что такое свк в аудите
Что такое свк в аудите
7 МИН
Как провести внутренний аудит
Задача внутреннего аудита — предугадать финансовые риски и повысить эффективность менеджмента. Разбираемся, как проверить работу собственной компании.
Что такое внутренний аудит компании
Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации аудитора.
В ходе аудита решаются следующие задачи:
По закону все предприятия должны проводить общий внутренний контроль или, проще говоря, проверку хозяйственной деятельности. Процедуру и итоги проверки компания обязана регламентировать самостоятельно, но строгих требований в законе нет, ответственности за нарушение не предусмотрено.
Ч. 1 ст.19 402-ФЗ
П. 17 ч. 4 Информации Минфина России № ПЗ-11/2013
П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013
Каким бывает внутренний аудит
Существует несколько видов внутреннего аудита. У каждого из них свои функции.
1
Операционный
Это контроль бизнес-процессов компании: эффективности работы подразделений, выполнения бизнес-планов, смет, политики управления и т. д.
1
Финансовый
Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель — оценить эффективность расходования средств компании и выявить риски.
1
Криминальный
Контроль рисков, связанных с нарушением норм законодательства. В первую очередь инспектируются налоговый учёт и платежи.
1
Аудит соответствия
Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые кодексы, корпоративная политика.
1
Экологический аудит
Его цель — проверить, выполняет ли компания требования по защите окружающей среды. Например, не превышен ли уровень вредных выбросов.
1
Аудит информационных технологий
Контроль безопасности информационных систем организации и эффективности процессов управления в области IT.
С чего начинается внутренний аудит
Согласно информации Минфина, положения о внутреннем контроле являются частью учредительных документов. В них прописывается общая процедура проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры, масштабов, документооборота.
П. 11 ч. 3 Информации Минфина России № ПЗ-11/2013
Проверка должна проходить на основании приказа руководителя, который содержит следующее:
Факторы эффективной проверки
Важное условие — независимость и непредвзятость тех, кто проводит внутренний аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии, поскольку финансовая отчётность — один из главных объектов проверки.
Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При этом Министерство финансов рекомендует несколько вариантов: например, аудитором может быть действующая комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а в больших компаниях — специально созданное для этого подразделение. Допустимо также приглашать внешних консультантов.
Сроки и частота проверки устанавливается руководителем. Проводить аудит можно как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается аудиторская компания, сроки прописываются в договоре.
Как проводится внутренний аудит организации
Первый этап — планирование, для проверяющих готовят методологические документы. Они должны описывать:
Перед каждой проверкой составляется чек-лист. Он включает в себя предмет и метод проверки, сроки, контрольные вопросы, план выборочных бесед с работниками, результаты проверки и комментарии проверяющих.
Второй этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей проверки и отвечают на вопросы. После этого начинается процедура по установленному заранее чек-листу.
Третий этап — подведение итогов и написание аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или генеральный директор.
Аудиторское заключение должно содержать следующую информацию:
При этом по итогам финансовой проверки аудиторская организация или индивидуальный аудитор обязаны уведомить уполномоченные органы, если заподозрили проверяемую компанию в отмывании денег, а Федеральная налоговая служба имеет право потребовать у аудитора предоставить информацию, которую тот получил в ходе проверки.
П. 2.1 ст.7.1 115-ФЗ
Пп. 1–2 ст. 93.2 НК РФ
Методика проведения аудита системы внутреннего контроля бизнес-процесса
Цель данной статьи – показать возможность совершенствования методики проведения аудита системы внутреннего контроля бизнес-процесса компании путем разработки технологии аудита и предоставления практических рекомендаций по проведению внутренней аудиторской проверки.
Результаты данной работы могут быть полезны широкому кругу лиц: от внутренних аудиторов – для использования ее в качестве пособия – до руководителей компаний, заинтересованных в проведении оценки системы внутреннего контроля бизнес-процессов.
Современные тенденции в деятельности компании связаны с повышением роли и значимости внутреннего контроля для достижения целей компании. Руководители крупных компаний начинают понимать, что успех в бизнесе возможен только при наличии четко выстроенной и эффективной системы внутреннего контроля.
Внутренний аудит ставит перед собой цель – оценить эффективность системы внутреннего контроля компании, но следует отметить, что реализация данной цели является очень трудоемким и ресурсозатратным процессом. Поэтому часто аудиторы оценивают СВК отдельных бизнес-процессов либо компаний.
Оценка СВК осуществляется в соответствии с моделью COSO IC [7]. При проведении аудита системы внутреннего контроля осуществляется комплексная оценка всех элементов, составляющих данную систему:
В соответствии с моделью, обновленной в 2013 г., выделются 17 принципов, которые помогают наиболее полно охватить всю систему внутреннего контроля (см. рис. 1).
Рис. 1. Краткие формулировки принципов системы внутреннего контроля
Таким образом, при аудите СВК бизнес-процесса оценивается эффективность всей СВК в целом и каждого элемента СВК в частности.
Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.
С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:
Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).
Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.
Рассмотрим основные элементы методики проведения аудита СВК.
1. Планирование проверки
Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.
При проведении планирования следует обратить внимание на следующие моменты.
2. Выполнение проверки
Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.
Основные практические рекомендации по выполнению проверки заключаются в следующем.
Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.
Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.
Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.
3. Формирование отчета, завершение проверки
На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.
Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.
Основные практические рекомендации по написанию отчета:
Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.
Список литературы
1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.
2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.
3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.
4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.
5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).
6. Институт внутренних аудиторов.
7. COSO Internal Control 2013. Integrated Framework.
1 Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.
2 Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.
© Интернет-проект «Корпоративный менеджмент», 1998–2021
Создание службы внутреннего контроля и аудита с нуля
Автор: Михаил Поляков, CIA, директор по внутреннему контролю и аудиту, практический опыт во внутреннем аудите более 15 лет, член Ассоциации «Институт внутренних аудиторов»
Предпосылки и ожидания акционеров
Расскажу про личный опыт создания службы внутреннего контроля и аудита с нуля, уверен, что эта тема будет интересна как собственникам бизнеса, которые уже задумывались о создании такой службы, но по каким-то причинам откладывают такое решение, так и внутренним аудиторам, которые могут столкнуться в своей карьере с такими вызовами.
Хочу сразу отметить, что в компании, о которой пойдет речь, никогда не было ни функции внутреннего аудита, ни функции контроля. Когда меня пригласили на интервью с акционерами компании и мы начали обсуждать цель создания службы, я понял, что акционерам нужна прежде всего независимая оценка того, что же происходит с их бизнесом на самом деле, насколько достоверны те отчеты – по продажам, исполнению бюджета, инвестициям, – которые им предоставляет операционный менеджмент.
Компания на тот момент как раз находилась в стадии роста, и для того, чтобы поддерживать его и не перейти в стадию зрелости, компании был нужен новый импульс – кардинальные изменения как в реструктуризации процессов, так и в привлечении новых инвестиций. Одним из таких импульсов и должна была стать служба внутреннего контроля и аудита (далее СВКиА). Основная задача, стоявшая передо мной, – выстроить в компании функцию внутреннего аудита и систему внутреннего контроля (далее СВК).
Международный Институт внутренних аудиторов (IIA) дает следующее определение внутреннего аудита:
Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
СOSO IC
Внутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками, направленный на обеспечение разумной уверенности в достижении целей компании, связанных с операционной деятельностью, подготовкой отчетности и соблюдением законодательства и нормативных актов.
По сути, была поставлена задача создать в рамках одного подразделения две конфликтующие между собой функции (контроль и аудит).
Чтобы минимизировать этот конфликт, было принято решение о разделении функции внутри службы на ВА и ВК: внутренние аудиторы не могут учувствовать в осуществлении контрольных процедур, а специалисты по внутреннему контролю не могут проводить аудиторские проверки. По мере зрелости СВК данная функция перейдет во вторую линию защиты. Этот подход был утвержден советом директоров.
Стандарт 1100 – Независимость и объективность
Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
Объективность аудитора считается нарушенной, если аудитор разрабатывает, внедряет, проектирует контрольные процедуры для систем или управляет такими системами.
Первые шаги
На этапе зарождения функции внутреннего аудита важно строго руководствоваться Международными профессиональными стандартами внутреннего аудита и применять лучшие практики в области управления функцией внутреннего аудита, доводить их важность и значимость до акционеров и высшего руководства. Был случай, когда на очередной встрече с высшим руководством мне было предложено взять в подчинение операционную функцию, т.е. подразделение, которое непосредственно занимается операционной деятельностью. И здесь было важно довести до руководства свою принципиальную позицию о том, что если внутренний аудит будет руководить операционной функцией, тогда объективность и независимость внутреннего аудита подвергнутся отрицательному воздействию, а внутренние аудиторы не смогут выполнять свои обязанности объективно и независимо в отношении этого подразделения.
Практическое указание 1130.A2-1: Ответственность внутр
Соответствующий исходный Стандарт 1130.A2 – Выполнение аудиторских заданий по предоставлению гарантий в тех областях, за которые отвечает руководитель внутреннего аудита, должно осуществляться под надзором стороны, независимой по отношению к внутреннему аудиту.
Внутренние аудиторы не должны брать на себя ответственность за неаудиторские функции или обязанности, которые подлежат периодическим оценкам внутреннего аудита. Если на них лежит такая ответственность, они не работают как внутренние аудиторы.
Итак, первыми шагами для создания СВКиА стали следующие действия:
В течение первых трех месяцев были проведены мероприятия, закрепляющие статус и независимость службы и заложен фундамент для дальнейшей эффективной работы:
Проведены установочные встречи с высшим руководством и советом директоров, на которых были сформулированы ожидания от СВКиА и определены задачи и меры поддержки.
Подготовлены и утверждены советом директоров и генеральным директором основополагающие документы (положение о СВКиА, методика проведения внутренних аудитов).
Стандарт 1000: Цели, полномочия и ответственность
Цели, полномочия и ответственность подразделения внутреннего аудита должны быть определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.
Для понимания уровня зрелости компании в области внутреннего контроля и управления рисками, а также для формирования перечня бизнес-процессов наиболее подверженных рискам, были проведены интервью со всеми ключевыми владельцами бизнес-процессов. По результатам интервью была сформирована карта корпоративных рисков компании, которая легла в основу формирования риск-ориентированного годового плана аудита; был разработан перечень бизнес-процессов в детализации до 3-х уровней (корпоративный, операционный, транзакционный) как основа для формирования СВК.
Параллельно была проведена работа по созданию и утверждению организационной структуры службы. Для обоснования и расчета количества сотрудников структуры были использованы инструменты из ранее полученного практического опыта: количество плановых аудитов за год в соотношении времени, затрачиваемого на выполнение одного аудита, а также аналогичный расчет в отношении отработки одного бизнес-процесса специалистом в единицу времени.
Для усиления позиции и придания уверенности в достижении цели создания СВК, был разработан Устав проекта по созданию СВК, где основными заказчиками выступили акционеры. Устав был согласован с менеджментом и утвержден СЕО; документ был проработан до мелочей: были прописаны все риски, с которыми могла столкнуться команда, и меры их снижения; обозначены все роли, ответственные; формы и правила коммуникации с менеджментом; сроки и контрольные точки по этапам проекта были прописаны в план-графике.
По истечении 3-х месяцев была разработана и утверждена на совете директоров стратегия создания и развития функции ВК и ВА на краткосрочный (1 год) и долгосрочный (3 года) периоды, утверждено положение о СВКиА, план аудитов на год, структура и бюджет СВКиА, методика проведения внутренних аудитов, устав создания СВК, положение о владельцах бизнес-процессов. Осталось главное – сформировать команду, которая смогла бы достичь поставленной цели.
СOSO IC
Система внутреннего контроля — это комплекс мер, принимаемых руководством компании для своевременного выявления рисков и управления ими.
Команда – основной ресурс для достижения любой цели
Сразу скажу, что на формирование полноценной команды ушло около полугода. Команда формировалась постепенно, не было цели сразу набрать полный штат высококлассных специалистов, поскольку, во-первых, это могло оказаться неоправданной нагрузкой на бизнес (с точки зрения как дополнительных расходов на ФОТ, так и нерационального распределения задач ввиду неготовности менеджмента к резким изменениям, что могло бы привести к скрытому бойкоту создания функций). Во-вторых, что крайне важно, нужно было начать работу небольшим составом, чтобы на первых шагах понять, какие ошибки могут возникнуть на начальной стадии и сколько фактически времени уходит на выполнение одного аудиторского задания или обработку одного процесса; и только после этого определиться с количеством членов команды. В-третьих, специалистов подобного уровня очень трудно найти на рынке по причине узкой специализации.
Подбор команды осуществлялся, как правило, мною лично совместно функцией HR. Были заранее проработаны профили кандидатов с необходимым набором качеств и компетенций, основные – это коммуникабельность, проактивность, клиентоориентированность и настойчивость, компетенции и опыт во внутреннем контроле или аудите, понимание структуры бизнес-процессов и главное – желание создавать что-то новое и совершенствоваться. Кандидатов искали внешних, поскольку нужны были независимая оценка и взгляд со стороны, а с новыми людьми, как правило, приходят и новые идеи.
Итак, в течение полугода с момента утверждения структуры СВКиА команда была полностью сформирована. Здесь важно отметить, что при создании функции ВА и/или СВК, особенно на начальных этапах, необходимо привлекать профессионалов высокого уровня или специалистов с очень хорошим базовым образованием. В нашем случае именно из таких людей и сформировалась команда; если брать в пропорции, то примерно 50/50.
Не буду дальше вдаваться в детали осуществления проекта СВК и становления функции внутреннего аудита (оставлю эту тему для следующей статьи), скажу лишь, что проект по созданию СВК был успешно реализован в течение 1,5 лет и передан в бизнес-подразделения компании, а становление функции внутреннего аудита было реализовано в течение 3 месяцев с момента моего прихода в компанию и до начала первой аудиторской проверки.
Основные трудности, с которыми пришлось столкнуться, и пути решения
В процессе создания СВКиА ожидаемо возникли трудности и проблемы, в основном лежащие в плоскостях организации процесса и недопонимания операционным менеджментом роли внутреннего контроля и аудита в организации. В компании, в которой никогда не было подобных функций, менеджмент реагировал по-разному: те, кто ранее сталкивались с аудитом или контролем, понимали, что эти функции нацелены на помощь акционерам и менеджменту в достижении основных целей компании, и сразу включались в процессы; некоторые же не видели смысла в новом подразделении, думая, что компания хорошо развивалась и без этих функций.
Основные пути решения этих трудностей заключаются в качественном подборе команды внутренних аудиторов и специалистов по внутреннему контролю, высокой частоте коммуникаций на всех уровнях взаимодействия между сотрудниками СВКиА и операционным менеджментом с целью объяснения пользы от совместной работы и демонстрации результатов службы высшему руководству и акционерам.
Трудности
Пути решения
Сложности в формировании команды аудиторов и специалистов по внутреннему контролю в СВКиА
Подбор специалистов с хорошим опытом работы в сфере аудита и контроля и хорошим базовым образованием
Непонимание менеджментом целей и задач СВКиА
Проведение постоянных встреч и тренингов для объяснения пользы внутреннего аудита и контроля
Закрытость менеджмента и сотрудников, недоверие к внутренним аудиторам при первых проверках
Объяснение и демонстрация менеджменту и сотрудникам, что аудиторские проверки нацелены на помощь бизнесу в совершенствовании процессов и улучшении деятельности компании, а не с целью выявления и наказания виновных
Непонимание менеджментом своей роли в управлении контрольными процедурами в своих процессах
Проведение встреч с менеджментом, выпуск статей в корпоративном журнале с разъяснениями управления контрольными процедурами
Непринятие менеджментом изменений, связанных с внедрением СВК
Формирование тона сверху у руководителей всех уровней
Основные факторы успешного создания службы внутреннего контроля и аудита
В заключение хотел бы сказать, что основными факторами для успешного создания функций внутреннего контроля и аудита, на мой взгляд, являются:
1. Наверное, самый важный фактор – желание и поддержка акционеров и высшего руководства на всех этапах создания и развития функций. Здесь многое может зависеть от ваших презентационных навыков, поскольку акционеры и высшее руководство могли ранее не сталкиваться с подобными функциями, и важно убедить их в полезности ВА и ВК для бизнеса.
2. Планирование создания и развития функции в строгом соответствии с Международными профессиональными стандартами внутреннего аудита на 3-хлетний период, детальное – на 1 год.
3. Команда, которая не подведет и достигнет результата.
4. Проактивная, последовательная и настойчивая реализация плана по созданию и развитию функций.
5. Создание атмосферы взаимопонимания и поддержки внутри коллектива, мотивированного на получение результата.
Результатом синергии этих пяти основных факторов стала успешная реализации проекта по созданию службы внутреннего контроля и аудита.
1 В 2020 году Модель Трех линии защиты была переименована в Модель трех линий.