Отчет об эффективности ключевых контрольных процедур бизнес процесса предоставляется

Страница 3 из 4

Оценка эффективности контроля корпоративного уровня

Эффективность контрольной процедуры корпоративного уровня делится на две составляющих:

• Эффективность дизайна — порядок осуществления контрольной процедуры запланирован так, что задачи контроля и риски закрыты.
• Операционная эффективность — фактическое выполнение контрольной процедуры соответствует дизайну в течение всего рассматриваемого периода.

Оценка контроля корпоративного уровня должна осуществляться на уровне существенных блоков, которые создают контрольную среду и оказывают влияния на предприятия входящие в группу. Контроль корпоративного уровня должны оцениваться раз в год, периодичность оценки контроля корпоративного уровня в существенных блохах определяется финансово-экономической службой и согласовывается с внешним аудитором.

Сроки проведения оценки контроля корпоративного уровня могут не совпадать со сроками проведения тестирования контроля по другим процессам. Для проведения оценки обычно используют проверку документации и опрос:

• Опрос руководителей и рядовых сотрудников
• Проверка документации для подтверждения результатов опроса

Во время оценки эффективности контроля корпоративного уровня необходимо проанализировать высокоуровневые регламентирующие документы, при этом необходимо проводить выборочную оценку соответствия фактического процесса нормативной документации. Также необходимо убедиться, что нижестоящие документы, указанные в высохоуровневом регламенте разработаны и утверждены.

Оценка эффективности специфичных для бизнес-процессов контроля корпоративного уровня осуществляется аналогично оценке эффективности контрольных процедур бизнес-процессов.

Результаты и выводы оценки контроля корпоративного уровня должны быть сделаны до конца финансового года.

Оценка эффективности общего компьютерного контроля

Оценка эффективности компьютерного контроля проводится, используя комбинацию опроса и проверки документации.

Оценка эффективности специфичных для бизнес-процессов общего компьютерного контроля осуществляется аналогично оценке эффективности контрольных процедур бизнес-процессов. При этом необходимо принимать во внимание, что воспроизведение контрольной процедуры желательно делать в продуктивной среде (среде, в которой работает информационная система, обрабатывающая данные, используемые впоследствии для подготовки финансовой отчетности). В случае если тестирование производится вне продуктивной среды, в результатах тестирования необходимо  задокументировать  причину,  по  которой  было  принято  решение  о соответствии сред.

Надлежащее разделение полномочий

Для выполнения большинства операций в рамках бизнес-процесса требуется осуществить авторизацию, обеспечить сохранность ценностей и отразить операцию в учете. Наделение этими полномочиями различных сотрудников позволяет снизить вероятность того, что ошибка или мошенничество, совершенное сотрудником в ходе повседневной деятельности, останется незамеченным. Также важно разделять полномочия по выполнению нескольких взаимосвязанных ключевых операций. Необходимо убедиться в том, что полномочия разделены должным образом. 

Оценка эффективности контрольных процедур бизнес-процесса

Порядок оценки эффективности дизайна контрольных процедур бизнес- процессов

Оценка дизайна контрольных процедур направлена на определение способности системы контроля над финансовой отчётностью обеспечить своевременное предотвращение или выявление ошибок и фальсификаций, приводящих к существенным искажениям информации по существенным статьям финансовой отчетности.

Ниже приведены процедуры, которые используются при тестировании и оценки эффективности дизайна:

• Опрос
• Наблюдение за выполнением контрольной процедуры
• Проверка документации
• Воспроизведение

При  оценке  эффективности дизайна особое  внимание следует обратить на следующие аспекты:

• Покрытие контролем выявленных ключевых рисков, целей контроля и утверждений финансовой отчетности.
• Периодичность выполнения контрольной процедуры.
• Необходимое разделение обязанностей в рамках контролируемого процесса для обеспечения сохранности активов.
• Ошибки, выявленные в результате контрольной процедуры, своевременно анализируются.
• Надежность информации, используемой в рамках контрольной процедуры.
• Период, охватываемый контролем: контроль действует на протяжении всего периода предполагаемого времени использования.
• Операции, охватываемые контролем: контроль покрывает все соответствующие операции, без исключений.
• Наличие подтверждающих осуществление контроля документов (доказательство выполнения контрольной процедуры).

Порядок оценки операционной эффективности (тестирования) контрольных бизнес-процессов

Процесс тестирования операционной эффективности контрольных процедур заключается в сборе доказательств того, что контрольная процедура осуществлялась в течение требуемого периода в соответствии с регламентирующими документами и подтверждении того, что исполнитель контроля обладает необходимыми полномочиями и квалификацией, чтобы выполнять контроль эффективно.

При проведении тестирования следует обратить внимание на следующие моменты:

• Документирование тестов так же важно, как и сам тест.
• Тестирование должно осуществляться только после одобрения описания контрольных процедур владельцами бизнес-процессов и владельцами контрольных процедур.
• Наличие компенсирующих контрольных процедур не влияет на вывод по поводу наличия недостатка. Компенсирующие контроль могут влиять только на оценку недостатка контрольной процедуры.

Оценку операционной эффективности целесообразно проводить в два этапа:

1. Опрос владельцев контрольных процедур

Цепь опроса — получить подтверждение, что контрольные процедуры реализованы в соответствии с описанием процесса, и в том числе предусматривают сохранение доказательств ее выполнения каждый раз во время периода, за который проводится самооценка.

Оценка процесса  при  применении  метода опроса предоставляет  лишь ограниченную гарантию того, что контрольные процедуры оцениваемого процесса выполняются на регулярной основе и в полном объеме.

2. Тестирование операционной эффективности контрольных процедур

Данная оценка дает большую степень уверенности в правильности выводов об эффективности процессов, так как вместо заявления владельца контрольной процедуры предоставляется документальное подтверждение того, что контрольная процедура выполнялись в соответствии с дизайном и необходимые доказательства были сохранены.

Задачи тестирования:

• Дать разумную уверенность в том, что процедуры контроля выполняются с должной мерой аккуратности.
• Получить понимание о том, что риски закрываются и в какой мере.
• Дополнительно тестирование дает понимание трудоемкости процесса и необходимости оптимизации самого  контроля.

Тестированию  подлежат  контрольные процедуры:

• Выбранные из общего количества контрольных процедур для тестирования на основании оценки риска по согласованию с финансово-экономической службой.
• Оцененные по дизайну как эффективные, за исключением случаев недостатка дизайна, связанного с отсутствием формализации регламентирующих документов, т.е. порядок выполнения контрольной процедуры определен, хоть и неформально, и соблюдается.
• В отношении которых получено подтверждение во время обновления документации, что они  эффективно  выполнялись  в  соответствии  с  их описаниями в течение периода, подлежащего тестированию.

При проведении тестирования сотрудник, ответственный за тестирование, должен полностью следовать плану тестирования. При необходимости внесения изменений в план тестирования, сотрудник, ответственный за тестирование, должен согласовать изменения с финансово-экономической службой. В случае обнаружения несоответствия выполнения контроля его дизайну не допускается замена одного элемента выборки на другой. В ряде случаев, по согласованию с финансово-экономической службой, допускается формирование дополнительной выборки для подтверждения выводов.

Особенности тестирования ИТ-зависимых и автоматизированных контрольных процедур

Тестирование ручной составляющей ИТ-зависимых  контрольных процедур проводится  точно  так же,  как и  тестирование  ручных  контрольных процедур,  а  автоматической  составляющей  —  так  же,  как тестирование автоматизированных контрольных процедур (например, убедиться в полноте и правильности отчетов информационной системы, которые служат основанием для выполнения KП).

Краснова И.А., заместитель начальника Отдела внутреннего аудита ОАО «УМЗ», член Института внутренних аудиторов

В настоящей статье автор подробно раскрывает методику проведения аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов компании, успешно апробированную на практике Службами внутреннего аудита ряда крупных российских промышленных холдингов. Результаты данных внутренних аудиторских проверок, организованных в соответствии с представленной методикой, могут оказать существенную помощь менеджменту при построении надежной системы внутреннего контроля компании.

Материал, представленный в данной статье, предназначен для сотрудников Служб внутреннего аудита, менеджеров различного уровня, членов Комитетов по аудиту и Советов директоров и, по мнению автора, может быть интересен более широкому кругу читателей.

1. Общие понятия о системе внутреннего контроля в компании

При исследовании вопросов, касающихся системы внутреннего контроля (далее – СВК), автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует.

Тем не менее, в рамках настоящей статьи автор трактует понятие СВК как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:

• совершенствование деятельности компании и органов его управления;
• обеспечение результативности и эффективности финансово-хозяйственной деятельности компании;
• сохранность активов;
• предотвращение внутренних и внешних рисков;
• обеспечение надежности и достоверности всех видов отчетности Общества;
• соблюдение требований законодательства и внутренних документов и регламентов Общества.

Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:

• совершенствование организации бизнеса,
• оперативное выявление, предотвращение и ограничение операционных, финансовых и других видов рисков, и
• обеспечивать разумную уверенность в достижении стратегических целей компании и ее акционеров.

Современные системы построения внутреннего контроля, формируемые в соответствии с требованиями как российских, так и зарубежных принципов корпоративного управления1, акцентируют ответственность высшего руководства компании за формирование надежной СВК и поддержание надлежащего ее функционирования. При этом многие компании в настоящее время имеют в своей структуре Службу внутреннего аудита (далее — СВА). Внутренний аудит, являясь одним из незаменимых инструментом собственников компании и Совета директоров при организации корпоративного управления и контроля, представляет собой наиболее развитую форму внутреннего контроля в компании.

Основными задачами, стоящими перед СВА, являются:

• обеспечение соответствия принципам корпоративного управления;
• оценка надежности и эффективности СВК в компании, а так же оказание консультационной поддержки менеджменту компании на этапе разработки систем и процедур СВК;
• оценка системы управления рисками;
• оценка эффективности и экономичности управления бизнес-процессами.

Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1.

Рис.1. Схема взаимодействия СВА и менеджмента компании

Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании.

В следующем разделе статьи автор предлагает к рассмотрению методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний2, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки.

2. Организация внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Следует определить, что аудиторская проверка в контексте данной статьи представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса.

Проведение внутренней аудиторской проверки инициируется Руководителем СВА компании на основе раннее утвержденного плана работы СВА либо по отдельному внеплановому поручению уполномоченного лица3.

Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:

• планирование аудиторской проверки, в том числе проведение предварительного обследования;
• проведение аудиторских процедур:
  • оценка дизайна контроля,
  • оценка исполнения контрольных процедур (тестирование),
  • анализ элементов СВК (в том числе оценка контрольной среды),
  • общая оценка эффективности СВК;
• формирование результатов аудиторской проверки;
• работа СВА с материалами аудиторской проверки после утверждения окончательной редакции «Аудиторского отчета», в том числе мониторинг исполнения рекомендаций СВА.

Рис.2. Этапы проведения внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства».

      2.1. Планирование аудиторской проверки эффективности СВК бизнес-процессов компании

Планирование аудиторской проверки способствует тому, чтобы важным областям в ходе аудита было уделено необходимое внимание, чтобы были выявлены потенциальные проблемы и работа была выполнена с оптимальными затратами, качественно и своевременно. Планирование позволяет эффективно распределять работу между членами аудиторской группы, участвующими в аудиторской проверке, а также координировать такую работу.

Для эффективного планирования предстоящей аудиторской проверки следует проводить предварительное обследование аудируемого объекта (бизнес-процесса). Задачей данного обследования является изучение фактических целей аудируемого бизнес-процесса, его структуры или изменений в нем, произошедших со времени прошлой проверки. Также должное внимание необходимо уделить оценке уровня материальности аудируемого бизнес-процесса, что позволит объективно говорить о существенности последствий неэффективной организации СВК данного процесса для компании в целом.

Аудиторы на этапе предварительного обследования:

• проводят анализ внутренней нормативной документации (далее – ВНД), регламентирующей организацию аудируемого процесса;
• проводят ознакомление с базами данных и программным обеспечением, обслуживающих рассматриваемый бизнес-процесс;
• анализируют результаты прошлых аудиторских проверок данного бизнес-процесса (в случае их наличия);
• идентифицируют и интервьюируют владельца и других участников процесса по вопросам организации процесса;
• анализируют фактические цели процесса на предмет их соответствия стратегии развития компании и принципам целеполагания (конкретизация, измеримость, согласованность, релевантность, временная ограниченность достижения);
• формируют фактическую схему организации рассматриваемого бизнес-процесса, с указанием существующих контрольных процедур;
• анализируют результаты оценки рисков, проводимой менеджментом компании (в случае ее наличия);
• анализируют систему оценки и показателей, используемых для определения эффективности и экономичности процесса.

По итогам анализа полученной информации о рассматриваемом бизнес-процессе и формирования адекватного понимания его фактического функционирования руководитель службы должен принять:

• решение о дальнейшем проведении аудита или
• решение об отказе от проведения проверки.

При этом решение об отказе от проведения проверки в настоящее время и причины данного решения должны быть доведены до лица, инициировавшего данную проверку. Обычно решение об отказе от проведения проверки в настоящее время принимается в случае если:

• оценка дизайна контроля и ограниченное тестирование на этапе проведения предварительного обследования дают положительный результат о приемлемой надежности СВК;
• по результатам предварительного обследования установлено, что риски бизнес-процесса несущественны или сам процесс нематериален;
• в ходе проведения предварительного обследования стало известно, что в настоящее время существенно изменяется структура изучаемого бизнес-процесса.

В случае принятия положительного решения о проведении проверки эффективности СВК бизнес-процесса в настоящее время по итогам предварительного обследования аудитор должен точно определить ключевые аспекты (в том числе сроки и объемы) предстоящего аудита и проинформировать о них аудируемое лицо. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Задание на аудит».

Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Точное определение границ аудита снижает риск непреднамеренного смещения внимания аудитора в ходе проведения проверки на смежные и наименее проблемные области. Данные аспекты отражаются в разделе 1 «Обоснование проверки» «Задания на аудит».

По итогам изучения внутренних нормативных документов по анализируемому бизнес-процессу и интервью с владельцем и прочими участниками процесса аудитор должен оценить насколько цели, формализованные в регламентах, политиках и др. или обозначенные владельцем процесса, соответствуют стратегии развития компании и общим правилам целеполагания. Помимо этого аудитор должен оценить критерии, используемые менеджментом для определения эффективности и экономичности бизнес-процессов. Особое внимание аудитору следует уделить тому, как действующая система мотивации владельца и участников процесса соотносится с определенными целями процесса. В случае если цели бизнес-процесса не формализованы и владелец процесса также затрудняется их четко сформулировать, аудитор должен на основе собственных теоретических и практических знаний и навыков (в том числе на основе бенчмаркинга) предложить цели для данного процесса и показатели для их измерения и согласовать их с владельцем процесса. Данные аспекты отражаются в разделе 2 «Оценка целей процесса» «Задания на аудит».

Одним из ключевых результатов грамотно проведенного предварительного обследования является адекватное понимание аудитором фактической организации анализируемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения) и объективная оценка уровня его регламентации. Данные аспекты отражаются в разделе 3 «Описание процесса» «Задания на аудит».

Результаты обследования и оценки рисков, проводимых СВА при годовом риск-ориентированном планировании; материалы прошлых аудиторских проверок; результаты оценки рисков, проводимой менеджментом (анализ Карт рисков) являются основой для формирования перечня рисков изучаемого бизнес-процесса.

Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков.

Схематично результаты оценки идентифицированных рисков4 можно представить в Карте рисков бизнес-процесса. При этом для наглядности используется метод цветовой зональности рисков:

• красный цвет – высокие риски, требующие немедленного управления и предотвращения;
• желтый цвет – средние риски, требующие постоянного мониторинга;
• зеленый цвет – низкие риски, не требующие усиленного контроля.

Данные аспекты отражаются в разделе 4 «Оценка бизнес-рисков процесса» «Задания на аудит».

В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».

Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.

На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).

      2.2. Проведение аудиторских процедур

Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.

Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.

Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.

Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.

При проведении тестирования аудитор располагает довольно широким спектром инструментов — процедур, исполнение которых позволит сформировать объективные выводы об эффективности СВК, как то: сравнение / сопоставление, анализ данных и др.

По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.

В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».

После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».

Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.

В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:

• формирование идеальной схемы бизнес-процесса («как должно быть»). Схема идеального процесса формируется таким образом, чтобы гарантировать достижение целей данного процесса.
• сравнение фактической схемы бизнес-процесса («как есть») с идеальной;
• анализ наличия и эффективности контрольных процедур5 , предусмотренных в регламентирующих и распорядительных документах по аудируемому процессу;
• анализ наличия, качества исполнения и эффективности контрольных процедур, фактически присущих процессу;
• сравнение содержания и качества исполнения фактических процедур контроля с требованиями ВНД по бизнес-процессу;
• оценка эффективности процедуры с помощью статистического анализа происшествий за длительный период (3-5 лет);
• бенчмаркинг и поиск «лучшей практики» для оптимизации контрольных процедур.

Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.

Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:

• повышение качества исполнения контрольной процедуры, формализованной в ВНД компании, в том числе и за счет построения эффективной системы мотивации сотрудников-исполнителей данной контрольной процедуры (в случае если формализованная контрольная процедура эффективна, но имеются отклонения при ее фактическом исполнении);
• легализацию фактически исполняемой контрольной процедуры (в случае если фактически реализуемая контрольная процедура эффективна, но не предусмотрена требованиями ВНД);
• разработку и формализацию контрольной процедуры и контроля за ее надлежащим исполнением (в случае если контрольная процедура не предусмотрена ВНД и фактические действия сотрудников не позволяют эффективно управлять риском).

После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».

      2.3. Формирование результатов аудита

Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».

Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:

• в случае наличия аргументированных документально подтвержденных возражений и замечаний предоставляют в СВА «Протокол разногласий по результатам аудита»;
• в случае согласия с изложенными аудитором информацией и выводами предоставляют в СВА «План корректирующих мероприятий по результатам аудита», который должен предусматривать описание мероприятий, ответственных, сроки выполнения.

«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.

Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.

Следует отметить, что положительно зарекомендовало себя на практике выделение в «Аудиторском отчете» отдельных тематических блоков — вводной и описательной частей.

В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:

• цель, объект и предметы проверки;
• состав аудиторской группы, сроки проведения проверки.

Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:

• наиболее существенные выводы о недостатках организации анализируемого бизнес-процесса и системы внутреннего контроля;
• рекомендации аудитора по устранению причин и снижению последствий наиболее высоких рисков, присущих данному процессу и оказывающих негативное влияние на достижение целей компании.

Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации:

• описание предмета проверки (подпроцесса);
• описание и оценка рисков, присущих данному подпроцессу;
• описание и оценка фактически используемого воздействия на риски;
• результаты фактически используемого воздействия на риск (по результатам аудиторского тестирования);
• описание причин, обусловивших реализацию рисков;
• описание и оценка последствий от реализации рисков;
• рекомендации аудитора по управлению данными рисками за счет построения и оптимизации СВК данного подпроцесса.

Необходимо отметить, что если в ходе согласования «Проекта аудиторского отчета» достичь единого мнения с аудируемым не удалось, в окончательном «Аудиторском отчете» следует также указать мнение аудируемого с пояснением, почему его возражения не были приняты аудитором.

При формировании «досье аудита»6 необходимо к «Аудиторскому отчету» прилагать «Протокол разногласий по результатам аудита» и «План корректирующих мероприятий по результатам аудита».

Порядок подписания «Проекта аудиторского отчета» и «Аудиторского отчета» и доведения данных документов до заинтересованных пользователей должен быть регламентирован в ВНД, регулирующих организацию функции внутреннего аудита в компании. Как правило, данные рабочие документы по проверке авторизируются руководителем СВА, который и принимает решение о направлении данных документов заинтересованным пользователям.

Обычно окончательная версия «Аудиторского отчета» предоставляется:

• заказчику аудита – лицу, инициировавшему данную проверку;
• владельцу аудируемого бизнес-процесса;
• другим заинтересованным пользователям на усмотрение руководителя СВА компании.

Следует отметить, что направление СВА окончательной редакции «Аудиторского отчета» заинтересованным пользователем является лишь промежуточным этапом проведения аудиторской проверки эффективности СВК бизнес-процессов. Только последующая совместная работа СВА и менеджмента компании может обеспечить надлежащее формирование и внедрение надежной СВК бизнес-процессов, обеспечивающую разумную уверенность в достижении стратегических целей компании и ее акционеров.

      2.4. Работа СВА с материалами аудита после утверждения окончательной редакции «Аудиторского отчета»

Работу СВА с материалами аудита после утверждения и доведения окончательной редакции «Аудиторского отчета» заинтересованным пользователям можно разделить на два типа:

• работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов;
• работа СВА с материалами аудита для удовлетворения собственных потребностей службы.

Работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов

Основное направление совместной работы СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов связано с контролем исполнения плана корректирующих мероприятий, необходимость которых была выявлена по результатам аудита. Контроль может осуществляться посредством:

• анализа отчетов аудируемого объекта о выполнении запланированных корректирующих мероприятий;
• проведения проверок объекта.

По результатам осуществления контрольных действий СВА формирует «Отчет об исполнении корректирующих мероприятий» по конкретной проверке с указанием выполнения мероприятий, их достаточности, своевременности и эффективности, который доводится до тех же лиц, кому направлялся ранее сам «Аудиторский отчет».

Другое направление совместной работы СВА с менеджментом компании связано с оказанием консалтинговой поддержки менеджменту. Как уже было отмечено выше, ответственным за формирование надежной СВК и поддержание надлежащего ее функционирования, согласно как российским, так и зарубежным принципам корпоративного управления, является высшее руководство компании. Тем не менее, как показывает практика, менеджменту компаний обычно требуются дополнительные специальные знания и помощь в таких областях управления, как внутренний контроль и управление рисками. В связи с этим СВА может привлекаться в качестве консультанта по вопросам тестирования вводимых процедур внутреннего контроля, оценки дизайна контроля, проверки исполнения процедур внутреннего контроля, а также обеспечить методологическую поддержку при организации процессов внутреннего контроля и управления рисками.

Работа СВА с материалами аудита для удовлетворения собственных потребностей службы

Информация, полученная в ходе проведения аудиторской проверки и последующего контроля исполнения корректирующих мероприятий по результатам аудита, является основой для решения задач, поставленных непосредственно перед самой СВА, как то:

• своевременное формирование и предоставление отчетности о результатах аудиторской деятельности, существенных рисках, проблемах контроля и корпоративного управления в компании лицу (лицам), которому подотчетна СВА в компании согласно ВНД по организации внутреннего аудита (как правило, Комитет по аудиту при Совете директоров, Генеральный директор и др.);
• планирование дальнейшей деятельности СВА.

Подводя итоги, можно констатировать следующее.

Построение надежной СВК, содействующей повышению эффективности бизнеса и защите интересов акционеров, является зоной ответственности менеджмента компании. Но даже хорошо выстроенная и организованная СВК нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Наиболее независимо и профессионально оценить надежность и эффективность существующей СВК бизнес-процессов компании, а так же предложить рекомендации по ее усовершенствованию может СВА.

Представленная в статье методика проведения внутренних аудиторских проверок, по сути, является руководством по построению процесса оценки СВК. При этом для организации эффективного практического применения данной методики требуется легализация во внутренних регламентирующих документах компании как порядка и инструментов проведения проверки, так и схемы взаимоотношений СВА и аудируемыми предприятиями /подразделениями.

1. В ходе написания статьи были проанализированы положения Internal control Guidance for Directors on the Combined Code (The Institute of Chartered Accountants, in England & Wales); Кодекса корпоративного поведения ФКЦБ, Пособия по корпоративному управлению МФК, Международных профессиональных стандартов внутреннего аудита, кодексов корпоративного управления различных компаний.
2. Например, в ОАО «УМЗ» — предприятии, входящем в состав ОАО «Концерн ПВО «Алмаз-Антей», крупнейшего военно-ориентированного предприятия РФ; ОАО «ПОЛАИР» — крупнейшем в России и Европе предприятии-производителе торгового холодильного оборудования и др.
3. Перечень уполномоченных лиц, по решению которых СВА проводит аудиторские проверки, как правило, закреплен в «Положении о СВА компании» и зависит от уровня подчиненности СВА (в основном это Комитет по аудиту при Совете Директоров, Ревизионная комиссия, Генеральный директор либо Финансовый директор компании).
4. Оценка рисков определяется как произведение коэффициентов вероятности реализации риска и значимости последствий от его реализации.
5. Анализ эффективности контрольной процедуры проводится на предмет обеспечения разумной гарантии достижения соответствующих целей изучаемого бизнес-процесса.
6. Досье аудита – полный пакет рабочих документов, аудиторских доказательств и др. документации аудитора по конкретной внутренней аудиторской проверке.

Приложение 1.

Оценка дизайна контроля бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства»

1. Тест 1 — убедиться в том, что в ВНД предусмотрена контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 2 — убедиться в том, что фактически существует контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
   Тест 3 — убедиться в том, что контрольные процедуры из ВНД и фактически исполняемая идентичны.
   Тест 4 — убедиться в том, что регламентированная контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели.
   Тест 5 — убедиться в том, что фактически исполняемая контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели (тест по последствиям).

9.1. Система внутреннего контроля организации должна обеспечивать выполнение организацией контрольных процедур, направленных на предупреждение или минимизацию рисков, влияющих на достижение целей организации.

9.2. В качестве контрольных процедур организации должны использоваться:

документальное оформление и подтверждение фактов хозяйственной жизни организации;

подтверждение соответствия документов требованиям законодательства Российской Федерации;

санкционирование (авторизация) операций, обеспечивающее подтверждение правомочности их совершения;

сверка данных путем проверки полноты, точности, непротиворечивости и корректности полученной информации;

разграничение полномочий, в том числе посредством исключения совмещения одним лицом функции инициирования, исполнения и контроля совершения хозяйственной операции;

контроль фактического наличия и состояния объектов, в том числе охрана, ограничение доступа, инвентаризация;

надзор, обеспечивающий оценку достижения поставленных целей или показателей;

процедуры, связанные с компьютерной обработкой информации и информационными системами, осуществляющие контроль доступа, целостности данных и внесения изменений в информационные системы;

разграничение доступа должностных лиц организации к блокам учета в информационной системе в целях исключения несанкционированного доступа и возникновения риска искажения бухгалтерской (финансовой), налоговой и иной отчетности.

9.3. Разработка и описание контрольных процедур организации должны осуществляться организацией на основе анализа причин возникновения рисков и оценки их последствий.

9.4. Контрольные процедуры организации должны быть направлены на предотвращение или минимизацию рисков ошибок (искажений) налогового учета и налоговой отчетности организации, рисков несвоевременной и (или) неполной уплаты (перечисления) налогов, сборов и страховых взносов.

9.5. Для разработки организацией контрольных процедур организации должны использоваться следующие документы (информация):

реестр выявленных рисков;

информация об организационной структуре организации;

карта (реестр) бизнес-процессов компании;

организационно-распорядительные документы, содержащие описание бизнес-процессов и операций, выполняемых сотрудниками.

9.6. Организация должна определить порядок документального оформления результатов выполнения контрольных процедур организации.

9.7. Организация должна осуществлять анализ результатов выполнения контрольных процедур организации и оценку эффективности их выполнения.

9.8. Анализ организацией результатов выполнения контрольных процедур организации должен включать:

определение степени предотвращения или минимизации рисков посредством выполнения контрольных процедур организации;

проверку наличия документов, подтверждающих выполнение организацией контрольной процедуры организации и их соответствие порядку выполнения контрольной процедуры организации и виду контроля;

проверку соответствия описания контрольной процедуры организации порядку и способу ее выполнения;

проверку соблюдения принципа распределения полномочий при отражении организацией в учете операций (групп операций) и выполнении контроля в отношении этих операций (групп операций);

определение порядка и способов устранения выявленных ошибок и отклонений;

доведение информации до руководства о результатах выполнения контрольных процедур организации.

Босалко Д.С.,
aспирант
Тихоокеанского государственного
экономического университета

Процесс управления предприятием был впервые разделен на этапы Анри Файолем и в настоящее время включает следующие основные стадии: планирование, организацию, руководство и контроль [1].

Планирование на предприятии необходимо для того, чтобы сформировать основные цели и определить пути их достижения. Чтобы организация могла оптимально распределить работу среди подчинённых, руководство должно создать условия и желания у людей для совместной работы по достижению целей компании, а контроль обязан оценить реальность поставленных целей и выяснить, каких результатов предприятие смогло достичь.

Усложнение бизнес-процессов предприятий, рост подвижности внешней среды, повышение роли человеческого фактора – вот основные причины повышения роли и многообразия функций контроля в современных условиях.

Контроль – это критически важная и сложная функция управления. Его цель – повышение общей эффективности деятельности и обеспечение её безопасности на предприятиях, предотвращение возможных конфликтов с внешней и внутренней средой.

Виды контроля чрезвычайно разнообразны. На микроэкономическом уровне, то есть на уровне управления экономической единицей (предприятием), различают внешний контроль, осуществляемый внешними по отношению к организации субъектами управления, и внутренний контроль, осуществляемый субъектами самой организации. В данной статье речь пойдет о внутреннем контроле [2].

В настоящий момент остро стоит проблема оценки адекватности внутреннего контроля на предприятии.

Теоретически данный вопрос недостаточно освещён.

Практики чувствуют нехватку методик, позволяющих оценить достаточность и адекватность осуществляемого на предприятии контроля.

Прежде чем перейти непосредственно к оценке адекватности контроля на отдельном предприятии, вернёмся к мысли, что контроль способен предотвращать конфликты с внешней и внутренней средой. Любые вероятные изменения (внутренние или внешние) должны быть идентифицированы заранее, и при их возникновении должны быть применены меры, смягчающие их воздействие на бизнес. Для того чтобы различать изменения по характеру их воздействия, предприниматели договорились вероятные события, которые могут оказать негативное воздействие, называть «рисками», а события, которые могут оказать позитивное воздействие, звать «возможностями» [3].

В соответствии с концепцией контроля, ориентированного на риск, с каждым видом деятельности изначально связаны специфические (свойственные) риски, и избежать их возможно только одним способом – не вступать в эту деятельность.

Однако можно, во-первых, своевременно идентифицировать эти риски, во-вторых, создать такие управленческие механизмы (процессы), которые при реализации риска смягчат последствия его воздействия до приемлемого уровня. Внутренний контроль в данном случае – это те части бизнес-процесса, которые обеспечивают приемлемый для бизнеса уровень контролируемого (или остаточного) риска [3].

Сам по себе контроль на предприятии представляет собой процесс выявления отклонений между фактическими значениями контролируемых показателей и плановыми или нормативными значениями. Другими словами, контроль выступает в качестве инструмента менеджмента для выявления отклонений контролируемых показателей от нормативных значений. При выявлении отклонений менеджмент осуществляет какое-то управляющее воздействие, фактическое значение становится равным или стремится к нормативному, риск снижается до приемлемого уровня.

– Уменьшится ли риск ограбления, если поставить в квартире металлическую дверь?
– Неизвестно. Вроде бы с ней надежней…

Переформулируем вопрос.
– Уменьшится ли риск ограбления, если металлическую дверь поставить, а на замок не закрывать?
– Нет.
– Может ли установка металлической двери уменьшить риск ограбления?
– Нет, если дверь останется открытой; да – если дверь закрыта.
– Является ли контролем ежедневная проверка состояния двери перед уходом?
– Да.
– Усиливает ли установка металлической двери уровень контроля при условии ежедневной проверки перед уходом состояния двери?
– Конечно да [3].

Этот пример показывает важную характеристику внутреннего контроля: только с точки зрения целей процесса можно оценить адекватность включённых в него элементов контроля. Если цель – предотвратить взлом квартиры рядовым грабителем, то, возможно, будет достаточно установки металлической двери и ежедневной проверки перед уходом её состояния. Если же цель – остановить профессионального грабителя, то кроме двери может быть нужно установить дополнительно сигнализацию. С другой стороны, если мы уверены, что металлической двери достаточно, чтобы предотвратить ограбление (в городе нет профессиональных грабителей), нет смысла ставить сигнализацию, так как контроль будет избыточен (неадекватен).

Контроль будет адекватен тогда, когда по результатам деятельности (или отдельно взятого бизнес-процесса) отклонение фактического значения контролируемого показателя от нормативного будет стремиться к нулю. Математически это можно записать следующим образом:

где  – адекватность контроля;
 – контролируемый показатель;
 – фактическое значение контролируемого показателя;
 – нормативное значение контролируемого показателя.

В данном случае мы говорим, что контроль эффективен, так как позволяет своевременно обнаружить недостатки в деятельности предприятия и вовремя принять меры к их устранению (осуществить управляющее воздействие).

Мы рассматриваем контроль как элемент системы управления по целям. Соответственно, если меняются цели, то логично предположить, что должны меняться элементы контроля. Получается, что контроль неотъемлемо ориентирован на цели, должен подстраиваться под цели. В этом случае он будет помогать выявлять отклонения фактических значений контролируемых показателей от нормативных, давать возможность своевременно производить корректирующие воздействия и в итоге достигать установленных целей.

Для обеспечения эффективности внутреннего контроля он должен быть организован в систему.

Известно, что унификация требований к системе внутреннего контроля предприятий началась в 1985 г. в США, когда при участии и на средства пяти профессиональных саморегулируемых организаций – AICPA (American Institute of Certified Public Accountants), Американской ассоциации по учёту и отчётности (American Accounting Association), FEI (Financial Executives Institute), Института внутренних аудиторов (Institute of Internal Auditors, IIA) и Института специалистов управленческого учёта (Institute of Management Accountants) была создана национальная комиссия по борьбе с недостоверной финансовой отчётностью, известная по имени первого своего председателя Джеймса С. Тредуэя как Комиссия Тредуэя.

Выпущенный ими в 1987 г. отчёт помимо других рекомендаций содержал призыв к перечисленным организациям – спонсорам Комиссии Тредуэя объединить усилия по достижению договорённости об общих для всех основных понятиях внутреннего контроля. Основываясь на этом предложении, рабочая группа под покровительством

Комитета спонсорских организаций Комиссии Тредуэя (Committee of Sponsoring Organizations of the Treadway Commission, COSO) провела анализ существовавшей на тот момент литературы по внутреннему контролю. Результат этой работы был представлен общественности в 1992 г. под названием «Интегрированная концепция внутреннего контроля» (Internal Control – Integrated Framework). Кратко этот документ принято называть по наименованию комитета-организатора «концепцией COSO», «моделью COSO» или просто COSO [3].

Система внутреннего контроля (далее – СВК), по оценке COSO, состоит из пяти взаимосвязанных компонентов:
1) контрольной среды;
2) оценки риска;
3) контрольных процедур;
4) сбора и анализа информации и передачи её по назначению;
5) мониторинга.

Взаимодействие элементов в системе внутреннего контроля можно представить следующим образом:

Для того чтобы оценить эффективность системы внутреннего контроля, необходимо оценить все её вышеперечисленные элементы. Рассмотрим оценку эффективности такого элемента, как контрольные процедуры.

Контрольные процедуры (контрольные мероприятия, средства контроля) – это политики и процедуры, разработанные и установленные для гарантии того, что цели руководства будут достигнуты. Если говорить в терминах риск-ориентированного внутреннего контроля, то контрольные процедуры обеспечивают «разумную» гарантию того, что реагирование на возникающий риск происходит эффективно и своевременно.

Примером контрольных процедур могут быть действия по авторизации и визированию чего-либо, разделение полномочий, проверка.

Оценка эффективности СВК осуществляется через оценку эффективности отдельных контрольных процедур бизнес-процесса. При этом алгоритм действий следующий:
— Сравнение типового и фактически существующего набора контрольных процедур в процессе.
— Формирование мнения о необходимости отсутствующих контролей.
— Выбор контролей для тестирования.
— Анализ дизайна, имплементации и исполнения контрольной процедуры с точки зрения её достоверности, доказательности и повторяемости.
— Формирование окончательного мнения об эффективности рассматриваемой контрольной процедуры.

Проиллюстрируем это примером. Рассмотрим процесс закупки материально-технических ресурсов (МТР) на предприятии. Предположим, мы знаем, что типовой набор контрольных процедур (далее – КП) в данном процессе имеет следующий вид:

Это наше (нормативное значение контролируемого показателя). Фактический же набор КП процесса  может иметь следующий вид (см. рис. 4):

Уже на данном этапе можно сделать вывод о неадекватности СВК процесса, необходимости отсутствующих контролей и регулирующего воздействия со стороны менеджмента, так как  Далее проводится оценка эффективности отдельных выбранных КП процесса.

При этом необходимо иметь в виду, что каждая контрольная процедура обладает следующими характеристиками: дизайном, имплементацией, исполнением.

Дизайн – это набор стандартных приёмов контроля, которые задуманы для применения в данной контрольной процедуре.

Имплементация – это то, как реализованы принципы дизайна в контрольной процедуре.

Исполнение – это то, как контрольная процедура исполняется фактически.

Для того чтобы дать оценку эффективности КП, необходимо оценить все три ее характеристики с точки зрения достоверности, доказательности и повторяемости.

Достоверность – точное и полное отражение операции в документе.

Доказательность – сохранение результатов контроля для последующего подтверждения.

Повторяемость – обеспечение одинакового исполнения контроля независимыми исполнителями и в разные периоды времени.

Каждая из характеристик КП определяется рядом признаков, каждый из признаков имеет вес.

Набор признаков и их вес необходимо разрабатывать для каждого предприятия индивидуально с учетом особицы его деятельности. Ниже как пример приведён возможный набор признаков для оценки дизайна контроля с точки зрения доказательности.

В процессе оценки признаку присваивается значение (например, от 0 до 10) в зависимости от его наличия, частичного наличия или отсутствия. Присвоение значения происходит по методу экспертных оценок (на сегодняшний день не исследована возможность применения других методов). Итоговая оценка дизайна, имплементации или исполнения по критерию достоверности, доказательности или повторяемости получается путем суммирования оценок всех признаков (табл. 1).

Итоговая оценка эффективности контрольной процедуры – это среднее арифметическое оценок её дизайна, имплементации и исполнения по критериям достоверности, доказательности, повторяемости.

Оценка СВК определяется как среднее арифметическое оценок контрольных процедур бизнес-процессов, по которым было принято решение исследовать эффективность системы внутреннего контроля.

Выбор средней арифметической для оценки СВК обусловлен простотой её применения, а также тем, что вес (значимость) контрольных процедур принимается равным (каждая из рассматриваемых КП одинаково важна, и недостатки в любой КП ведут в итоге к неэффективности всей СВК).

Выводы:
1. Система внутреннего контроля не может быть проанализирована вне анализа целей  организации. Иначе, если цели деятельности чётко не определены, система контроля организации теряет эффективность, так как всё подряд контролировать невозможно.
2. В систему внутреннего контроля входят пять элементов: контрольная среда, оценка риска, контрольные процедуры, информация и коммуникация, мониторинг. Для оценки эффективности системы внутреннего контроля необходимо оценить все ее элементы.
3. Оценка эффективности отдельной контрольной процедуры проводится путём оценки дизайна, имплементации и исполнения контрольной процедуры с точки зрения ее достоверности, доказательности и повторяемости.

Сформировавшаяся в организации система внутреннего контроля не всегда обеспечивает  надежность и эффективность. Уровень эффективности системы внутреннего контроля для каждого предприятия различен. На настоящий момент остается ещё много вопросов, требующих исследования. Так, например, существует вопрос выбора бизнес-процессов и контрольных процедур для оценки эффективности СВК предприятия, вопрос по определению признаков контрольных процедур при оценке дизайна, имплементации и исполнения, вопрос по присвоению веса каждому признаку и по шкале присваиваемых оценок. Не совсем ясна ситуация, как от количественных оценок перейти к качественным, выражающимся в терминах эффективности и неэффективности, достаточности и избыточности контроля.

Литература
1. Кузнецова Н.В. Контроль деятельности предприятия как важная составляющая управленческого процесса. – Материалы сайта smartcat.ru/Management/Capital.shtml
2. Менеджмент : современные основы организации контроля на предприятии / Л.А. Жигун. – Ростов-на-Дону : Феникс, 2007. – C. 12.
3. Тихомиров А. Ориентируясь на риски, или как оценивать внутренний контроль. Режим доступа: buhgaltery.ru/audit/audit/148/

Внутренний аудит на предприятии имеет несколько направлений. Например: операционный внутренний аудит, внутренний финансовый аудит, внутренний аудит соответствия нормам стандартов в компании, аудит IT на предприятии и даже криминальный внутренний аудит. В этой статье мы разберемся, что такое внутренний аудит на предприятии, как он помогает в развитии компании, и какие преимущества есть при передаче внутреннего аудита на аутсорсинг независимой аудиторской организации.

Если у вас возникнут вопросы по ходу прочтения материала, то задавайте их в комментариях. Наш квалифицированный аудитор обязательно ответит.

Что такое внутренний аудит? Зачем необходим внутренний аудит на предприятии?

Обязательный аудит организации и внутренний аудит — разные процедуры, хоть и обе регулируются 307-ФЗ и иными НПА, регламентирующими аудиторскую деятельность. Внутренний аудит не является обязательным, а проводится в интересах собственника и по его инициативе. Давайте дадим понятие внутреннему аудиту:

Внутренний аудит — это организованная в интересах собственника система контроля, которая дает оценку эффективности работы системы внутреннего контроля в организации (далее СВК), оценку действующей системы управления рисками (далее СУР), а также оценку эффективности корпоративного управления (далее КУ).

Но прежде чем, продолжить статью о внутреннем аудите, мы остановимся для того, чтобы для начала понять, а что такое СВК, СУР и КУ, потому что внутренний аудит согласно информационному письму ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143, как раз должен оценивать эффективность этих систем.

В настоящее время в стандартах внутреннего, да и внешнего аудита, пишут о так называемом «риск-ориентированном» подходе в аудите. Информационное письмо банка начинается с глоссария, разберемся сначала с терминологией.

Итак, что такое риск при осуществлении предпринимательской деятельности?

Риск при осуществлении предпринимательской деятельности — это влияние неопределенности на достижение поставленной цели, другими словами здесь работает система вероятности, а если совсем грубо пояснить, то может будет допущена ошибка в учете, а может нет, может отгрузят вовремя продукцию со склада, а может нет, может украдут со склада материалы, а может нет, главный бухгалтер может правильно заполнить налоговую декларацию, а может нет, и т.д. рисков бесконечное множество.

Есть еще интересный термин в письме ЦБ РФ «риск-аппетит» — это приемлемая величина риска, другими словами это виды и величина рисков, которые компания готова принять в процессе реализации своих целей. Понятно, что предугадать все события невозможно, но оценить степень риска наступления или не наступления события возможно.

СВК и СУР – это система мер, процедур, методик, норм корпоративной культуры, которые приняты в компании, чтобы достичь баланс между ростом стоимости компании, прибылью и рисками, в целях обеспечения эффективной финансово-хозяйственной деятельности, сохранности активов, соблюдения законодательства, а также в целях подготовки достоверной, управленческой, финансовой, бухгалтерской отчетности.

Так вот, прежде чем, перейти к организации внутреннего аудита на предприятии, рекомендуется сначала выявить, оценить и провести анализ рисков, которые могут повлиять на способность компании реализовать свою стратегию и достичь поставленных целей.

Для этого в компании рекомендуется проводить анализ видов рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществить выбор стратегии и метода управления риском.

Главная цель внутреннего аудита выявлять риски и давать рекомендации по усовершенствованию внутренних процессов в компании.

Внутренний аудит должен решать следующие задачи:

• определить уровень эффективности работы подразделений;
• оценить риски недобросовестных/противоправных действий работников и третьих лиц (включая халатность, мошенничество, взяточничество и коррупцию, коммерческий подкуп, злоупотребления и различные противоправные действия, которые наносят ущерб компании), а также разработать предложения по их устранению;
• проконтролировать соблюдение стандартов и принципов корпоративного управления.

Процедуры внутреннего аудита компания должна регламентировать самостоятельно, строгих требований в нормативных документах не содержится.

Направления в работе внутреннего аудита могут быть различные. Например, операционный внутренний аудит основан на внутреннем аудите бизнес-процессов. В рамках операционного аудита оценивается эффективность работы подразделений, соблюдение выполнения плановых заданий, эффективность управления подразделениями, обеспечение сохранности активов компании и др.

Внутренний финансовый аудит направлен на оценку эффективности работы учетных процессов в компании, достоверности управленческой, финансовой и бухгалтерской отчетности, на оценку эффективности управления финансовыми потоками, а также на оценку эффективности бизнес-планирования.

Внутренний аудит криминальный направлен на оценку рисков мошенничества, должностных преступлений, халатности, взяточничества, коррупцию, нарушений действующего законодательства.

Внутренний аудит соответствия направлена на проверку соблюдения нормативных правовых актов, внутрифирменных стандартов, а также корпоративной политики компании.

Внутренний аудит информационных систем, как одно из важных направлений во внутреннем аудите, обеспечивает контроль безопасности функционирования информационных систем, а также процессов управления в области IT- технологий.

Внутренний аудит на предприятии — что обеспечивает его эффективность?

Принцип независимости внутреннего аудитора одно из важных условий повышения эффективности результатов внутреннего аудита.

Вторым фактором эффективности является уровень квалификации специалистов, которые выполняют функции внутреннего аудита.

Привлечение специализированной аудиторской компании с опытом работы в системе проведения проверок по внутреннему аудиту существенно повышают эффективность внутреннего аудита в компании.

Если хотите узнать больше, то отправьте заявку на получение коммерческого предложения от нашей аудиторской компании ООО «Радар-Консалтинг»:

Также, мы предоставим бесплатную консультацию аудитора, который ответит на ваши вопросы.

Как проводится внутренний аудит на предприятии?

Первый этап.  На этом этапе определяются цели и объекты аудита. Перед каждой проверкой составляется чек-лист или программа проверки, которая включает в себя список плановых аудиторских процедур, сроки выполнения работ, характер проверки и исполнителей.

В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур, которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки используется несколько видов аудиторских процедур (аналитические процедуры и процедуры тестирования).

Второй этап. Проведение проверки по внутреннему аудиту. В рамках второго этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки. Проведение проверки осуществляется в соответствии с утвержденной программой проверки.

В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.

Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств.

К аудиторским доказательствам могут относиться:

• копии подтверждающих документов, в том числе первичные учетные документы, электронная переписка, договоры, протоколы встреч, расчеты/сверки;
• выгрузки из ИТ-систем;
• протоколы рабочих встреч, письменные разъяснения и объяснения;
• документация, сформированная в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров и т.п.);
• прочие документы/информация.

Третий этап.  Подведение итогов и написание аудиторского отчёта. На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств.

В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами. На основе проведенных наблюдений и выводов внутренним аудитором формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита.

Внутренний аудит на предприятии — итоговый этап проверки

Заключительный этап самый важный, потому что выявить недостатки и нарушения в ходе внутреннего аудита недостаточно, их надо еще и устранить.

На основании рекомендаций, подготовленных внутренним аудитором, руководитель объекта аудита обязан составить План мероприятий по результатам внутреннего аудита, направленный на устранение выявленных нарушений и недостатков, а также реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля.

На этом этапе процесс внутреннего аудита не заканчивается, далее следует этап, на котором службой внутреннего аудита осуществляется контроль выполнения плановых мероприятий по устранению нарушений и недостатков.

Пример внутреннего аудита из практики нашей аудиторской компании ООО «Радар-Консалтинг»

Чтобы донести по руководства компаний и собственников бизнеса мысль о том, насколько важны для бизнеса СВК, СУР, корпоративная политика и система внутреннего аудита, мы хотим поделиться реальным примером из практики.

К нам в аудиторскую компанию поступила заявка на финансовый консалтинг. Суть вопроса заключалась в том, что руководство интернет-магазина имело подозрение в недобросовестных действиях своего бухгалтера в сговоре с менеджером по продажам.

По мнению руководства интернет-магазина, когда приходила заявка на покупку товара с сайта, менеджер под заявку клиента покупал товар, отгружал его клиенту, а потом в сговоре с бухгалтером эта заявка в интернет-магазине отменялась, как бы был возврат товара. Хотя на самом деле реализация товара была осуществлена, только не через кассу интернет-магазина, а мимо кассы, т.е. выручку делили между собой бухгалтер и менеджер.

Как решить эту проблему интернет-магазина?

Вот здесь как раз надо использовать риск-ориентированный подход к оценке бизнес-процесса работы интернет-магазина. Алгоритм решения проблемы основывается на использовании принципа модели COSO.

Главными принципами модели COSO являются оценка риска и управление им, это как раз то, о чем мы писали в начале статьи. Для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.

Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов:

Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру.

Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.

Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту в реализации своих решений. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.

Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве.

Эффективная коммуникация, по вопросам, связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.

Мониторинг: Система внутреннего контроля, требует мониторинга. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.

Алгоритм решения проблемы интернет-магазина с использованием модели COSO, по-нашему мнению, такой:

• Принятие корпоративной политики компании;

В ней будет заявлено, что принципы работы в компании основаны на честности, добросовестности и защите интересов компании. Очень важно открыто заявить об этих принципах работы в компании и довести до сведения всех сотрудников, сотрудники в свою очередь должны поддерживать корпоративный дух в компании.

• Описать бизнес-процесс работы интернет-магазина;

Возможно это описание будет в виде схемы бизнес-процесса от получения заявки до отгрузки товара и получения денежных средств. На каждом этапе бизнес-процесса по схеме надо оценить риски недобросовестных действий, нарушений, ошибок и злоупотреблений. Без оценки операционных рисков и понимания вида рисков нельзя будет научиться управлять этими рисками.

• Разработать средства контроля;

Это внутренние процедуры и внутрифирменные документы, которые предотвращают или существенно снижают риск недобросовестных действие и нарушений бизнес-процесса, например, регламентирование дополнительной, согласовательной подписи третьего лица на возврат товара клиенту или контроль третьего лица над денежными операциями по возврату денежных средств и др.

• Получать ежедневный отчеты;

По продажам от менеджера, осуществлять информационное взаимодействие с поставщиками товаров. Например, ежедневное проведение сверки с поставщиками по отгрузке товаров через интернет-магазин. Производить контрольные звонки клиентам в целях проведения опроса по качеству товара и по обслуживанию, лицами, не задействованными в операционном бизнесе и др.

• Производить постоянный мониторинг внутреннего контроля;

По всем выявленным недостаткам в системе внутреннего контроля непрерывно вводить новые средства контроля.

Применяемые в нашем примере средства контроля недобросовестных действий призваны снизить риск до уровня «риск-аппетита». То есть, до приемлемого риска руководством интернет-магазина для достижения поставленных целей, только после этого начинает в компании работать система внутреннего аудита, результатом которой является повышение эффективности СВК, СУР и корпоративного управления.

Внутренний аудит и преимущества передачи его на аутсорсинг

Центральный банк Российской Федерации выпустил информационное письмо от 1 октября 2020 г. N ИН-06-28/143 «О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ, ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ (НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ АКЦИОНЕРНЫХ ОБЩЕСТВАХ».

После выхода этого письма ЦБ РФ для акционерных обществ в форме ПАО и ОАО, которые до настоящего времени не имели службы внутреннего аудита, встал вопрос об организации работы службы внутреннего аудита, а также вопросы разработки и утверждения организационных документов по внутреннему аудиту, в том числе Положения об осуществлении внутреннего аудита.

Именно вопросам организации системы внутреннего аудита пойдет речь далее. Мы расскажем о подготовке Положения по внутреннему аудиту с использованием специализированной аудиторской компании в системе внутреннего аудита (далее СВА), потому что для малых и средних по масштабам деятельности ОАО и ПАО передать выполнение функций внутреннего аудит на аутсорсинг аудиторской организации самое оптимальное решение.

Итак, Положение об осуществлении внутреннего аудита (далее Положение) должно включать в себя следующие основные разделы:

• Любое положение начинается с раздела, который называется «Общие положения». В данном разделе мы рекомендуем указать основные нормативные документы, на основании которых подготовлено Положение об осуществлении внутреннего аудита.
• Следующий раздел положения «Цели, задачи и полномочия внутреннего аудита». Основными целями, для достижения которых используется внутренний аудит согласно письму ЦБ РФ:
  • Оценка эффективности системы внутреннего контроля (далее — СВК);
  • Оценка эффективности системы управления рисками (далее — СУР);
  • Оценка корпоративного управления (далее — КУ).

Внутренний аудит на предприятии и его основные функции

Основными функциями внутреннего аудита, которые должны быть указаны в Положении, должны быть следующие функции:

• проведение внутренних аудиторских проверок на основании утвержденного плана деятельности внутреннего аудита;
• проведение иных проверок, выполнение других заданий по запросу/поручению совета директоров (комитета по аудиту и/или исполнительных органов компании) в пределах компетенции, в том числе на основании информации, поступившей на «горячую линию» компании;
• проведение комплексной проверки (ревизий) деятельности объектов аудита, которая выражается в документальной и физической проверке законности совершенных финансовых и хозяйственных операций, достоверности и правильности их отражения в бухгалтерской (финансовой) отчетности;
• проведение анализа объектов аудита в целях исследования отдельных сторон деятельности и оценки состояния определенной сферы объектов аудита;
• предоставление консультаций исполнительным органам компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
• осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
• осуществление последующего контроля за финансово-хозяйственной деятельностью компании;
• содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц (включая халатность, мошенничество, взяточничество и коррупцию, коммерческий подкуп, злоупотребления и различные противоправные действия, которые наносят ущерб обществу);
• разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
• разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита (как правило, на ежегодной основе);
• подготовка и предоставление совету директоров (комитету по аудиту) и единоличному исполнительному органу компании (или другому лицу, в административном подчинении у которого находится внутренний аудит) отчета по результатам деятельности внутреннего аудита;
• координация деятельности с внешним аудитором компании, а также лицами, оказывающими услуги по консультированию в области управления рисками, внутреннего контроля и корпоративного управления;
• взаимодействие с подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
• и другие функции, необходимые для решения задач, поставленных перед внутренним аудитом в компании.

Внутренний аудит в организационной структуре компании

Мы рекомендуем функции внутреннего аудита реализовывать с привлечением сторонней профессиональной аудиторской организации (аутсорсинг), потому что этот важный объем работы правильнее доверить специалистам, имеющим соответствующую профессиональную подготовку.

Кроме этого, для небольших по масштабам деятельности ПАО и ОАО создание самостоятельной службы внутреннего аудита приведет к существенным финансовым потерям, а передача функций внутреннего аудита профессиональной аудиторской организации не только сократит финансовые потери, но и обеспечит высокое качество функционирования системы внутреннего аудита.

Получите наше коммерческое предложение и сможете оценить все преимущества для вашей компании в цифрах:

Административная подотчетность внутреннего аудита, как правило, единоличному исполнительному органу, рекомендуется, чтобы совет директоров в рамках регулярного подтверждения независимости внутреннего аудита рассматривал вопрос об административной подотчетности внутреннего аудита.

Порядок планирования деятельности внутреннего аудита

В случае передаче функций внутреннего аудита на аутсорсинг, руководитель привлеченной аудиторской организации разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе. План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.

Руководитель привлеченной аудиторской организации предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, ресурсный план и финансовый бюджет внутреннего аудита.

Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита.

Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:

• консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
• разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
• осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
• разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита;
• подготовка отчета по результатам деятельности внутреннего аудита;
• содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц;
• взаимодействие с внешним аудитором, подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита.

Организация проверки, проводимой внутренним аудитом

Как правило, проверки осуществляются в три этапа и включают:

• планирование и подготовку к проведению проверки;
• проведение проверки;
• подготовку отчета по результатам проверки.

В рамках планирования проверки руководитель аудиторской организации определяет, каким образом, когда и кому (далее — уполномоченные представители) будут сообщаться результаты выполнения проверки, и информирует об этом решении руководителя объекта аудита в той степени, в которой он сочтет нужным.

Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур.

В объем и содержание проверки как минимум включаются:

• критичные риски объекта аудита, не покрытые контрольными процедурами;
• ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
• контрольные процедуры, операции/виды деятельности, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).

Заключение (мнение) рабочей группы внутреннего аудита должно включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно эффективности:

1. Дизайна ключевых контрольных процедур;
2. Выполнения ключевых контрольных процедур (операционной эффективности контрольных процедур);
3. Управления критичными рисками объекта аудита; эффективности СУР и СВК объекта аудита.

По завершении проверки рабочая группа аудиторской компании подготавливает итоговый отчет. Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет как минимум следующие разделы:

• цели проверки — в этот раздел включаются цели, указанные в программе проверки;
• объем и содержание — в этом разделе указываются бизнес-процессы/проекты операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительная информация, определяющая границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);
• результаты проверки — в этот раздел включаются наблюдения (включая выявленные недостатки), выводы (заключения) и рекомендации.

По итогам проверки на основании выявленных недостатков и подготовленных аудиторской организацией рекомендаций руководитель объекта аудита обязан разработать и согласовать с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на устранение выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).

Контроль качества и оценка деятельности внутреннего аудита

На регулярной основе (как правило, один раз в год) руководитель аудиторской организации обязан проинформировать исполнительные органы и отчитаться перед советом директоров о деятельности в рамках программы оценки и повышения качества и ее результатах, в том числе довести информацию о результатах внутренних и внешних оценок.

Программа оценки и повышения качества включает:

1. Непрерывный мониторинг качества деятельности внутреннего аудита;
2. Периодические внутренние и внешние оценки качества всего спектра деятельности внутреннего аудита.

Если в рамках непрерывного мониторинга или по результатам оценки (внутренней и внешней) качества выявляются недостатки в деятельности внутреннего аудита, руководитель аудиторской организации разрабатывает план по устранению таких недостатков и отслеживает эффективность и своевременность его выполнения.

Внешнюю оценку качества внутреннего аудита рекомендуется проводить не реже одного раза в пять лет. Внешняя оценка качества проводится с целью получения руководителем аудиторской организации и другими заинтересованными лицами независимого мнения о качестве функции внутреннего аудита.

Внешняя независимая оценка может проводиться чаще, чем раз в пять лет. Руководителю аудиторской организации рекомендуется обсудить с советом директоров (комитетом по аудиту) и исполнительными органами частоту проведения внешней независимой оценки.

В настоящее время нормами действующего законодательства усиливаются требования к системе внутреннего контроля и внутреннего аудита в акционерных обществах.

Далеко не в каждом акционерном обществе разработана методология проведения внутреннего аудита и система тестирования рисков. Поэтому мы рекомендуем в таких случаях передавать выполнение функций по внутреннему аудиту на аутсорсинг профессиональной аудиторской компании.

Преимущества аутсорсинга функций внутреннего аудита очевидны:

• Экономия денежных средств;

На содержании собственной службы внутреннего аудита. Так как ежемесячно внутреннему аудитору надо платить заработную плату. Средняя заработная плата компетентного внутреннего аудитора не менее 100 тыс.руб. в месяц, плюс дополнительные расходы на налоги и отчисления во внебюджетные фонды.

Стоимость внутреннего аудита по договору аутсорсинга с нашей аудиторской компании от 50 тыс.руб. за одну проверку по внутреннему аудиту. Количество проверок по внутреннему аудиту согласовывается в плане проверок по внутреннему аудиту с клиентом на срок не менее одного года.

• Качество работы по внутреннему аудиту;

Так как для выполнения функций внутреннего аудита привлекаются профессиональные аттестованные аудиторы, которые смогут подготовить все необходимые документы по результатам выполненной работы для совета директоров, исполнительных органов и других заинтересованных лиц.

В нашей аудиторской компании уже разработана методология проведения внутреннего аудита, а также система тестирования для оценки рисков, что обеспечивает качество выполненных заданий по внутреннему аудиту.

• Независимость аудиторской компании, которой передаются функции внутреннего аудита.

Принцип независимости позволяет более объективно проводить внутренний аудит в ПАО и ОАО, а также в любой другой компании.

В заключении статьи мы рекомендуем, всем ПАО и ОАО, которые до настоящего времени не организовали в своей структуре службу внутреннего аудита, рассмотреть вопрос передачи на аутсорсинг выполнение функций внутреннего аудита аудиторской организации.

Тем более, что в информационном письме ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143 даны такие рекомендации для малых и средних по масштабам деятельности акционерных обществ.

Чтобы вы смогли оценить наш опыт и компетенцию, рекомендуем ознакомиться с результатами проведенных нами аудиторских проверок и отзывами наших клиентов:

Известные бренды среди наших клиентов:

Как интегрировать СВК в деятельность компании: карта бизнес-процессов и типичные ошибки

На последнем этапе внедрения системы внутреннего контроля в операционную и управленческую деятельность компании нужно проделать немалую работу. Классифицировать бизнес-процессы, оценить возможные риски в каждом из них и запланировать соответствующие контрольные процедуры.

Как внедрить СВК в организации, не допустив типичные ошибки, и при этом снизить уровень сопротивления сотрудников системам контроля — рассказывает финансовый эксперт Татьяна Мнацаканова.

Создаем карту бизнес-процессов верхнего уровня

В предыдущей статье «Практика создания СВК: схема разработки бизнес-процессов и тест на эффективность» мы рассматривали модель построения целостной СВК и управления рисками в виде пирамиды:

• в основании блок «Внутренняя среда»;
• затем идут блоки «Процессы и структура компании», «Компетентный персонал»;
• и в верхушке пирамиды — блок «Структура СВК и УР».

Для эффективного управления компанией важно после создания сильной контрольной среды организовать ее деятельность как цепочку бизнес-процессов, применяя процессный подход. Здесь соглашусь с высказыванием американского консультанта по менеджменту Эдвардса Деминга: «Если вы не способны описать то, что вы делаете, как процесс — вы не знаете, что вы делаете». Если мы не знаем, как организована деятельность компании, то можно сказать, что мы ею не управляем и не контролируем результаты своей деятельности.

Для удобства описания бизнес-процессов нужно выделить в них отдельные части — подпроцессы и операции. Каждая из этих частей (процесс, подпроцесс и операция) будет определенным уровнем управления, а в совокупности они формируют иерархию процессов компании.

Разработка и внедрение процессного подхода к управлению — достаточно сложная и ресурсоемкая задача. Поэтому такой подход имеет смысл применять для сквозных, межфункциональных бизнес-процессов верхнего уровня, и для некоторых наиболее проблемных подпроцессов.

Схема организации деятельности компании с применением процессного подхода может состоять из этапов:

• разработка единого классификатора бизнес-процессов и матрицы ответственности за эти процессы;
• определение задач, результатов процессов и их взаимосвязи, и разработка карты бизнес-процессов верхнего уровня, в которой все процессы разделены на управленческие, операционные и сервисные;
• описание бизнес-процессов — при описании задачи раскрываются функции подразделений, распределяются обязанности и полномочия, а также фиксируются результаты действий подразделений и их адресаты/потребители.

Рассмотрим на примере — ниже классификатор и карта бизнес-процессов для строительной компании.

В классификаторе есть 3 вида процессов: управленческие, операционные и сервисные. Управленческие процессы необходимо разрабатывать с учетом всех стадий цикла управления:

• постановка целей и планирование;
• организация;
• контроль;
• информация, учет и коммуникации;
• координация и корректировка;
• принятие управленческих решений.

Описать бизнес-процессы можно как в таблице, так и с использованием графических стандартов, что обеспечивает полноту и наглядность представления деятельности компании.

На базе разработанной карты взаимоувязанных бизнес-процессов и их описания в формате, принятом в компании, формируются:

• классификатор структурных подразделений — исполнителей бизнес-процессов;
• классификатор документов для управленческих целей (управленческого учета, мониторинга), которые связаны между собой и имеют понятных исполнителей, потребителей;
• функциональная структура — распределение задач, функций и должностных обязанностей по подразделениям, определение профессиональных компетенций;
• организационная структура — иерархия подчиненности, распределение полномочий и ответственности;
• регламенты по сквозным бизнес-процессам верхнего уровня.

Описанный выше порядок построения блока «Процессы и структура компании» позволяет увязать две модели: процессную (динамическую) — в виде карты бизнес-процессов и модель компании в виде организационно-функциональной структуры (статическую). Таким образом можно выстроить рациональный документооборот, который позволит получать своевременную и нужную информацию для эффективного функционирования подразделений и принятия управленческих решений.

Связь между первой моделью и формированием второй приведена на схеме:

Важно!

1. Разработка карты бизнес-процессов верхнего уровня позволит сформировать интегрированную систему управления компанией, в которую встроены:

• контрольные функции управления;
• средства контроля;
• процессы обмена информацией и мониторинга, управления рисками.

1. Достоверное описание бизнес-процессов организации способствует выявлению и оценке всех существенных рисков. Независимо от того, проводится ли в них внутренний контроль в настоящее время. Также можно доработать систему контрольных процедур с учетом рисков, выявленных при описании процессов.

1. Если формировать состав и функционал подразделений строго на основании карты бизнес-процессов, и при этом соблюдать взаимосвязь динамической и статической моделей компании, то можно:

• избежать дублирования, размытых или раздутых функций и «слепых» зон;
• построить оптимальную оргструктуру, адекватную целям и задачам компании.

А теперь рассмотрим, как выстроить бизнес-процессы на основе риск-ориентированного подхода.

Как разработать бизнес-процессы с учетом рисков и контрольных процедур

Если компания вышла из стадии стартапа, процессы в ней уже функционируют, но еще, зачастую, неэффективным образом. А все изменения вносятся после негативных последствий реализовавшихся рисков. Поэтому линейным руководителям важно уметь выстраивать бизнес-процессы, за которые они отвечают, с применением риск-ориентированного подхода.

Для этого в бизнес-процессы нужно внедрить стандартные контрольные процедуры:

• эффективное разделение обязанностей;

• процедуры санкционирования;
• сверку данных;
• фактический контроль за активами;
• инвентаризацию и прочее.

Разработка и регламентация бизнес-процессов с учетом рисков и встроенных процессов контроля может быть проведена по следующей схеме.

Схема разработки бизнес-процессов с учетом рисков и контрольных процедур

Если нужно выстроить процесс с оптимальным выполнением целей и показателей, стоит проанализировать возможные рисковые события, которые негативно на него повлияют. И с учетом этих рисков разработать контрольные процедуры.

В моей практике были случаи, когда разработали в большом количестве матрицы рисков и контрольных процедур, которые на практике не снижали эти риски. Поэтому здесь важен системный подход, учитывающий взаимосвязь рисков и контролей в привязке к целям компаний на разных уровнях.

Владельцы бизнес-процессов могут самостоятельно определять оптимальную комбинацию контролей, которые адекватно покрывают выявленный риск. И выбрать наиболее эффективные виды контролей: выявляющие или предотвращающие, автоматизированные, ИТ-зависимые ручные или только ручные.

Контрольные процедуры должны обеспечивать адекватное покрытие риска. Для этого при разработке процедур контроля нужно:

• четко разделить обязанности;
• установить ясную и понятную ответственность сотрудников за выполнение функциональных обязанностей;
• ввести контроль и необходимые ограничения доступа сотрудников к программным продуктам и имуществу;
• установить авторизацию операций ответственными лицами (например, визирование счетов на оплату, выдачи материальных ценностей);
• ввести регистрацию операций в учетной системе;
• утвердить внутренними распорядительными документами процедуры, обя­занности, бизнес-процессы;
• регулярно следить за исполнением установленных процедур;
• обучить сотрудников требуемому порядку выполнения операций.

Важно!

В компании нужна регулярная оценка эффективности и корректировки контрольных процедур, которую должны проводить линейные руководители подразделений. В крупных компаниях процессы совершенствования контролей ведут специалисты службы внутреннего контроля совместно с руководителями структурных подразделений.

Типичные ошибки при внедрении СВК в компании

Проблемы с эффективностью СВК очень часто возникают по следующим причинам:

• слабая внутренняя среда;
• недостаточность корпоративных контролей;
• нарушение принципов СВК, в частности, непрерывности и рационального контроля — когда затраты на функционирование системы внутреннего контроля превышают ожидаемые выгоды;
• при определении контрольных процедур для конкретных объектов управления не учитывается существенность этого объекта в системе управления организацией. А также частота возникновения негативных событий, связанных с работой объекта. Это приводит к неэффективному использованию ресурсов, выделенных на контроль;
• работники не заинтересованы выполнять контрольные процедуры;
• процедуры контроля могут быть неадекватными, так как изменились условия деятельности компании.

Одна из существенных проблем при создании и функционировании СВК — это сопротивление работников системам контроля. Тут также может быть несколько причин.

• Чрезмерный контроль

В компании может сложиться тенденция к тотальной и частой проверке объектов. Это может привести к тому, что из-за постоянных отчетов и психологического раздражения работник просто не сможет выполнять свои обязанности. Он будет считать, что ему не доверяют либо сомневаются в его компетенции и квалификации.

• Несоответствующий фокус

Контроли могут быть слишком узкими. Сосредоточиваться на количественных показателях и не оставлять места для интерпретации. Если стандарты контроля слишком сужены, то работники будет сопротивляться целям СВК и сосредотачиваться только на выполнении показателей эффективности. Например, им будет важно количество выпущенных единиц продукции в час, а не их качество.

Также к причинам саботажа можно отнести несоответствие ответственности и полномочий. И отсутствие «обратной» связи от руководства в части корректирующих управленческих решений.

В завершение — важные аспекты, на которые следует обратить внимание при создании эффективной СВК в компании.

• Современные тенденции. Это риск-ориентированный подход к организации СВК: цели – риски – процессы – контроли – остаточные риски – регулярный мониторинг эффективности средств контроля.
• Акцент на риски. Принятие управленческих решений при обязательном анализе и оценке вероятных рисков, построение бизнес-процессов с учетом рисков и покрываемых их мер контроля.
• Приоритеты и рациональность при функционировании СВК. Акцент на развитие внутренней контрольной среды, применение адекватной модели 3-х линий защиты с учетом масштаба и специфики компании.
• Развитие корпоративной информационной системы — автоматизация бизнес-процессов и средств контроля.

Этот материал завершает цикл статей эксперта о создании эффективной СВК в компании. Если вы пропустили предыдущие материалы, советуем почитать:

• Внутренний контроль: какую роль выполняет и что учесть при создании СВК
• Как создать систему внутреннего контроля в компании: основные этапы и правила
• Практика создания СВК: схема разработки бизнес-процессов и тест на эффективность