SOX and Procurement
Я специально назвал тему заметки «SOX и Закупки» вместо более очевидной «SOX в Закупках» и вот почему.
С SOX я познакомился в самом начале 2010-х, в Банковской сфере. В то время из-за турбулентности на финансовых рынках и общей нестабильной экономической ситуации Банк, в котором я работал, взял за приоритет формат работы с учетом постоянного анализа рисков (risks based approach), который в т.ч. распространялся и на область Закупок. Отношение к контролю по стандарту SOX с того момента стало очень пристальным.
Нет, нам нужно начать с более исторического пункта…
Что такое SOX?
Помните, в конце 90-х разгорелись крупные мировые скандалы, связанные с предоставлением некорректной отчетности и в связи с этим манипулированием на рынке ценных бумаг? Одними из крупных были: крах Worldcom, Enron, Marconi и т.д. В результате неподконтрольной на тот момент ситуации в формате работы по предоставлению финансовой отчетности был принят закон Мэриленда Пола Сарбейнза и Майка Оксли, который определял стандарты подготовки и предоставления финансовых результатов для компаний и способствовал повышению уровня ответственности управленцев за точность отражения информации в отчетности. Закон получил название Sarbanes-Oxley Act или кратко: SOX. Более детальную информацию можно легко найти в интернете.
Закон SOX распространяется на все американские и мировые компании, ценные бумаги которых котируются на фондовых биржах США. На мой взгляд, принципы построения контроля SOX можно и главное нужно применять вне зависимости от того, попадает ли компания под действие закона или нет.
В законе присутствует довольно большое кол-во статей, но со стороны закупок больше всего мы сфокусируемся на двух статьях: №302 и №404, которые кратко можно изложить как: Закон требует подтверждения руководством компании всех финансовых отчетов, включая ответственность за работу системы внутреннего контроля. И под внутренним контролем в данном случае имеется в виду не «аудит», который относится к поиску или оценке уже существующих слабых мест. Внутренний контроль – это построение эффективной системы предотвращения появления ошибок или мошенничества, которые смогут стать причиной искажения финансовой отчетности.
И если еще кратко: а построен ли у нас такой процесс, когда у сотрудников нет возможности его нарушить без уверенности, что это будет расследовано? А как часто мы проверяем наши процессы? А как часто мы смотрим на риски, которые могут возникнуть в наших процессах?
Как говорил один из аудиторов Большой Четверки, который занимался проверкой контролей SOX: Олег, а что ты хотел? Закупки могут быть с большим количеством нулей в P&L и в наше время инвесторы хотят быть уверены не только в прибыли.
Если вернутся к началу заметки, именно поэтому Закупки являются частью исполнения контроля закона SOX.
Ниже я опишу несколько принципов и видов контроля, которые, на мой взгляд, могут быть применимы к разным направлениям работы в Закупках. Нужно помнить, что любой контроль требует разработки, описания, внедрения и мониторинга. 🙂 В закупках, контроль может быть двух видов: выявляющий и предотвращающий. «Предотвращающий» – когда процесс построен таким образом, что не позволяет сотруднику нарушить его, а «Выявляющий» – когда сотрудник может его нарушить с уверенностью в полном информировании о таком нарушении.
Примеры контроля с комментариями:
- Проведение оплаты по счету именно к тому поставщику, с которым подписан договор:
- Как в компании мониторится система, чтобы не допустить возможности оплаты счета неавторизованному поставщику. Например: договор заключен с «Ромашка» ИНН77777777, а оплата идет к «Ромашка» ИНН8888888?
- Как в компании построен процесс ввода реквизитов юридического лица? Кто может менять реквизиты и какие стоят права доступа на такие действия? Ведется ли учет действий и авторизаций, связанных с модерацией реквизитов поставщиков? Если ведется – в каком формате?
2. Выбор поставщика не на условиях честности и прозрачности:
- Каким способом происходит выбор поставщика для исключения возможностей заинтересованности или манипуляции? Как сохраняется информация о таком выборе? Насколько защищены данные по выбору поставщика со стороны последующих манипуляций?
- Как описан и выполняется процесс «разделения обязанностей сотрудников» при взаимодействии с поставщиком на этапе тендера?
- Есть ли процесс независимого подтверждения отсутствия аффилированности поставщика?
3. Если в компании используется система R2P: проведение сверки между уже оплаченными счетами, согласованными заявками на закупку и базой данных поставщиков.
- В каком режиме происходит сверка данных по согласованным Заявкам на закупку с фактически оплаченными счетами? Валидация проходит автоматически или вручную?
- Есть ли возможность вручную вносить изменения в уже согласованную Заявку на поставку? Как происходит учет таких действий?
4. Оплата счета без договора.
- Есть ли возможность произвести оплату поставщику без договора и проведения тендера?
- Есть ли соответствующие процедуры? Ведется ли проверка поставщика на аффилированность?
- Какие сотрудники принимают решение о такой операции? Где и как хранится подтверждение и цель проведения действия, и кто имеет к ней доступ?
5. Контроль повторяющихся закупок.
- При наличии повторяющихся закупок внутри компании как происходит процесс валидации заказанных и фактических оказанных услуг или поставленных товаров? Есть ли разграничение обязанностей между сотрудниками, которые производят заказ и подписывают акты?
На моей практике в Закупках внедряли порядка 19 видов контроля, которые в большинстве своем были упреждающими. Одним из важных аспектов работы с SOX и прохождения аудитов является четкое определение порядка хранения и контроля всех документов, логов и решений, которые могут относиться к процессу проведения закупок.
Я уверен, работая в Закупках, вы сталкивались или работаете с принципом: «минимума 4 глаз». Когда каждая итерация в осуществлении закупок от процесса заявки до итоговой оплаты счета поставщику должна быть подтверждена, одобрена или просмотрена минимум двумя сотрудниками, а для некоторых этапов это требование может быть расширено на уровни разных департаментов или отделов компании. Например: сотрудник не может создать заявку на закупку без авторизации держателя бюджета, а сотрудник бухгалтерии не может оплатить этот счет, если он выставлен от поставщика, который не одобрен отделом Procurement, даже если на нем есть подпись Генерального директора.
Для целей SOX наличие в компании такого процесса только плюс.
Отношение к SOX моих коллег в большинстве случаев негативное, а аудит контроля SOX для них – что-то из разряда пожара. Считаю, что в этом есть доля правды, но она не относится к процессам. Она больше касается отношения, как со стороны Закупок, так и со стороны Аудиторов. Сколько раз Аудиторы проводили тренинг по SOX, который был разработан «не для аудиторов»? Скорее всего, 0 (НОЛЬ) раз. В прошлом году я был на большом внешнем тренинге по контролям SOX и тренер чуть ли не аплодировал мне, т.к. я был первым сотрудником от направления Закупок, который посетил тренинг. В основном участники таких тренингов — аудиторы и финансовые специалисты, которые доносят требования через свою призмы.
Если у Вас был опыт работы с аудитами SOX или постановкой контролей в Закупках, буду рад узнать Ваше мнение о законе и его исполнении.
P.S. Оценка и мониторинг рисков – это тоже контроль. Но данную тему я решил разобрать в следующей статье.
Ой, забыл, Сотрудники, отвечающие за предоставление отчетности согласно Закону SOX, несут уголовную ответственность 🙂