Подписаться

6 ключевых контролей для безопасных платежей в компании

Алексей Сизов
Вице-президент по развитию Ассоциации КорпФинтех

В начале моей карьеры, в период активного внедрения в российских компаниях практик, соответствующих закону Сарбейнса-Оксли (Sarbanes-Oxley Act), мне довелось руководить внутренним аудитом «Coca-Cola HBC Eurasia» в России.

Мой наставник с самого начала заложил в меня принцип: любая деятельность в компании должна приносить пользу. Прошли годы, но я до сих пор сталкиваюсь с тем, как менеджмент подходит к системе внутреннего контроля формально, «для галочки». В результате вместо эффективного инструмента управления получается набор бессмысленных процедур, которые никто не может внятно объяснить.

Каждая компания осуществляет платежи. И каждый руководитель и владелец бизнеса, небезосновательно, считает этот процесс критичным и высокорискованным. При этом, будет ошибкой считать, что лучший контроль для платежного процесса, когда руководитель высокого уровня лично просматривает все платежи перед отправкой в банк.

Чтобы избежать этой бюрократической ловушки, система контролей должна быть не набором разрозненных правил, а логичной и целостной конструкцией. Покажу, как это работает, на примере одного из самых рискованных процессов — платежного.

Давайте перечислим риски, связанные с платежным процессом. Но сделаем это не казенным языком, а простыми словами:

  1. Риск заплатить не туда — ошибки в реквизитах, недобросовестные действия сотрудников, взлом системы… Всё это может привести к тому, что деньги уйдут не по адресу. И даже если получится их вернуть, пройдет время, которое, как известно, тоже деньги. Сюда же можно отнести возможные санкционные риски в связи с оплатой «неправильному» контрагенту
  2. Риск заплатить больше — дублирование платежей, ошибки в суммах, допущенные случайно или намеренно, оплата за фактически не выполненные работы или непоставленные товары.
  3. Риск заплатить не вовремя — просроченные оплаты несут риски начисления пеней и штрафов, в то же время заплатить раньше, это значит изъять деньги из оборота раньше срока. Платить нужно вовремя. Идеальный вариант — оплата в день наступления обязательств.

Риски могут реализовываться по различным причинам, но в итоге всё сводится к этим трем. Внутренние контроли внедряются в компании, чтобы снизить вероятность реализации риска.

Важно понимать: контроль не устраняет риск полностью, а лишь снижает вероятность его реализации до приемлемого для бизнеса уровня. Система контроля, которая стремится к стопроцентному исключению всех рисков, парализует деятельность компании.

Процесс исполнения платежей в компании всегда является делом очень важным и требующим внимания. При этом, важно понимать, что платеж это всегда результат целого ряда предшествующих действий. Давайте разберем основные контроли, цель которых снизить до приемлемого уровня риски связанные с платежным процессом:

Контроль за соблюдением стандартных условий оплат

Стандартные условия оплаты определяются организацией для своих поставщиков и покупателей в зависимости от условий ведения бизнеса. Таких условий в справочнике может быть сколько угодно. Главное, чтобы при заключении договора условия оплаты определялись на основании объективных критериев.

Пример:
Для поставщиков:
Услуги — отсрочка платежа — 30 дней. Материалы — 60 дней.
Для покупателей:
Оптовик — 15 дней; Дистрибьютор — 30 дней; Ключевой клиент — 35 дней.

Критерии могут быть разными. Важно, чтобы условия оплаты поддавались автоматизации и базировались на аналитиках, которые участвуют в планировании. Тогда можно будет автоматизировать построение БДДС (бюджета движения денежных средств) на основании плана продаж и закупок.

Требования к ИТ-системам:

  1. Наследование условий оплаты от договора или закупочных документов до автоматического определения системой даты оплаты на основании первичных документов.
  2. Автоматическое определение даты платежа на основании условий оплаты.
  3. Любые ручные корректировки даты платежа должны быть доступны только финансовому отделу и попадать в регулярный отчет.
  4. Отчет должен формироваться автоматически за период, демонстрировать все ручные корректировки даты оплаты и финансовый результат таких корректировок. Отчет подлежит регулярной проверке руководителем, независимым от процесса корректировки условий оплаты. В случае существенного (превышения установленных значений существенности) влияния корректировок на финансовый результат, информация включается в регулярный отчет для финансового директора с консолидированной информацией о причинах наиболее существенных отклонений.

Контроль: При согласовании договора стандартные условия оплаты не требуют дополнительного согласования, а нестандартные должны обосновываться и согласовываться финансовым департаментом. Все ручные корректировки проверяются на наличие соответствующего обоснования.

Контроль за данными контрагента

Достоверность и актуальность справочника контрагентов — это основа уверенности в том, что деньги уйдут по адресу, а не на деревню к дедушке. Это достигается централизацией ведения справочника и определением прозрачных и строгих правил его ведения.

Требования к ИТ-системам:

  1. Изменение записей в справочнике контрагентов доступно только специально выделенным сотрудникам, отвечающим за мастер-данные.
  2. При заключении договоров, формировании первичных и платежных документов и прочих действиях реквизиты и прочие данные система берет из справочника.
  3. Изменения в справочник вносятся на основании заявок с приложением подтверждающих документов и после проведения комплаенс-процедур.
  4. На регулярной основе автоматически формируется список неактивных контрагентов. В случае отсутствия подтверждения о необходимости сохранения активного статуса действия с этим контрагентом блокируются.
  5. Справочник контрагентов подключается к постоянному мониторингу риск-факторов (сообщения о банкротстве, судебные иски, изменение собственников, места регистрации, руководителя и пр.).

Контроль: Меры по ведению справочника контрагентов должны обеспечивать достоверность и актуальность данных в этом справочнике и автоматическую блокировку возможных транзакций с контрагентами, по которым выявлены факторы риска. Доступ к ведению и корректировке записей в справочнике должен быть организован в соответствии с принципом разделения полномочий (segregation of duties).

Контроль лимитов на контрагентов

Установление и регулярный пересмотр лимитов на контрагентов — это эффективный способ ограничения рисков.

Требования к ИТ-системам:

  1. Должна быть возможность установки как минимум двух типов лимитов на контрагентов:
    • Лимит на единоразовую выплату
    • Лимит на общий размер необеспеченной задолженности
  2. ИТ-системы должны обеспечивать автоматическую выборку и восстановление лимитов, а также блокировку транзакций в случае, если транзакция превышает один или оба лимита
  3. Доступ к корректировке лимитов должен быть у сотрудников, не вовлеченных в работу с контрагентами. (Разделение полномочий)
  4. ИТ-решение должно позволять производить перерасчет лимитов в соответствии с утвержденной в организации методологией.

Контроль: Для всех контрагентов устанавливаются кредитные лимиты в соответствии с утвержденной в компании методологией. Лимиты регулярно пересматриваются. Транзакции, превышающие установленные лимиты, автоматически блокируются.

Согласование реестра платежей

Если описанные выше контроли эффективно работают, то согласование реестра платежей перед формированием платежных поручений сводится к необходимости проверить наличие обоснования и соответствующих согласований для платежей (заявок на платеж), созданных вручную.

Требования к ИТ системам:

  1. В реестре платежей для согласования должны быть выделены платежи, сформированные или скорректированные вручную. Для каждой корректировки или ручного платежа должен быть написан комментарий и приложены обосновывающие документы или ссылка на них.
  2. Отдельно выделяется функциональность по отслеживанию дублированных платежей, как в рамках текущего реестра, так и по сравнению с предыдущими периодами.
  3. После отправки на согласование реестр платежей блокируется для изменений (это базовый принцип организации контролей), вносить записи и согласовывать должны разные люди (разделение полномочий).

Контроль: Реестр платежей формируется из системы и проверяется руководителем, не имеющим доступа к функциям ручного ввода и корректировки платежей.

Контроль исполнения платежа

Контроли при непосредственном выполнении платежей зависят от того, какими техническими средствами пользуется организация для отправки в банк финансовых сообщений.

Если используется банк-клиент, то это будет комплекс контролей, связанных с переносом файла с реестром платежей на выделенный компьютер. В этом случае я бы предложил сделать акцент на сверку выгружаемого из операционной системы компании реестра платежей и реестра платежей, сформированного в банк-клиенте для отправки в банк. При этом сотрудник, осуществляющий проверку, не должен иметь прав на редактирование обоих реестров. Его функция — сверить реестр платежей, выгруженный из системы, с реестром в системе банк-клиент. Такой способ подходит организациям с относительно небольшим количеством платежей.

Крупные компании, осуществляющие большое количество платежей, часто приходят к необходимости интеграционных решений с банками. Это может быть прямая интеграция host-to-host или использование решений мультибанк. В этом случае проблема контроля за переносом данных через файл становится не актуальной.

Контроль: Реестр платежей, сформированный и согласованный для отправки в банк, переносится в систему дистанционного банковского обслуживания без искажений.

Сверка система — банк

Сверка реестра платежей с выпиской банка — это классический и обязательный пост-контроль платежного процесса. Идеально, когда распознавание банковской выписки, как итоговой, так и промежуточной, настроено в автоматическом режиме с формированием отчета о расхождениях. Тогда сотрудник, отвечающий за выписку, получает информацию максимально оперативно.

Требования к ИТ-системам:

  1. Автоматическое распознавание банковской выписки и сверка с реестром платежей.
  2. Формирование отчета о расхождениях на основании сверки.
  3. Автоматический расчет банковских комиссий реализован на стороне ИТ системы с возможностью сверки с удержанными комиссиями банков.

Контроль: На ежедневной основе проводится сверка данных ИТ-системы с данными банковской выписки. Важно, чтобы данную сверку выполнял сотрудник, не вовлеченный в процесс исполнения платежей.

Смысл построения контрольной системы — не в создании бюрократических барьеров, а в том, чтобы сделать работу с деньгами безопасной и предсказуемой. Когда каждый контроль логичен, автоматизирован и направлен на конкретный риск, он перестает быть досадной «галочкой» и становится надежным инструментом, который реально помогает бизнесу, а не мешает ему.

Поделиться ссылкой
Похожие записи

Сейчас популярно

Исследование численности сотрудников, обеспечивающих расчеты с нерезидентами
Исследование «Цифровой рубль и его роль в трансграничных расчетах и в бюджетном процессе»
Почему привлечение и удержание лучших специалистов казначейства требует намного большего, чем деньги
Treasury Management International «Подключение к глобусу»