаточность ресурсов, конкурентная среда, политика государства и прочие);
требования нормативных правовых актов и особенности учетной политики организации;
характер финансово-хозяйственной деятельности организации, в том числе особенности ее организационной структуры, сегментация деятельности, степень однородности осуществляемых хозяйственных операций, характер и сложность информационных систем.
5.13. Способы и методы выявления организацией риска, применяемые для формирования полной и достоверной информации о рисках, вероятности и последствий их наступления, должны быть определены организацией самостоятельно.
VI. Оценка организацией рисков
6.1. Оценка организацией рисков должна быть составной частью системы управления рисками организации и обеспечивать определение вероятности возникновения, а также оценку последствий выявленных рисков.
6.2. Вероятность наступления риска должна определяться организацией с учетом следующих факторов:
частота наступления аналогичного события в прошлом;
экономические условия осуществления финансово-хозяйственной деятельности организации.
6.3. Оценка организацией последствий выявленных рисков должна обеспечивать возможность определения уровня влияния риска на достижение организацией целей своей деятельности. В целях настоящих Требований организация должна проводить оценку существенности искажения показателей бухгалтерской (финансовой), налоговой и иной отчетности как вероятное следствие выявленного риска.
6.4. Оценка организацией существенности искажения показателей бухгалтерской (финансовой), налоговой и иной отчетности должна проводиться организацией на основе одного из следующих критериев:
доля от суммы налога (сбора, страховых взносов), исчисленного организацией к уплате (перечислению);
доля от величины налоговой базы по налогу (базы для исчисления сбора, страховых взносов);
доля от величины показателя налоговой декларации (расчета), существенно влияющей на расчет налоговой базы (например, величина доходов от реализации), базы для исчисления сбора, страховых взносов.
6.5. Оценка организацией риска должна проводиться организацией при помощи методов математической статистики и (или) на основе профессионального суждения. Выбор метода должен производиться организацией самостоятельно.
6.6. Оценка организацией каждого выявленного риска должна проводиться с целью определения его уровня.
6.7. Определение организацией уровня риска должно проводиться на основе оценки вероятности и последствий наступления риска по качественной и (или) количественной шкале.
6.8. Уровень риска должен позволять оценить границу приемлемости организации к рискам.
6.9. Граница приемлемости должна быть определена организацией как на уровне организации в целом, так и на уровне отдельных сегментов, направлений финансово-хозяйственной деятельности, структурных подразделений, групп операций.
6.10. Сравнение организацией уровня выявленного риска с границей приемлемости должно обеспечивать возможность управления существенными рисками организации.
VII. Раскрытие организацией информации о рисках организации
7.1. Раскрытие организацией информации о рисках организации должно обеспечивать заинтересованных лиц полной информацией о выявленных организацией рисках.
7.2. Информация о рисках организации должна содержать описание совокупности сведений об источнике возникновения риска, критериях риска, наличии мер по предотвращению или минимизации риска.
7.3. Раскрытие организацией информации о рисках организации должно исключать возможность двойного толкования информации о выявленных организацией рисках.
7.4. Раскрытие организацией информации о рисках организации должно быть структурировано. Информация о каждом выявленном организацией риске должна быть раскрыта организацией отдельно.
7.5. Раскрытие организацией информации о рисках организации должно осуществляться на основе принципа существенности.
7.6. Раскрытие организацией информации о рисках организации должно содержать информацию о рисках, выявляемых организацией по каждой уникальной и специфической операции, а также по операциям, осуществление которых планируется впервые в период проведения налогового мониторинга.
7.7. Раскрытие организацией информации о рисках организации должно осуществляться по следующим направлениям выявления рисков:
7.7.1. Осуществление организацией финансово-хозяйственной деятельности:
осуществление инвестиционной деятельности;
реорганизация (в форме слияния, присоединения, выделения и разделения);
реструктуризация деятельности организации;
применение льгот по налогам, сборам, страховым взносам;
осуществление операций в иностранной валюте;
выплата дивидендов резидентам других иностранных государств;
существенное изменение налоговой нагрузки в период проведения налогового мониторинга.
7.7.2. Определение организацией порядка отражения хозяйственной операции в налоговом учете:
отсутствие и (или) неточность порядка расчета показателей налоговой отчетности;
отсутствие и (или) неточность порядка отнесения доходов и расходов к определенному налоговому периоду;
неправильная классификация объектов учета;
неосторожность, приводящая к уклонению от уплаты (перечисления) налогов, сборов, страховых взносов;
неосмотрительность, приводящая к получению необоснованной налоговой выгоды.
7.7.3. Учет организацией данных первичных учетных документов для целей налогового учета:
наличие первичных учетных документов, которыми оформляются не имевшие места факты хозяйственной жизни;
отсутствие первичных учетных документов или наличие первичных учетных документов не в полном объеме;
наличие недостоверных данных в первичных учетных документах.
7.7.4. Отражение организацией фактов хозяйственной жизни и (или) хозяйственных операций в автоматизированной учетной системе организации:
ввод в автоматизированную учетную систему организации данных первичных учетных документов, которыми оформляются не имевшие места факты хозяйственной жизни;
неотражение (неполное отражение) данных в автоматизированной учетной системе для подготовки налоговой отчетности;
неправильное отражение данных при вводе в автоматизированную учетную систему для подготовки налоговой отчетности;
неправильный выбор значений данных (счета налогового учета, элементы иерархии налогового учета и другое) при вводе в автоматизированную учетную систему.
7.7.5. Расчет организацией показателей регистров налогового учета и форм налоговой отчетности:
неполнота обработки данных при исчислении показателей налоговой отчетности;
совершение ошибок (искажений) в исчислении показателей налоговой отчетности;
неправильное отнесение результатов исчисления показателей налоговой отчетности к налоговому (отчетному) периоду;
неправильное заполнение налоговой отчетности (неправильное отражение показателей в налоговой отчетности).
7.7.6. Порядок уплаты (перечисления) организацией налогов, сборов, страховых взносов:
неполная уплата (перечисление) налогов, сборов, страховых взносов;
нарушение сроков уплаты (перечисления) налогов, сборов, страховых взносов;
неправильное указание реквизитов в платежных документах.
VIII. Представление организацией информации о рисках организации
8.1. Информация о рисках организации отражается организацией в приложении N 1 «Риски организации, идентифицируемые в целях налогового мониторинга» к Требованиям.
8.2. При раскрытии организацией информации о рисках организации должно быть указано:
IX. Контрольные процедуры организации
9.1. Система внутреннего контроля организации должна обеспечивать выполнение организацией контрольных процедур, направленных на предупреждение или минимизацию рисков, влияющих на достижение целей организации.
9.2. В качестве контрольных процедур организации должны использоваться:
документальное оформление и подтверждение фактов хозяйственной жизни организации;
подтверждение соответствия документов требованиям законодательства Российской Федерации;
санкционирование (авторизация) операций, обеспечивающее подтверждение правомочности их совершения;
сверка данных путем проверки полноты, точности, непротиворечивости и корректности полученной информации;
разграничение полномочий, в том числе посредством исключения совмещения одним лицом функции инициирования, исполнения и контроля совершения хозяйственной операции;
контроль фактического наличия и состояния объектов, в том числе охрана, ограничение доступа, инвентаризация;
надзор, обеспечивающий оценку достижения поставленных целей или показателей;
процедуры, связанные с компьютерной обработкой информации и информационными системами, осуществляющие контроль доступа, целостности данных и внесения изменений в информационные системы;
разграничение доступа должностных лиц организации к блокам учета в информационной системе в целях исключения несанкционированного доступа и возникновения риска искажения бухгалтерской (финансовой), налоговой и иной отчетности.
9.3. Разработка и описание контрольных процедур организации должны осуществляться организацией на основе анализа причин возникновения рисков и оценки их последствий.
9.4. Контрольные процедуры организации должны быть направлены на предотвращение или минимизацию рисков ошибок (искажений) налогового учета и налоговой отчетности организации, рисков несвоевременной и (или) неполной уплаты (перечисления) налогов, сборов и страховых взносов.
9.5. Для разработки организацией контрольных процедур организации должны использоваться следующие документы (информация):
реестр выявленных рисков;
информация об организационной структуре организации;
карта (реестр) бизнес-процессов компании;
организационно-распорядительные документы, содержащие описание бизнес-процессов и операций, выполняемых сотрудниками.
9.6. Организация должна определить порядок документального оформления результатов выполнения контрольных процедур организации.
9.7. Организация должна осуществлять анализ результатов выполнения контрольных процедур организации и оценку эффективности их выполнения.
9.8. Анализ организацией результатов выполнения контрольных процедур организации должен включать:
определение степени предотвращения или минимизации рисков посредством выполнения контрольных процедур организации;
проверку наличия документов, подтверждающих выполнение организацией контрольной процедуры организации и их соответствие порядку выполнения контрольной процедуры организации и виду контроля;
проверку соответствия описания контрольной процедуры организации порядку и способу ее выполнения;
проверку соблюдения принципа распределения полномочий при отражении организацией в учете операций (групп операций) и выполнении контроля в отношении этих операций (групп операций);
определение порядка и способов устранения выявленных ошибок и отклонений;
доведение информации до руководства о результатах выполнения контрольных процедур организации.
X. Раскрытие организацией информации о контрольных процедурах организации
10.1. Перечень контрольных процедур организации должен быть сформирован организацией исходя из выявленных и оцененных рисков, влияющих на полноту и достоверность бухгалтерской (финансовой), налоговой и иной отчетности.
10.2. Описание организацией всех контрольных процедур организации, используемых организацией, должно содержать:
достоверные значения атрибутов и характеристик, используемых при квалификации контрольных процедур организации;
описание контрольных процедур организации.
10.3. По результатам описания контрольной процедуры организации у внешнего пользователя, не обладающего детальными знаниями в отношении специфики финансово-хозяйственной деятельности организации, должно складываться понимание о следующем:
как выполнение контрольной процедуры организации направлено на предотвращение или минимизацию рисков;
кто участвует в выполнении контроля;
как распределены роли участников: кем осуществляется выполнение хозяйственной операции и кем осуществляется контроль в отношении выполненных операций (подготовленных документов);
в чем заключается контроль при осуществлении описанных действий и операций, каким образом выявляются ошибки;
какие документы (отчеты) свидетельствуют о выполнении контрольной процедуры организации и ее результатах.
10.4. Результаты выполнения контрольных процедур организации должны документироваться и храниться организацией.
10.5. С целью систематизации принятых организацией контрольных процедур организации, относящихся к выявленным рискам организации, а также для оценки степени предотвращения или минимизации выявленных рисков организации организация должна составлять матрицу рисков и контрольных процедур организации.
10.6. Матрица рисков и контрольных процедур организации должна быть составлена организацией на основе проведенного анализа и обоснования уровней рисков организации по операциям и процессам, оценки имеющихся у организации контрольных процедур, позволяющих минимизировать или устранить последствия выявленных организацией рисков.
10.7. Раскрытие организацией в матрице рисков и контрольных процедур организации информации по рискам и контрольным процедурам должно осуществляться по всем направлениям выявления организацией рисков, указанным в пункте 7.7 настоящих Требований.
10.8. Степень детализации информации при раскрытии организацией информации в матрице рисков и контрольных процедур организации должна быть определена на основе уровня существенности ошибки налоговой отчетности, которая выражается в факте несоблюдения законодательства о налогах и сборах и влечет за собой финансовые или иные потери.
10.9. Организация не реже одного раза в квартал должна проводить оценку необходимости обновления информации в матрице рисков и контрольных процедур организации.
XI. Представление организацией информации о контрольных процедурах организации
11.1. Описание каждой контрольной процедуры организации и порядок ее проведения приводится организацией в приложении N 2 «Контрольные процедуры организации, осуществляемые в целях налогового мониторинга» к Требованиям.
11.2. При описании организацией каждой контрольной процедуры организации должна быть указана следующая информация:
11.3. Результаты анализа контрольных процедур приводятся организацией в приложении N 3 «Анализ контрольных процедур организации, осуществляемых в целях налогового мониторинга» к Требованиям:
11.4. Матрица рисков и контрольных процедур организации отражается организацией в приложении N 4 «Матрица рисков и контрольных процедур организации» к Требованиям.
11.5. При раскрытии организацией информации в матрице рисков и контрольных процедур организации указывается:
11.6. Информация о результатах выполнения контрольных процедур отражается организацией в приложении N 5 «Результаты выполнения контрольных процедур организации, осуществляемых в целях налогового мониторинга» к Требованиям.
11.7. При раскрытии организацией информации о результатах выполнения контрольных процедур организации указывается:
XII. Информационная система организации
12.1. Информационная система организации должна обеспечивать функционирование системы внутреннего контроля организации.
12.2. Информационная система организации должна реализовывать интегрированную обработку данных, обеспечивающую раннее выявление и отслеживание ошибок, противоречий, неточностей, а также должна обеспечивать формирование оповещений о подозрительных операциях в режиме реального времени.
12.3. Информационная система организации должна быть организована таким образом, чтобы доводить до руководителей организации информацию об ошибках, противоречиях и недостатках, возникающих при осуществлении финансово-хозяйственной деятельности организации и при составлении бухгалтерской (финансовой), налоговой и иной отчетности.
12.4. Информационная система организации бухгалтерского учета, реализующая функции интегрированного внутреннего контроля, должна обеспечивать инициирование, учет, обработку операций и составление отчетности по ним, а также автоматический перенос информации из информационных систем обработки операций (информации) в регистры бухгалтерского учета (включая расширенные выписки по счетам бухгалтерского учета).
12.5. Информационная система организации, реализующая функции внутреннего контроля, должна обеспечивать исправление ошибок, противоречий и неточностей при отражении операций в учете, создание отчетов по фактам произведенных корректировок результатов выполнения контрольных процедур организации.
12.6. Аналитическая информационная система организации, используемая для мониторинга и оценки системы внутреннего контроля организации, должна обеспечивать анализ и изучение результатов тестирования и аудита, а также создание отчетов, управление случаями выявления подозрительных операций организации с помощью функций внутреннего и внешнего контроля.
12.7. В организации должно быть организовано внедрение, сопровождение и развитие информационных систем организации, а также разработка и внедрение мероприятий по совершенствованию информационных систем организации.
12.8. Организация должна осуществлять внутренний и (или) внешний аудит информационных систем организации.
XIII. Оценка организацией системы внутреннего контроля организации
13.1. Организация должна проводить оценку системы внутреннего контроля организации с целью определения уровня ее организации и разработки мероприятий по развитию и совершенствованию системы внутреннего контроля.
13.2. Оценка организацией системы внутреннего контроля организации должна предусматривать проверку функционирования системы внутреннего контроля организации в ходе финансово-хозяйственной деятельности с целью своевременного информирования руководителей о выявленных ошибках, противоречиях и недостатках для принятия мер по их устранению.
13.3. Порядок, частота осуществления оценки организацией системы внутреннего контроля организации должны определяться в зависимости от характера и масштабов финансово-хозяйственной деятельности организации, изменений в финансово-хозяйственной деятельности и общего уровня развития и надежности системы внутреннего контроля организации.
13.4. Оценка организацией системы внутреннего контроля организации должна проводиться с учетом результатов фактически выполняемых и документально подтвержденных контрольных процедур организации.
13.5. Организация должна проводить оценку системы внутреннего контроля организации в разрезе пяти компонентов:
контрольная среда организации;
выявление и оценка организацией рисков;
контрольные процедуры организации;
информационная система организации;
мониторинг организацией средств контроля.
13.6. При анализе и оценке контрольной среды организации должны учитываться следующие критерии:
внедрение в организации и соблюдение сотрудниками организации профессиональных, этических и поведенческих стандартов;
участие руководителя организации в процессе оценки результатов функционирования системы внутреннего контроля организации, в том числе закрепление за руководителем организации функций рассмотрения и утверждения оценки результатов мониторинга и оценки системы внутреннего контроля организации;
распределение (разграничение) полномочий и обязанностей, закрепленное в организационной структуре, реализующей надлежащий учет ключевых сфер полномочий, обязанностей и определенного порядка подчиненности сотрудников;
наличие требований к квалификации сотрудников, в том числе к образованию, опыту работы, достижениям, сведениям о добросовестности и этическом поведении, а также наличие программ подготовки специалистов, предусматривающих обучение их функциям и обязанностям;
13.7. При выявлении и оценке рисков должны учитываться следующие критерии:
наличие системы управления рисками организации;
утверждение комплексной стратегии управления рисками организации на уровне руководителя организации;
документирование результатов выявления и оценки организацией рисков;
использование организацией современных информационных систем для организации системы управления рисками организации.
13.8. При анализе и оценке контрольных процедур организации должны учитываться следующие критерии:
описание контрольных процедур в организации;
документирование выполнения организацией контрольных процедур организации;
оценка организацией эффективности контрольных процедур организации;
наличие автоматизированных контрольных процедур организации;
соотношение автоматизированных и ручных контрольных процедур организации.
13.9. При анализе и оценке информационных систем организации должны учитываться следующие критерии:
частота проведения внутреннего и (или) внешнего аудита информационных систем организации;
наличие защиты от несанкционированного доступа к исходным данным, содержащимся в информационных системах организации;
использование современных информационных систем организации для организации бухгалтерского и налогового учета;
использование современных информационных систем организации для контроля за правильностью исчисления (удержания) налогов, сборов, страховых взносов и для подготовки бухгалтерской (финансовой), налоговой и иной отчетности;
реализация процедур автоматизированного контроля в информационных системах организации;
наличие в информационных системах организации контролей, выполняемых в режиме реального времени.
13.10. При анализе мониторинга организацией средств контроля должны учитываться следующие критерии:
непрерывность осуществления организацией мониторинга и оценки системы внутреннего контроля организации;
наличие формализованных показателей оценки системы внутреннего контроля организации;
наличие регламентированной процедуры проведения и оформления результатов оценки системы внутреннего контроля организации;
регулярность составления и представления руководству организации отчетности об оценке системы внутреннего контроля организации;
проведение внутреннего и (или) внешнего аудита результатов оценки системы внутреннего контроля организации;
наличие и реализация плана мероприятий по совершенствованию системы внутреннего контроля организации.
XIV. Уровни организации системы внутреннего контроля организации
14.1. Организация системы внутреннего контроля организации должна предусматривать уровни, каждый из которых характеризуется конкретными целями, задачами, стратегией, организационной структурой, критериями и другое.
14.2. Оценка уровня организации системы внутреннего контроля организации должна проводиться организацией по пяти компонентам на основе установленных критериев согласно приложению N 6 «Компоненты системы внутреннего контроля организации» к Требованиям.
14.3. Система внутреннего контроля организации должна обеспечивать одновременное функционирование пяти компонентов в качестве интегрированной системы.
14.4. Оценка уровня организации системы внутреннего контроля организации должна проводиться организацией по каждому критерию с присвоением баллов и отнесением к конкретному уровню организации системы внутреннего контроля организации.
XV. Раскрытие организацией информации об уровне организации системы внутреннего контроля организации
15.1 Оценка уровня организации системы внутреннего контроля организации должна осуществляться для каждого компонента системы внутреннего контроля организации на основе пяти уровней, приведенных в приложении N 7 «Уровни организации системы внутреннего контроля организации» к Требованиям.
15.2. Уровень организации системы внутреннего контроля организации должен оцениваться в целом и по каждому компоненту.
15.3. Каждый целевой показатель критерия должен оцениваться на начальном (1) уровне в 1 балл, на определенном (2) уровне в 2 балла, на контролируемом (3) уровне в 3 балла, на управляемом (4) уровне в 4 балла, на совершенствуемом (5) уровне в 5 баллов.
15.4. Максимальное количество баллов по всем критериям оценки и целевым показателям должно составлять 100 баллов.
15.5. Интегральный показатель уровня организации системы внутреннего контроля организации должен рассчитываться путем суммирования баллов по каждому критерию оценки в разрезе компонентов системы внутреннего контроля.
15.6. Для каждого уровня организации системы внутреннего контроля организации должны применяться следующие диапазоны значений интегральных показателей:
15.7. Уровень организации системы внутреннего контроля организации должен использоваться организацией для определения объема представляемых налоговому органу первичных учетных документов при проведении налогового мониторинга.
15.8. Соответствие объема представляемых организацией налоговому органу первичных учетных документов уровню организации системы внутреннего контроля организации приведено в приложении N 8 «Объем проверки первичных учетных документов в целях налогового мониторинга» к Требованиям.
15.9. При выявлении случаев неправильного исчисления (удержания), неполной или несвоевременной уплаты (перечислении) организацией налогов, сборов, страховых взносов объем представляемых организацией налоговому органу первичных учетных документов не учитывается.
XVI. Представление организацией информации по оценке уровня организации системы внутреннего контроля организации
16.1. На основе полученных результатов оценки уровня организации системы внутреннего контроля организации организация заполняет приложение N 9 «Оценка уровня организации системы внутреннего контроля организации» к Требованиям, в котором указывается следующая информация:
16.2. Данные отчета согласно приложению N 9 «Оценка уровня организации системы внутреннего контроля организации» к Требованиям подтверждаются организационно-распорядительными документами организации.
16.3. Организацией по результатам проведения мероприятий по совершенствованию системы внутреннего контроля организации заполняется приложение N 10 «Мероприятия по совершенствованию системы внутреннего контроля организации» к Требованиям.
16.4. В приложении N 10 «Мероприятия по совершенствованию системы внутреннего контроля организации» к Требованиям указывается следующая информация:
XVII. Информация о системе внутреннего контроля организации
17.2. Информация об организации СВК организации составляется на русском языке, имеет сквозную нумерацию страниц и представляется в налоговый орган на бумажном носителе и в электронной форме (по телекоммуникационным каналам связи через оператора электронного документооборота).
17.3. Информация об организации СВК организации состоит из:
главы II «Контрольная среда организации»;
главы III «Система управления рисками организации»;
главы IV «Контрольные процедуры организации»;
главы V «Информационные системы организации»;
главы VI «Мониторинг и оценка организацией системы внутреннего контроля организации»;
17.4. Информация об организации СВК организации подписывается руководителем организации (ее представителем).
17.5. При подписании Информации об организации СВК организации представителем организации указываются наименование, иные реквизиты документа, подтверждающего полномочия представителя организации. При этом копия указанного документа прилагается к Информации об организации СВК организации.
17.6. При заполнении Титульного листа указываются следующие сведения:
наименование налогового органа, в который представляется Информация об организации СВК организации;
дата подписания Информации об организации СВК организации руководителем (представителем) организации;
порядковый номер редакции Информации об организации СВК организации;
полное и сокращенное наименования организации;
идентификационный номер налогоплательщика;
17.7. В главе I «Общие положения» указывается следующая информация:
в пункте 1 Информации об организации СВК организации приводится описание целей и задач системы внутреннего контроля, а также их связи с целями и стратегическими планами организации;
в пункте 2 Информации об организации СВК организации указываются сведения об организационно-распорядительных документах, регламентирующих порядок функционирования системы внутреннего контроля организации;
в пункте 3 Информации об организации СВК организации приводится информация об утвержденной организационной структуре и структурных подразделениях, отвечающих за функционирование системы внутреннего контроля организации;
в пункте 4 Информации об организации СВК организации описывается порядок проведения в организации внутреннего и (или) внешнего аудита системы внутреннего контроля организации.
17.8. В главе II «Контрольная среда организации» указывается следующая информация:
в пункте 5 Информации об организации СВК организации раскрывается информация о профессиональных, этических и поведенческих стандартах, применяемых при организации системы внутреннего контроля организации;
в пункте 6 Информации об организации СВК организации описывается принятое в организации распределение и разграничение полномочий и обязанностей сотрудников при организации системы внутреннего контроля организации, в том числе указывается информация о роли руководителя организации;
в пункте 7 Информации об организации СВК организации описываются существующие в организации требования к квалификации сотрудников, отвечающих за функционирование системы внутреннего контроля организации, а также приводится описание процесса обучения и повышения квалификации сотрудников.
17.9. В главе III «Система управления рисками организации» указывается следующая информация:
в пункте 8 Информации об организации СВК организации приводится оценка организации применяемой организацией стратегии управления рисками, направленной на выявление рисков, анализ из последствий в целях реализации целей и задач организации;
в пункте 9 Информации об организации СВК организации раскрывается информация об используемых организацией способах и методах выявления и оценки рисков;
в пункте 10 Информации об организации СВК организации приводится порядок расчета уровня существенности, используемого организацией при выявлении и оценке рисков;
в пункте 11 Информации об организации СВК организации приводится перечень операций организации, характеризующихся высоким уровнем потенциального риска;
в пункте 12 Информации об организации СВК организации приводится общее описание рисков организации, идентифицируемых организацией в целях налогового мониторинга, с указанием источника их возникновения, а также условий реализации данных рисков.
17.10. В главе IV «Контрольные процедуры организации» указывается следующая информация:
в пункте 13 Информации об организации СВК организации приводится список документов, используемых при разработке контрольных процедур организации;
в пункте 14 Информации об организации СВК организации указывается информация о существующих в организации уровнях внутреннего контроля, а также приводится описание применяемых в целях налогового мониторинга контрольных процедур организации;
в пункте 15 Информации об организации СВК организации описывается утвержденный в организации порядок документального оформления результатов выполнения контрольных процедур организации;
в пункте 16 Информации об организации СВК организации описывается утвержденных в организации порядок проведения организацией анализа результатов выполнения контрольных процедур организации.
17.11. В главе V «Информационные системы организации» указывается следующая информация:
в пункте 17 Информации об организации СВК организации указывается информация об информационных системах организации, используемых для управления рисками;
в пункте 18 Информации об организации СВК организации указывается информация об информационных системах организации, используемых для ведения бухгалтерского учета и реализующих функции интегрированного внутреннего контроля;
в пункте 19 Информации об организации СВК организации указывается информация об информационных системах организации, реализующих функции внутреннего контроля;
в пункте 20 Информации об организации СВК организации указывается информация об информационных системах организации, реализующих функции внутреннего аудита;
в пункте 21 Информации об организации СВК организации указывается информация об аналитических информационных системах организации, используемых для мониторинга и оценки системы внутреннего контроля;
в пункте 22 Информации об организации СВК организации указывается информация о структурном подразделение организации, отвечающем за вопросы внедрения, сопровождения и развития информационных систем;
в пункте 23 Информации об организации СВК организации описывается порядок проведения внутреннего и (или) внешнего аудита информационных систем организации.
17.12. В главе VI «Мониторинг и оценка организацией системы внутреннего контроля организации» указывается следующая информация:
в пункте 24 Информации об организации СВК организации описывается утвержденный в организации порядок осуществления мониторинга и оценки организацией системы внутреннего контроля;
в пункте 25 Информации об организации СВК организации описывается утвержденный в организации порядок разработки и утверждения мероприятий по совершенствованию системы внутреннего контроля организации.
17.13. Внесение изменений в Информацию об организации СВК организации при изменении требований законодательства о налогах и сборах, а также законодательства Российской Федерации о бухгалтерском учете производится организацией в течение одного месяца с даты вступления в силу указанных изменений.
17.14. Внесение изменений в Информацию об организации СВК организации при обнаружении ошибок, неточностей, искажений, противоречивости информации производится организацией в обязательном порядке в течение одного месяца с даты обнаружения.
17.15. Внесение изменений в Информацию об организации СВК организации должно обеспечивать повышение уровня организации системы внутреннего контроля организации, а также предотвращать повторное появление ранее выявленных ошибок, неточностей, искажений, противоречивости информации.
XVIII. Сроки представления информации
18.1. Организация должна проводить оценку необходимости внесения изменений в систему внутреннего контроля организации не реже одного раза в квартал.
18.2. Организация при внесении изменений должна представлять в налоговый орган актуальную информацию о системе внутреннего контроля организации не позднее 5 рабочих дней со дня внесения изменений.
Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.