Как составить риск ориентированный план внутреннего аудита

План внутреннего аудита: регламент работ, пример и чек-лист для составления

Как изменить статус внутренних аудитов из «необходимого зла» на
«лучшего помощника коллектива»? Как победить настороженное
отношение к службе СВА и желание отделаться от нее поверхностным отчетом
«на авось»? Начните с планирования. Оглашение плана работы службы
внутреннего аудита сигнализирует об открытости руководства и о том, что
главная цель аудиторов — оптимизировать работу и поощрить лучших, а не
обнаружить и наказать худших.

С чего начать планирование и на каком основании выбирать объекты для
аудиторской проверки — рассмотрим далее по пунктам:

Регламент внутреннего аудита

План работы службы внутреннего аудита

Оценка рисков при планировании внутреннего аудита

Пример плана проведения внутреннего аудита

Чек-лист для составления плана деятельности по внутреннему аудиту

Регламент внутреннего аудита

Основополагающие правила проведения внутреннего аудита приведены в
Международных профессиональных стандартах внутреннего аудита
(МПСВА). Ориентируясь на них, службы внутреннего аудита разрабатывают
собственную документацию с учетом специфики компании.

Правила планирования и проведения внутреннего аудита регламентируются в
Положении о внутреннем аудите. Здесь отражают принципы, которыми
руководствуется в своей работе СВА:

  • проверки разделяют на плановые и внеплановые;
  • график плановых составляют с учетом анализа рисков и пожеланий руководства;
  • внеплановый аудит организуют по указу руководства в случае возникновения
    нештатных ситуаций.

Регламент внутреннего аудита

Пример регламента по внутреннему аудиту

План работы службы внутреннего аудита

Планирование внутреннего аудита разделяют на три группы.

план деятельности службы внутреннего аудита

  1. Долгосрочное планирование базируется на анализе рисков и ранжировании
    степени важности бизнес-процессов в компании. Проверку процессов большой
    важности или высокого риска планируют чаще процессов с несущественными
    рисками.
  2. Годовой план внутреннего аудита считают основным документом в работе СВА.
    Его составляют в соответствии с:
  • долгосрочным планом;
  • предписаниями законодательства;
  • трансформацией внешних факторов;
  • изменяющимися внутренними факторами;
  • проведенным пересмотром рисков;
  • картой гарантий.

Из этого следует, что годовой план может изменяться в случае появления новых
факторов. СВА компании должна следить за изменениями на внешнем рынке и
учитывать степень их важности или рискованности для работы компании. В случае
необходимости служба внутреннего аудита вносит оперативные изменения в план
проверок и согласует его с руководством.

Регламент внутреннего аудита

Пример графика проведения внутреннего аудита

  1. В оперативном плане проведения внутреннего аудита закладывают время на
    каждый этап проверки: предварительный анализ, проверка на местах,
    составление отчета, доклад о результатах начальству. В документально
    оформленном плане есть:
  • тема;
  • список задач для проверки;
  • сроки аудита;
  • перечень ответственных лиц.

план аудита СМК

Пример оформления плана внутреннего аудита

При составлении плана кроме степени важности и риска необходимо учитывать
объем выборки действий для проверки. Она влияет на точность полученных
результатов.

Оценка рисков при планировании внутреннего аудита

Руководство анализирует, какие события будут способствовать достижению целей
компании, а также связанный с ними риск. Такую деятельность называют
управлением риском.

Если система управления риском на предприятии хорошо отлажена и дает
положительный результат, то внутренние аудиторы используют ее как базу для
составления собственных таблиц по оценке рисков. Риск-ориентированный подход к
планированию внутреннего аудита зафиксирован в МПСВА.

Перечислим основные группы рисков, которые стараются найти и предотвратить в
процессе внутреннего аудита.

  1. Стратегические. Это риски, которые связаны с:
    • инвестициями;
    • изменениями в расстановке конкурентов;
    • изменениями в потребностях клиентов;
    • изменениями внутри отрасли или сферы интересов.
  2. Операционные. К ним относят:
    • финансовые операции;
    • кадровые изменения;
    • информационный контроль;
    • управление запасами и собственностью.
  3. Связанные с отчетностью:
    • утверждение новых законодательных актов;
    • необходимость осуществления нетипичных хозяйственных операций;
    • глубокое вовлечение руководителей в составление отчета
  4. Связанные с исполнением законов:
    • правовые ошибки в процессе деятельности компании и ее партнеров;
    • несоблюдение партнерам условий сделок;
    • последствия выполнения или невыполнения судебных решений.

Пример плана проведения внутреннего аудита

Рассмотрим планирование внутреннего аудита на примере ОАО «РЖД».

Для регламентации деятельности СВА в компании разработан стандарт
«Планирование деятельности и управление ресурсами службы внутреннего
аудита и контроля».

Служба внутреннего аудита здесь формирует годовой план по принципу
«3+9». Это подразумевает утверждение трехмесячного плана и
составление гибкого графика на следующие девять месяцев.

В план проведения внутреннего аудита входят следующие этапы.

  1. Корректировка модели внутреннего аудита (при необходимости).
  2. Ранжирование процессов по степени риска.
  3. Подсчет необходимых материальных и трудовых ресурсов.
  4. Определение объектов, которые внесут в план аудита.

В своей работе сотрудники СВА РЖД ориентируются на совет директоров и
президента компании, оценки рисков от менеджеров организации, а также на свои
экспертные оценки.

Чек-лист для составления плана деятельности по внутреннему аудиту

  • Следуйте регламенту международных стандартов и внутренних правил
    компании, касающихся работы СВА.
  • Согласовывайте работу со стратегическими планами компании.
  • Учитывайте результаты анализа управления рисками (если его проводят в
    компании).
  • Проводите собственную оценку рисков.

Составить качественный план аудита не так просто. Надеемся, что наши советы
помогут справиться с планированием аудиторских проверок.

Стремитесь получить фундаментальные знания и прикладные навыки проведения
аудита? Хотите стать профессиональным внутренним аудитором?
Регистрируйтесь на курсы нашей Академии!

Введение

В условиях постоянной трансформации бизнес-моделей, развития информационных технологий, постоянными изменениями требований законодательства и возникновением новых рисков увеличивается заинтересованность бизнеса в деятельности служб внутреннего аудита. Расширяется роль внутреннего аудита от деятельности по предоставлению гарантий до оказания консультационных услуг, поддержки бизнеса при разработке и реализации стратегии компании, содействия увеличению ее стоимости.

Внутренний аудит приносит пользу организации и ее заинтересованным лицам, когда представляет объективные и компетентные гарантии, способствует повышению эффективности и результативности корпоративного управления, управления рисками и контрольных процедур, предоставляет актуальные консультации. Для достижения данной цели приоритеты внутреннего аудита должны быть согласованы с целями организации и учитывать актуальные риски.

Подход к управлению рисками компании на проактивной основе, структурирование взаимодействия и ответственности для достижения целей организации отражен в Модели Трех линий защиты, выпущенной Международным Институт внутренних аудиторов (1).

Первую линию защиты обеспечивает собой руководство (владельцы процессов), отвечающие за управление рисками, связанными с операционной деятельностью. В обязанности первой линии также входит разработка, функционирование и внедрение средств контроля.

Службы второй линии осуществляют управления рисками и соблюдения нормативных требований, предоставляют необходимые концепции, политики, инструменты и технологии.

Внутренний аудит является третьей линией защиты, проверяющей эффективность работы системы внутреннего контроля в целом (первой и второй линий защиты) и предоставляющей высшему руководству независимое заключение о том, что организация управляет рисками должным образом и ее система управления рисками и система внутреннего контроля являются эффективными.

Актуализированная в июле 2020 года Модель трех линий защиты показывает, что для принятия компанией решений в условиях риска необходимы не только защитные действия, но и не в меньшей степени и активные действия, направленные на реализацию открывающихся перед компанией возможностей.

В соответствии с обновленной Моделью трех линий защиты внутренний аудит как независимый поставщик гарантий имеет особую роль, отличную от подотчетных руководству компании первой и второй линий защиты и является независимым поставщиком гарантий, а также предоставляет консультации по вопросам, связанных с достижением поставленных целей.

Для выполнения задач, стоящих перед внутренним аудитом, необходимо обеспечить риск-ориентированное планирование деятельности подразделения внутреннего аудита.

План работ внутреннего аудита – общий перечень мероприятий и заданий по проведению внутреннего аудита и прочих мероприятий, не связанных с проведением проверок, с указанием периода проведения мероприятий.

Цель исследования: исследование подходов и методов риск-ориентированного планирования деятельности подразделения внутреннего аудита.

Материалы, методы и условия проведения исследований: изучены законодательные акты, нормативные акты Министерства финансов РФ, Международные стандарты аудита, Международные стандарты профессиональной практики внутреннего аудита, а также научные и практические труды отечественных специалистов в области внутреннего аудита.

Результаты исследования и их обсуждение

Международные стандарты профессиональной практики внутреннего аудита (2) содержат следующие рекомендации, применимые к процессу планирования:

2010.А1 План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой, по крайней мере, один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и совета директоров.

2010.А2 Руководитель внутреннего аудита должен выяснять и учитывать ожидания исполнительного руководства, совета и других заинтересованных лиц в отношении мнений и выводов внутреннего аудита.

2010.С1 Руководитель внутреннего аудита должен оценить предложенные задания по консультированию с точки зрения возможностей улучшения процесса управления рисками и совершенствования деятельности организации при выполнении заданий. Принятые к исполнению задания должны быть включены в план.

По данным проведенного Делойт и Туш СНГ и Институтом внутренних аудиторов «Исследования текущего состояния и тенденций развития внутреннего аудита в России 2019» (3) практику регулярного обновления годового плана в соответствии с меняющимися рисками (один раз в полугодие, квартал) применяет большинство служб внутреннего аудита российских компаний.

Этапы риск-ориентированного планирования

При разработке плана внутреннего аудита выполняются следующие этапы:

  • изучение деятельности компании, выявление и оценка рисков, разработка и обновление модели внутреннего аудита;
  • координация с другими поставщиками гарантий;
  • оценка ресурсов;
  • подготовка проекта плана внутреннего аудита, получение обратной связи от руководства и комитета по аудиту;
  • доработка плана внутреннего аудита;
  • утверждение плана внутреннего аудита советом директоров (комитетом по аудиту);
  • реализация плана;
  • постоянная оценка рисков;
  • актуализация плана;

Принятые в компании подходы к планированию и этапы составления плана внутреннего аудита отражаются во внутренних нормативных документах подразделения: Положение о внутреннем аудите, Порядок планирования деятельности внутреннего аудита.

Плановым периодом для внутреннего аудита в большинстве компаний является календарный год, отчетным периодом – квартал или полугодие.

Изучение деятельности компании, выявление и оценка рисков. разработка и обновление модели внутреннего аудита

Основой для риск-ориентированного планирования деятельности и ресурсов внутреннего аудита является модель внутреннего аудита – перечень объектов внутреннего аудита (бизнес-процессы, виды деятельности, проекты, подразделения, бизнес-единицы, центры ответственности).

Основными принципами формирования модели внутреннего аудита:

  • разумная достаточность – степень детализации объектов аудита должна обеспечивать достижение целей внутреннего аудита при эффективном использовании ресурсов;
  • соизмеримость объектов внутреннего аудита – включенные в план задания должны быть соизмеримы, содержать информацию одного уровня детализации;
  • полнота покрытия объектов внутреннего аудита – модель внутреннего аудита должна учитывать все направления деятельности, бизнес-процессы, подразделения.

Модель внутреннего аудита компании, имеющей дочерние и зависимые общества, может включать дочерние и зависимые компании в качестве отдельных объектов аудита.

При наличии в компании региональных подразделений модель внутреннего аудита может дополняться информацией о принадлежности объектов внутреннего аудита к региону.

Модель внутреннего аудита формируется и актуализируется при планировании деятельности на предстоящий плановый период. Модель внутреннего аудита также может уточняться при возникновении существенных изменений в деятельности компании.

При составлении модели внутреннего аудита для планирования работы внутреннего аудита используются следующие источники информации о рисках:

  • стратегия компании;
  • организационная структура, информация об основных подразделениях, отделах и проектах;
  • перечень основных бизнес-процессов и функций;
  • информация об основных контрагентах;
  • информационные системы;
  • нормативные требования;
  • финансовая и нефинансовая отчетность.

Стратегия компании может быть сформирована в виде отдельного публичного или непубличного документа. Стратегия компании фактически может отражаться в ее бюджете, долгосрочных и краткосрочных планах, принятых решениях органов управления по основным направлениям деятельности Общества.

Аудитом выявляются основные бизнес-процессы организации, риски и контрольные процедуры, изучаются имеющихся данные систем мониторинга рисков и отчетности.

При проведении оценки рисков внутренний аудит в соответствии со стандартом 1100 «Независимость и объективность» должен самостоятельно убедиться в полноте выявления, документирования и корректности оценки рисков.

Оценка рисков, присущих деятельности компании, производится как количественными, так качественными методами.

Выявление, документирование и оценку рисков производят, исходя их подхода, основанного на конкретных рисках либо процессного подход, при которых производится оценка отдельных бизнес-процессов или проверяемых единиц и подход.

Фактор риска – свойственная какому-либо процессу (виду деятельности, объекту) потенциальная способность оказывать влияние на результат хозяйственной деятельности.

Для проведения комплексной оценки рисков в масштабах компании определяются присущие для всех проверяемых элементов факторы рисков, влияющие на способность организации достигать поставленных целей. Факторы риска определяются на основе анализа производственной, коммерческой, финансовой, инвестиционной и других сфер хозяйственной деятельности предприятия.

При проведении оценки рисков бизнес-процессов и проверяемых единиц проводится анализ совокупности рисков, характерных для процессов и подразделений с последующей группировкой.

Риск-факторный анализ, как правило, включает наименование риск-факторов (критериев), принципы ранжирования и шкалу измерения, коэффициенты влияния риск-факторов на общее значение рисков.

По результатам оценки и ранжирования риск-факторов формируются группы объектов с высоким, средним и низком уровнем риска.

Ранжирование объектов внутреннего аудита можно проводить коллегиально, группой квалифицированных специалистов.

В процессе оценки рисков внутренние аудиторы оценивают как присущий риск, который бы существовал без средств контроля, так и остаточный риск. Аудитом производится оценка эффективности стратегии управления рисками, процессов и мероприятий по управлению рисками.

Актуальные акценты риск-ориентированного планирования

При планировании необходимо обратить внимание на важные акценты и риск-факторы, установленные стандартами:

2110.А1 Внутренний аудит должен оценивать дизайн, реализацию и эффективность целей, программ и деятельности организации в вопросах, связанных с этикой;

2110.А2 Внутренний аудит должен оценить, соответствует ли система управления информационными технологиями стратегии и целям организации;

2210.А1 Внутренний аудитор должен провести предварительную оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать результатам этой оценки;

2210.А2 Определяя цели аудиторского задания, внутренние аудиторы должны учитывать вероятность существенных ошибок, мошенничества, несоблюдения процедур и другие риски.

Для оценки соответствия системы управления информационными технологиями стратегии и целям организации изучаются руководство информационными технологиями, организационная структура и основные процессы ИТ-обеспечения.

Стратегия компании в области информационного обеспечения должна соответствовать текущей конфигурации бизнес-процессов и поддерживать возможность их трансформации, обеспечивать обнаружение рисков и реагирование на угрозы кибербезопасности.

В данное время растет количество компаний, реализующих в своей деятельности принципы устойчивого развития, предполагающие принятие компанией экологической, социальной и управленческой ответственности.

Несоблюдение требований природоохранного законодательства, влечет за собой претензии со стороны регулирующих органов и репутационные риски.

Социальная ответственность бизнеса распространяется на взаимодействие с поставщиками и клиентами, сотрудниками компании, общественными институтами.

При наличии существенного влияния на деятельность компании сторонних поставщиков необходимо оценить риски, связанные с взаимодействием с третьими лицами.

Оценка рисков мошенничества должна проводиться в соответствии со стандартами 2210.А1 и 2210.А2 при выполнении всех заданий по предоставлению гарантий. Помимо этого, с учетом актуальности задач по предотвращению коррупции и мошенничества, предотвращению легализации доходов, полученных преступным путем возможно проведение аудитом комплексной оценки рисков мошенничества.

Руководитель внутреннего аудита определяет периодичность включения различных областей в план проверок, исходя из ценности результатов проверок для достижения целей компании, существенности рисков, а также имеющихся ресурсов.

В некоторых областях (например, финансовые услуги) либо для некоторых организаций (акционерные общества с участием государства) нормативными актами установлена определенная периодичность проведения аудиторских проверок организаций или бизнес-процессов.

Данные обязательные задания могут вступать в конфликт приоритетов с заданиями, определенными на основании оценки уровня рисков.

Для балансирования объема обязательных и риск-ориентированных заданий в плане внутреннего используются следующие варианты:

  • сокращение объема обязательных задания и выделение для их выполнения минимального объема ресурсов;
  • проведение регулярной оценки рисков и корректировки планов внутреннего аудита для включения в него на основании риск-ориентированного подхода наиболее актуальных и приоритетных рисков;
  • координирование действий внутреннего аудита с другими поставщиками гарантий.

Оценка ресурсов, взаимодействие с другими поставщиками гарантий

Для координации деятельности аудита с руководителями и подразделениями первой и второй линий защиты в части контроля и предоставлении гарантий в ходе планирования изучаются документы, относящиеся к деятельности высшего исполнительного руководства, операционного руководства, комитетов при совете директоров.

Для выяснения ожиданий исполнительного руководства руководитель внутреннего аудита проводит консультации с заинтересованными сторонами, присутствует на заседаниях совета директоров и комитетов при аудите при совете директоров, а также проводит встречи с членами совета директоров, высшим исполнительным руководством, руководителями наиболее важных сегментов бизнеса и ключевыми сотрудниками. Аналогичное взаимодействие с бизнесом осуществляется сотрудниками внутреннего аудита.

При взаимодействии с заинтересованными странами в форме личных встреч, телефонного общения, интервью необходимо обеспечить независимость и объективность внутренних аудиторов (Стандарты 1100 «Независимость и объективность», 1130 «Факторы, отрицательно влияющие на независимость»), используя, например, чередование внутренних аудиторов при выполнении заданий по аудиту и предоставлению консультаций.

В процессе разработки плана внутренний аудит осуществляет непрерывное взаимодействие с заинтересованными сторонами, учитывает имеющиеся у них оценки рисков, а также степень информированности руководителей и сотрудников подразделений-владельцев рисков. В зависимости от степени информированности владельцев рисков о рисках и мерах реагирований может корректироваться оценка рисков для целей составления плана внутреннего аудита.

Для определения необходимого объема и качества ресурсов внутреннего аудита проводится оценка количества необходимого рабочего времени сотрудников и трудоемкости, наличия у сотрудников необходимых навыков, обеспеченности финансированием, инструментами, возможности применения методов аудита.

В соответствии с рекомендациями стандарта 2030 «Управление ресурсами» руководитель внутреннего аудита должен обеспечить наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.

Термин «соответствующий» предполагает сочетание знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный» относится к количеству ресурсов, необходимых для выполнения плана. Ресурсы используются эффективно, если выполнение утвержденного плана достигается оптимальным образом.

При составлении плана внутреннего аудита руководитель внутреннего аудита актуализирует перечень навыков и знаний сотрудников, необходимых для выполнения плана. Для поддержания необходимого уровня квалификации и компетенций сотрудников руководитель внутреннего аудита включает в программу гарантий и повышения качества мероприятия по оценке навыков и непрерывному профессиональному развитию сотрудников подразделения внутреннего аудита.

В случае отсутствия необходимых знаний и навыков у сотрудников внутреннего аудита руководителем внутреннего аудита может привлечь внутреннего или внешнего эксперта. На стадии составлении плана необходимо оценить затраты на привлечение экспертов.

Для оптимального использования ресурсов внутреннего аудита необходима координация с другими поставщиками гарантий, например, внутренним контролем и управления рисками, внешними аудиторами. Использование результатов работы других поставщиков гарантий позволяет сократить дублирование функций, повысить эффективность оказываемых аудитом услуг.

Стандарт 2050 «Координация деятельности» предусматривает, что в целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.

Для систематизации информации о рисках и предоставляемых гарантиях, выявления недостаточного покрытия рисков или избыточных гарантий используется такой инструмент, как карта рисков.

Карта рисков представляет собой графическое и текстовое отображение классификации рисков по степени их значимости и вероятности реализации. Карта рисков показывает вероятность возникновения и оценку рисков, содержит меры реагирования на риски.

Подготовка проекта плана работ внутреннего аудита

После идентификации основных целей и рисков, актуализации модели аудита, составляется перечень направлений, подлежащих проверке, производится оценка рисков на плановый и отчетный период, определяется общий и доступный фонд рабочего времени работников подразделения внутреннего аудита.

С учетом увеличения потребности руководства компаний и комитетов по аудиту в предоставлении консультаций и рекомендаций по областям, предварительно не включенным в перечень приоритетных, целесообразно выделять в отдельную часть плана выполнение заданий по консультированию, а также заданий, оперативное выполнение которых может быть запрошено до актуализации плана.

Разработанный проект плана внутреннего аудита включает следующие основные направления:

  • плановые внутренние аудиторские проверки;
  • внеплановые внутренние аудиторские проверки;
  • мониторинг выполнения планов мероприятий по устранению выявленных нарушений;
  • оценка необходимых ресурсов, помимо основных направлений деятельности, производится также по процессам, обеспечивающим функционирование внутреннего аудита:
  • планирование и анализ деятельности внутреннего аудита;
  • информационное и методологическое обеспечение деятельности внутреннего аудита;
  • подготовка кадров и повышение профессионального уровня.

Направляемый для обсуждения с руководством компании для обсуждения и получения комментариев комплект документов по проекту плана внутреннего аудита может включать следующие разделы:

  • обзор ключевых моментов плана в части существенных рисков, основных мероприятий, графика, штатного расписания;
  • информация о применяемых политиках и процессах внутреннего аудита, подходах к планированию, методах оценки рисков;
  • выводы по результатам оценки рисков;
  • информация о заданиях, включенных в план. По каждому из заданий плана указывается, является ли задание обеспечением гарантий или предоставлением консультаций, предварительные масштабы и цели задания, сроки выполнения;
  • информация о покрытии рисков заданиями плана внутреннего аудита и имеющихся исключениях. Если исключения затрагивают области высокого риска, необходимо привести информацию об их причинах (например, ресурсные ограничения) и принятых либо рекомендуемых мероприятиях по получению гарантий, например, посредством привлечения внешних соисполнителей;
  • ресурсный план, содержащий типы и количество необходимых ресурсов.
  • финансовый план;
  • результаты согласования заинтересованными сторонами.

В большинстве компаний согласование и утверждение плана внутреннего аудита проводится на плановый период, не превышающий год. Вместе с тем, для учета покрытия мероприятиями плана всех существенных направлений деятельности, процессов и рисков с учетом имеющихся ресурсных ограничений на периодической основе рекомендуется составление рабочего варианта проекта плана внутреннего аудита на трёхлетний период, с возможностью изменения заданий второго и третьего года планирования по результатам оценки рисков.

Получение обратной связи от руководства и комитета по аудиту

После разработки риск-ориентированного плана работы внутреннего аудита руководитель внутреннего аудита обсуждает план с высшим исполнительным руководством компании, при необходимости проводит консультации с комитетами при Совете директоров, владельцами бизнес-процессов для обсуждения объема и сроков выполнения заданий плана.

В ходе обсуждения с менеджментом анализируются полнота включения в план рисков и ключевых элементов, наличие предстоящих изменений в компании, не учтенных при планировании, корреляция плана с целями компании и существенными рисками, планируемые результаты выполнения заданий, включенных в план, оценивается предполагаемый эффект от выполнения заданий плана, проводится оценка сроков выполнения заданий, распределения ресурсов, для покрытия гарантиями проверяемых областей.

Сообщая о планах подразделения внутреннего аудита и потребности в ресурсах, руководитель внутреннего аудита должен привлечь внимание к областям с высоким риском, у которых не будет достаточного покрытия гарантиями вследствие имеющихся бюджетных ограничений и запросить при необходимости дополнительные ресурсы.

По результатам анализа обратной связи от высшего исполнительного руководства проводятся необходимые корректировки и уточнения плана внутреннего аудита.

Утверждение плана работ внутреннего аудита

Проект плана внутреннего аудита направляется на утверждение советом директоров. В зависимости от установленных уставом компании полномочий комитета по аудиту при совете директоров возможны следующие варианты утверждения:

  • предварительное рассмотрение комитетом по аудиту при совете директоров, утверждение советом директоров;
  • утверждение комитетом по аудиту при совете директоров.

Утвержденный советом директоров (комитетом по аудиту) план внутреннего аудита доводится до генерального директора компании.

В течение планового периода в план внутреннего аудита при необходимости могут вноситься изменения, в том числе по результатам переоценки рисков владельцами бизнес-процессов. Порядок согласования и утверждения документов с учетом изменений аналогичен процедуре первоначального согласования и утверждения.

Контроль реализации плана

По итогам планового либо отчетного периода составляется отчет о результатах деятельности внутреннего аудита, включающий, в том числе, информацию о состоянии и результатах выполнении всех мероприятий плана внутреннего аудита, а также иных заданий и поручений.

Отчет о результатах деятельности внутреннего аудита направляется совету директоров (комитет по аудиту при совете директоров), иные органы управления компании с установленной периодичностью, но не реже одного раза в год по итогам отчётного периода.

Заключение

Результатом риск-ориентированного планирования работы подразделения внутреннего аудита является план работы, содержащий области, подлежащие аудиту, информацию о рисках, задействованных процессах, проектах и подразделениях, приоритетности направлений проверок, календарный график реализации проектов.

Итоговый план позволяет максимально эффективно задействовать имеющиеся ресурсы внутреннего аудита для решения стоящих перед компанией задач, организовать взаимодействие аудита с руководством, комитетом по аудиту, другими заинтересованными лицами.

Содержащаяся по каждой из строк плана информация о проектах внутреннего аудита используется для составления аудиторских заданий по проверкам.

Матричная структура плана обеспечивает возможность его актуализации в течение планового периода при изменении карты рисков либо возникновении новых стратегических направлений.

Print Friendly, PDF & Email

Читайте также

Краснова И.А., заместитель начальника Отдела внутреннего аудита ОАО «УМЗ», член Института внутренних аудиторов

В настоящей статье автор подробно раскрывает методику проведения аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов компании, успешно апробированную на практике Службами внутреннего аудита ряда крупных российских промышленных холдингов. Результаты данных внутренних аудиторских проверок, организованных в соответствии с представленной методикой, могут оказать существенную помощь менеджменту при построении надежной системы внутреннего контроля компании.

Материал, представленный в данной статье, предназначен для сотрудников Служб внутреннего аудита, менеджеров различного уровня, членов Комитетов по аудиту и Советов директоров и, по мнению автора, может быть интересен более широкому кругу читателей.

1. Общие понятия о системе внутреннего контроля в компании

При исследовании вопросов, касающихся системы внутреннего контроля (далее – СВК), автор столкнулся с достаточно парадоксальной ситуацией, сложившейся в настоящее время. С одной стороны, можно констатировать наличие повышенного интереса к данной экономической категории на протяжении последних десяти-пятнадцати лет. С другой стороны, общепризнанного однозначного определения СВК до сих пор не существует.

Тем не менее, в рамках настоящей статьи автор трактует понятие СВК как совокупность организационной структуры управления, мер, методик и процедур, принятых и постоянно осуществляемых Советом директоров, исполнительными и контрольными органами, должностными лицами и иными сотрудниками компании, направленных на:

  • совершенствование деятельности компании и органов его управления;
  • обеспечение результативности и эффективности финансово-хозяйственной деятельности компании;
  • сохранность активов;
  • предотвращение внутренних и внешних рисков;
  • обеспечение надежности и достоверности всех видов отчетности Общества;
  • соблюдение требований законодательства и внутренних документов и регламентов Общества.

Надежная СВК является ключевым элементом корпоративного управления компанией, который позволяет менеджменту принимать адекватные решения, направленные на:

  • совершенствование организации бизнеса,
  • оперативное выявление, предотвращение и ограничение операционных, финансовых и других видов рисков, и
  • обеспечивать разумную уверенность в достижении стратегических целей компании и ее акционеров.

Современные системы построения внутреннего контроля, формируемые в соответствии с требованиями как российских, так и зарубежных принципов корпоративного управления1, акцентируют ответственность высшего руководства компании за формирование надежной СВК и поддержание надлежащего ее функционирования. При этом многие компании в настоящее время имеют в своей структуре Службу внутреннего аудита (далее – СВА). Внутренний аудит, являясь одним из незаменимых инструментом собственников компании и Совета директоров при организации корпоративного управления и контроля, представляет собой наиболее развитую форму внутреннего контроля в компании.

Основными задачами, стоящими перед СВА, являются:

  • обеспечение соответствия принципам корпоративного управления;
  • оценка надежности и эффективности СВК в компании, а так же оказание консультационной поддержки менеджменту компании на этапе разработки систем и процедур СВК;
  • оценка системы управления рисками;
  • оценка эффективности и экономичности управления бизнес-процессами.

Схема взаимодействия Совета директоров, СВА и менеджмента компании в рамках организации СВК представлена на рисунке 1.

Рис.1. Схема взаимодействия СВА и менеджмента компании

pic1.JPG
Необходимо отметить, что в действующем законодательстве и современной методической литературе по вопросам организации внутреннего контроля и аудита не определена методика проведения внутренних аудиторских проверок эффективности СВК компании, результатами которых и должны быть объективная оценка и предложения по оптимизации действующей СВК компании.

В следующем разделе статьи автор предлагает к рассмотрению методику организации данных проверок, успешно используемую Службами внутреннего аудита некоторых крупных промышленных компаний2, реализующих процессный риск-ориентированный метод управления деятельностью. Особое внимание уделяется раскрытию технологии и порядка проведения проверок; подробно представлены основные инструменты и документы, используемые аудиторами; а также обозначены ключевые организационные мероприятия при поведении внутренней аудиторской проверки.

2. Организация внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

Следует определить, что аудиторская проверка в контексте данной статьи представляет собой мероприятие, заключающееся в сборе, оценке и анализе аудиторских доказательств, касающихся СВК бизнес-процесса, подлежащего аудиту, и имеющее своим результатом выражение мнения аудитора о степени надежности СВК этого бизнес-процесса.

Проведение внутренней аудиторской проверки инициируется Руководителем СВА компании на основе раннее утвержденного плана работы СВА либо по отдельному внеплановому поручению уполномоченного лица3.

Процесс проведения внутренней аудиторской проверки СВК бизнес-процессов компании включает в себя несколько этапов (рис.2.), а именно:

  • планирование аудиторской проверки, в том числе проведение предварительного обследования;
  • проведение аудиторских процедур:
    • оценка дизайна контроля,
    • оценка исполнения контрольных процедур (тестирование),
    • анализ элементов СВК (в том числе оценка контрольной среды),
    • общая оценка эффективности СВК;
  • формирование результатов аудиторской проверки;
  • работа СВА с материалами аудиторской проверки после утверждения окончательной редакции «Аудиторского отчета», в том числе мониторинг исполнения рекомендаций СВА.

Рис.2. Этапы проведения внутренней аудиторской проверки эффективности СВК бизнес-процессов компании

pic02.JPG
Ключевые этапы проведения аудиторской проверки эффективности системы внутреннего контроля проиллюстрированы на примере внутренней аудиторской проверки бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства».

      2.1. Планирование аудиторской проверки эффективности СВК бизнес-процессов компании

Планирование аудиторской проверки способствует тому, чтобы важным областям в ходе аудита было уделено необходимое внимание, чтобы были выявлены потенциальные проблемы и работа была выполнена с оптимальными затратами, качественно и своевременно. Планирование позволяет эффективно распределять работу между членами аудиторской группы, участвующими в аудиторской проверке, а также координировать такую работу.

Для эффективного планирования предстоящей аудиторской проверки следует проводить предварительное обследование аудируемого объекта (бизнес-процесса). Задачей данного обследования является изучение фактических целей аудируемого бизнес-процесса, его структуры или изменений в нем, произошедших со времени прошлой проверки. Также должное внимание необходимо уделить оценке уровня материальности аудируемого бизнес-процесса, что позволит объективно говорить о существенности последствий неэффективной организации СВК данного процесса для компании в целом.

Аудиторы на этапе предварительного обследования:

  • проводят анализ внутренней нормативной документации (далее – ВНД), регламентирующей организацию аудируемого процесса;
  • проводят ознакомление с базами данных и программным обеспечением, обслуживающих рассматриваемый бизнес-процесс;
  • анализируют результаты прошлых аудиторских проверок данного бизнес-процесса (в случае их наличия);
  • идентифицируют и интервьюируют владельца и других участников процесса по вопросам организации процесса;
  • анализируют фактические цели процесса на предмет их соответствия стратегии развития компании и принципам целеполагания (конкретизация, измеримость, согласованность, релевантность, временная ограниченность достижения);
  • формируют фактическую схему организации рассматриваемого бизнес-процесса, с указанием существующих контрольных процедур;
  • анализируют результаты оценки рисков, проводимой менеджментом компании (в случае ее наличия);
  • анализируют систему оценки и показателей, используемых для определения эффективности и экономичности процесса.

По итогам анализа полученной информации о рассматриваемом бизнес-процессе и формирования адекватного понимания его фактического функционирования руководитель службы должен принять:

  • решение о дальнейшем проведении аудита или
  • решение об отказе от проведения проверки.

При этом решение об отказе от проведения проверки в настоящее время и причины данного решения должны быть доведены до лица, инициировавшего данную проверку. Обычно решение об отказе от проведения проверки в настоящее время принимается в случае если:

  • оценка дизайна контроля и ограниченное тестирование на этапе проведения предварительного обследования дают положительный результат о приемлемой надежности СВК;
  • по результатам предварительного обследования установлено, что риски бизнес-процесса несущественны или сам процесс нематериален;
  • в ходе проведения предварительного обследования стало известно, что в настоящее время существенно изменяется структура изучаемого бизнес-процесса.

В случае принятия положительного решения о проведении проверки эффективности СВК бизнес-процесса в настоящее время по итогам предварительного обследования аудитор должен точно определить ключевые аспекты (в том числе сроки и объемы) предстоящего аудита и проинформировать о них аудируемое лицо. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Задание на аудит».

Аудитор должен отчетливо понимать сам и уметь пояснить аудируемому лицу цели предстоящей проверки. Точное определение границ аудита снижает риск непреднамеренного смещения внимания аудитора в ходе проведения проверки на смежные и наименее проблемные области. Данные аспекты отражаются в разделе 1 «Обоснование проверки» «Задания на аудит».

pic3.JPG

По итогам изучения внутренних нормативных документов по анализируемому бизнес-процессу и интервью с владельцем и прочими участниками процесса аудитор должен оценить насколько цели, формализованные в регламентах, политиках и др. или обозначенные владельцем процесса, соответствуют стратегии развития компании и общим правилам целеполагания. Помимо этого аудитор должен оценить критерии, используемые менеджментом для определения эффективности и экономичности бизнес-процессов. Особое внимание аудитору следует уделить тому, как действующая система мотивации владельца и участников процесса соотносится с определенными целями процесса. В случае если цели бизнес-процесса не формализованы и владелец процесса также затрудняется их четко сформулировать, аудитор должен на основе собственных теоретических и практических знаний и навыков (в том числе на основе бенчмаркинга) предложить цели для данного процесса и показатели для их измерения и согласовать их с владельцем процесса. Данные аспекты отражаются в разделе 2 «Оценка целей процесса» «Задания на аудит».

pic4.JPG

Одним из ключевых результатов грамотно проведенного предварительного обследования является адекватное понимание аудитором фактической организации анализируемого бизнес-процесса (последовательность процедур, ответственные за исполнение, фактические сроки исполнения) и объективная оценка уровня его регламентации. Данные аспекты отражаются в разделе 3 «Описание процесса» «Задания на аудит».

Результаты обследования и оценки рисков, проводимых СВА при годовом риск-ориентированном планировании; материалы прошлых аудиторских проверок; результаты оценки рисков, проводимой менеджментом (анализ Карт рисков) являются основой для формирования перечня рисков изучаемого бизнес-процесса.

Оценка рисков в ходе предварительного обследования проводится аудитором экспертно по двум показателям – вероятность реализации и значимость последствий от реализации данных рисков.

Схематично результаты оценки идентифицированных рисков4 можно представить в Карте рисков бизнес-процесса. При этом для наглядности используется метод цветовой зональности рисков:

  • красный цвет – высокие риски, требующие немедленного управления и предотвращения;
  • желтый цвет – средние риски, требующие постоянного мониторинга;
  • зеленый цвет – низкие риски, не требующие усиленного контроля.

Данные аспекты отражаются в разделе 4 «Оценка бизнес-рисков процесса» «Задания на аудит».

pic5.JPG

В целях достижения общего мнения о фактической организации аудируемого процесса, его целей и целей предстоящей аудиторской проверки руководителю аудиторской группы следует согласовать данные вопросы с представителем (-ями) аудиторского предприятия /подразделения (как правило, владельцем процесса). Данные аспекты отражаются в разделе 5 «Мнение представителей аудируемого предприятия / подразделения» «Задания на аудит».

Необходимо отметить, что «Задание на аудит» формируется руководителем аудиторской группы и после согласования с представителем аудируемого лица обязательно утверждается Руководителем СВА компании. Какие-либо последующие корректировки данного документа возможны только при согласовании с Руководителем СВА с объяснением причин необходимости данных корректировок и при условии информирования владельца процесса.

На этом предварительный этап аудиторской проверки завершен. Далее, начинается так называемый этап «Работа в поле», когда аудитор для формирования адекватных выводов о фактической СВК получает аудиторские доказательства путем выполнения соответствующих процедур (тестов).

      2.2. Проведение аудиторских процедур

Проведение аудиторских процедур предназначено для сбора достаточных надлежащих доказательств с целью формулирования обоснованных выводов, на которых основывается мнение аудиторов об эффективности СВК, выраженное в «Аудиторском отчете» и подкрепленное соответствующими рабочими документами.

Одной из основных аудиторских процедур, направленных на получение адекватных выводов о надежности и эффективности функционирования СВК бизнес-процесса, является тестирование фактических процедур управления рисками, присущих анализируемому процессу.

Тестирование надежности СВК направлено на определение аудитором вероятности достижения цели контрольной процедуры, с помощью которой владелец анализируемого риска может эффективно управлять данным риском. При этом цель контрольной процедуры определяется аудитором либо на основе анализа ВНД по процессу, интервью с владельцем процесса, либо самостоятельно на основе «лучших практик» организации данных процессов в аналогичных компаниях.

Как правило, тестирование проводится аудитором выборочным методом. Объем выборки должен обеспечивать достаточную уверенность аудитора в том, что выводы, сделанные на основе анализа выборочных данных будут приемлемы для всего объема данных (генеральной совокупности), из которого произведена выборка. Объем выборки может определяться с применением специальных формул, полученных на основе теории вероятности и математической статистики, либо определяться на основе профессионального суждения аудитора.

При проведении тестирования аудитор располагает довольно широким спектром инструментов – процедур, исполнение которых позволит сформировать объективные выводы об эффективности СВК, как то: сравнение / сопоставление, анализ данных и др.

По результатам тестирования аудитор должен дать оценку надежности действующей СВК бизнес-процесса в части управления анализируемым риском, с указанием возможных последствий от реализации данного риска (с учетом экстраполяции результатов проверки выборочных данных на всю генеральную совокупность). В случае необходимости аудитор формирует рекомендации по построению или оптимизации действующей СВК для достижения целей бизнес-процесса.

В качестве инструмента для отражения процедуры тестирования СВК рекомендуется использовать рабочий документ «Аудиторский тест».

После проведения предварительного обследования и тестирования фактических процедур управления рисками, присущих анализируемому бизнес-процессу, аудитор должен сформировать общее мнение о надежности и эффективности действующей СВК изучаемого процесса. В качестве инструмента для достижения поставленной цели рекомендуется использовать рабочий документ «Оценка дизайна контроля».

Необходимо конкретизировать, что дизайн внутреннего контроля бизнес-процесса представляет собой фактическое содержание и место расположение контрольных процедур в структуре процесса.

В ходе проведения оценки дизайна контроля аудитор использует следующие приемы, результаты которых отражает в вышеуказанном рабочем документе:

  • формирование идеальной схемы бизнес-процесса («как должно быть»). Схема идеального процесса формируется таким образом, чтобы гарантировать достижение целей данного процесса.
  • сравнение фактической схемы бизнес-процесса («как есть») с идеальной;
  • анализ наличия и эффективности контрольных процедур5 , предусмотренных в регламентирующих и распорядительных документах по аудируемому процессу;
  • анализ наличия, качества исполнения и эффективности контрольных процедур, фактически присущих процессу;
  • сравнение содержания и качества исполнения фактических процедур контроля с требованиями ВНД по бизнес-процессу;
  • оценка эффективности процедуры с помощью статистического анализа происшествий за длительный период (3-5 лет);
  • бенчмаркинг и поиск «лучшей практики» для оптимизации контрольных процедур.

Кроме того, оценка дизайна контроля должна проводиться с учетом стоимости как отдельной контрольной процедуры, так и затрат на создание и поддержание всей СВК. Рекомендации по созданию и оптимизации действующей СВК должна быть обоснована с точки зрения стоимостного анализа «выгоды – затраты». В случае функционирования нескольких контрольных процедур, направленных на управление одним риском или зависимыми рисками, следует провести оценку различных вариантов использования контрольных процедур для исключения излишних (дублирующих) процедур.

pic6.JPG

Аудитор на основе результатов оценки дизайна контроля бизнес-процесса должен совместно с менеджментом компании выработать рекомендации по построению и оптимизации действующей системы внутреннего контроля анализируемого процесса. Рекомендации аудитора, в основном, направлены на:

  • повышение качества исполнения контрольной процедуры, формализованной в ВНД компании, в том числе и за счет построения эффективной системы мотивации сотрудников-исполнителей данной контрольной процедуры (в случае если формализованная контрольная процедура эффективна, но имеются отклонения при ее фактическом исполнении);
  • легализацию фактически исполняемой контрольной процедуры (в случае если фактически реализуемая контрольная процедура эффективна, но не предусмотрена требованиями ВНД);
  • разработку и формализацию контрольной процедуры и контроля за ее надлежащим исполнением (в случае если контрольная процедура не предусмотрена ВНД и фактические действия сотрудников не позволяют эффективно управлять риском).

pic7.JPG

После проведения всех необходимых аудиторских процедур и формирования общего мнения о надежности СВК изучаемого бизнес-процесса на основе полученных аудиторских доказательств аудитор приступает к обобщению полученных результатов и формированию «Аудиторского отчета».

      2.3. Формирование результатов аудита

Мнение СВА о надежности действующей СВК изучаемого бизнес-процесса, выраженное в письменной форме, представляется аудитором в «Аудиторском отчете».

Для формирования объективного окончательного мнения о действующей СВК процесса и снижения риска ошибок аудитора при проведении проверки рекомендуется предварительно формировать «Проект аудиторского отчета». Данный документ используется как предварительный черновой вариант «Аудиторского отчета», который предоставляется на согласование владельцу и участникам аудируемого бизнес-процесса, которые:

  • в случае наличия аргументированных документально подтвержденных возражений и замечаний предоставляют в СВА «Протокол разногласий по результатам аудита»;
  • в случае согласия с изложенными аудитором информацией и выводами предоставляют в СВА «План корректирующих мероприятий по результатам аудита», который должен предусматривать описание мероприятий, ответственных, сроки выполнения.

«Лучшей практикой» при согласовании материалов аудита является процедура проведения завершающего совещания между аудиторами и представителями аудируемого лица по уточнению окончательных мнений и позиций сторон по предмету проверки.

Стандартная форма «Аудиторского отчета» законодательно не определена. Поэтому данный рабочий документ СВА формируется аудитором по форме, разработанной непосредственно в самой компании, но должен отвечать требованиям объективности, ясности, лаконичности, конструктивности и своевременности.

Следует отметить, что положительно зарекомендовало себя на практике выделение в «Аудиторском отчете» отдельных тематических блоков – вводной и описательной частей.

В вводной части «Аудиторского отчета» аудитор представляет общую информацию о проверке, как то:

  • цель, объект и предметы проверки;
  • состав аудиторской группы, сроки проведения проверки.

Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

Для привлечения внимания высшего руководства компании к наиболее важным аспектам, выявленным при аудите, а также для упрощения процесса формирования отчетности СВА о деятельности службы рекомендуется обособить:

  • наиболее существенные выводы о недостатках организации анализируемого бизнес-процесса и системы внутреннего контроля;
  • рекомендации аудитора по устранению причин и снижению последствий наиболее высоких рисков, присущих данному процессу и оказывающих негативное влияние на достижение целей компании.

Для удобства восприятия заинтересованными пользователями результатов аудита целесообразно придерживаться следующей схемы представления информации:

  • описание предмета проверки (подпроцесса);
  • описание и оценка рисков, присущих данному подпроцессу;
  • описание и оценка фактически используемого воздействия на риски;
  • результаты фактически используемого воздействия на риск (по результатам аудиторского тестирования);
  • описание причин, обусловивших реализацию рисков;
  • описание и оценка последствий от реализации рисков;
  • рекомендации аудитора по управлению данными рисками за счет построения и оптимизации СВК данного подпроцесса.

Необходимо отметить, что если в ходе согласования «Проекта аудиторского отчета» достичь единого мнения с аудируемым не удалось, в окончательном «Аудиторском отчете» следует также указать мнение аудируемого с пояснением, почему его возражения не были приняты аудитором.

При формировании «досье аудита»6 необходимо к «Аудиторскому отчету» прилагать «Протокол разногласий по результатам аудита» и «План корректирующих мероприятий по результатам аудита».

Порядок подписания «Проекта аудиторского отчета» и «Аудиторского отчета» и доведения данных документов до заинтересованных пользователей должен быть регламентирован в ВНД, регулирующих организацию функции внутреннего аудита в компании. Как правило, данные рабочие документы по проверке авторизируются руководителем СВА, который и принимает решение о направлении данных документов заинтересованным пользователям.

Обычно окончательная версия «Аудиторского отчета» предоставляется:

  • заказчику аудита – лицу, инициировавшему данную проверку;
  • владельцу аудируемого бизнес-процесса;
  • другим заинтересованным пользователям на усмотрение руководителя СВА компании.

Следует отметить, что направление СВА окончательной редакции «Аудиторского отчета» заинтересованным пользователем является лишь промежуточным этапом проведения аудиторской проверки эффективности СВК бизнес-процессов. Только последующая совместная работа СВА и менеджмента компании может обеспечить надлежащее формирование и внедрение надежной СВК бизнес-процессов, обеспечивающую разумную уверенность в достижении стратегических целей компании и ее акционеров.

      2.4. Работа СВА с материалами аудита после утверждения окончательной редакции «Аудиторского отчета»

Работу СВА с материалами аудита после утверждения и доведения окончательной редакции «Аудиторского отчета» заинтересованным пользователям можно разделить на два типа:

  • работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов;
  • работа СВА с материалами аудита для удовлетворения собственных потребностей службы.
Работа СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов

Основное направление совместной работы СВА с менеджментом компании по построению и оптимизации СВК бизнес-процессов связано с контролем исполнения плана корректирующих мероприятий, необходимость которых была выявлена по результатам аудита. Контроль может осуществляться посредством:

  • анализа отчетов аудируемого объекта о выполнении запланированных корректирующих мероприятий;
  • проведения проверок объекта.

По результатам осуществления контрольных действий СВА формирует «Отчет об исполнении корректирующих мероприятий» по конкретной проверке с указанием выполнения мероприятий, их достаточности, своевременности и эффективности, который доводится до тех же лиц, кому направлялся ранее сам «Аудиторский отчет».

Другое направление совместной работы СВА с менеджментом компании связано с оказанием консалтинговой поддержки менеджменту. Как уже было отмечено выше, ответственным за формирование надежной СВК и поддержание надлежащего ее функционирования, согласно как российским, так и зарубежным принципам корпоративного управления, является высшее руководство компании. Тем не менее, как показывает практика, менеджменту компаний обычно требуются дополнительные специальные знания и помощь в таких областях управления, как внутренний контроль и управление рисками. В связи с этим СВА может привлекаться в качестве консультанта по вопросам тестирования вводимых процедур внутреннего контроля, оценки дизайна контроля, проверки исполнения процедур внутреннего контроля, а также обеспечить методологическую поддержку при организации процессов внутреннего контроля и управления рисками.

Работа СВА с материалами аудита для удовлетворения собственных потребностей службы

Информация, полученная в ходе проведения аудиторской проверки и последующего контроля исполнения корректирующих мероприятий по результатам аудита, является основой для решения задач, поставленных непосредственно перед самой СВА, как то:

  • своевременное формирование и предоставление отчетности о результатах аудиторской деятельности, существенных рисках, проблемах контроля и корпоративного управления в компании лицу (лицам), которому подотчетна СВА в компании согласно ВНД по организации внутреннего аудита (как правило, Комитет по аудиту при Совете директоров, Генеральный директор и др.);
  • планирование дальнейшей деятельности СВА.

Подводя итоги, можно констатировать следующее.

Построение надежной СВК, содействующей повышению эффективности бизнеса и защите интересов акционеров, является зоной ответственности менеджмента компании. Но даже хорошо выстроенная и организованная СВК нуждается в оценке своей эффективности как с точки зрения достижения поставленных целей, так и с точки зрения экономичности. Наиболее независимо и профессионально оценить надежность и эффективность существующей СВК бизнес-процессов компании, а так же предложить рекомендации по ее усовершенствованию может СВА.

Представленная в статье методика проведения внутренних аудиторских проверок, по сути, является руководством по построению процесса оценки СВК. При этом для организации эффективного практического применения данной методики требуется легализация во внутренних регламентирующих документах компании как порядка и инструментов проведения проверки, так и схемы взаимоотношений СВА и аудируемыми предприятиями /подразделениями.


  1. В ходе написания статьи были проанализированы положения Internal control Guidance for Directors on the Combined Code (The Institute of Chartered Accountants, in England & Wales); Кодекса корпоративного поведения ФКЦБ, Пособия по корпоративному управлению МФК, Международных профессиональных стандартов внутреннего аудита, кодексов корпоративного управления различных компаний.
  2. Например, в ОАО «УМЗ» – предприятии, входящем в состав ОАО «Концерн ПВО «Алмаз-Антей», крупнейшего военно-ориентированного предприятия РФ; ОАО «ПОЛАИР» – крупнейшем в России и Европе предприятии-производителе торгового холодильного оборудования и др.
  3. Перечень уполномоченных лиц, по решению которых СВА проводит аудиторские проверки, как правило, закреплен в «Положении о СВА компании» и зависит от уровня подчиненности СВА (в основном это Комитет по аудиту при Совете Директоров, Ревизионная комиссия, Генеральный директор либо Финансовый директор компании).
  4. Оценка рисков определяется как произведение коэффициентов вероятности реализации риска и значимости последствий от его реализации.
  5. Анализ эффективности контрольной процедуры проводится на предмет обеспечения разумной гарантии достижения соответствующих целей изучаемого бизнес-процесса.
  6. Досье аудита – полный пакет рабочих документов, аудиторских доказательств и др. документации аудитора по конкретной внутренней аудиторской проверке.

Приложение 1.

Оценка дизайна контроля бизнес-процесса «Поиск, оценка и выбор поставщика ТМЦ для основного производства»

СВА ОАО “Наименование компании”

Название аудита Аудит закупок ТМЦ для основного производства
Код бизнес-процесса ОП-3 (из утвержденного в компании классификатора бизнес-процессов)
№ аудита 2006/01

Бизнес-цель подпроцесса или операции

Риск, препятствующий достижению цели

Цель контроля данного риска

Тест 11

Контрольная процедура (из ВНД)

Тест 2

Контрольная процедура (факт)

Тест 3

Тест 4

Тест 5

Оценка СВК

1

2

3

4

5

6

7

8

9

10

11

12

13

1

Поиск, оценка и выбор поставщика ТМЦ для основного производства.

1.1

Потенциальный поставщик не знает о том, что компания нуждается в поставке ТМЦ, которыми он располагает. Убедиться в том, что информация о закупаемых ресурсах (их количестве, номенклатуре, сроках поставки и пр.) известна максимально широкому кругу поставщиков.

нет

Процедура оповещения потенциальных поставщиков о потребностях компании в ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

да

Специалист по закупкам отправляет заявки (оферты) всем потенциальным поставщикам необходимых ТМЦ из базы данных, отмечая в электронном документе номер отправленной заявки каждому поставщику.

нет

нет

нет

Ненадежная
1.2 Рассмотрены не все поступившие коммерческие предложения потенциальных поставщиков. Убедиться в том, что все ответы поставщиков приняты к рассмотрению

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных (п.2.1 Регламента «Выбор поставщика продукции и услуг производственного назначения»)

да

Специалист по закупкам в срок окончания приема ответов проводит сверку принятых оферт со списком направленных.

да

да

да

Надежная
1.3 В сводную таблицу оценки поставщиков внесена не полная или искаженная информация о потенциальных поставщиках необходимых ТМЦ. Убедиться в том, что получена достаточная информация о поставщике и условиях работы с ним.

нет

Процедура аккумулирования достоверной информации о потенциальных поставщиках ТМЦ для основного производства не формализована в действующем Регламенте «Выбор поставщика продукции и услуг производственного назначения».

нет

Фактически управление данным риском отсутствует.

нет

нет

нет

Ненадежная

  1. Тест 1 – убедиться в том, что в ВНД предусмотрена контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
    Тест 2 – убедиться в том, что фактически существует контрольная процедура, с помощью которой риск управляется и цель контроля данного риска будет достигнута.
    Тест 3 – убедиться в том, что контрольные процедуры из ВНД и фактически исполняемая идентичны.
    Тест 4 – убедиться в том, что регламентированная контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели.
    Тест 5 – убедиться в том, что фактически исполняемая контрольная процедура обеспечивает разумную гарантию достижения соответствующей бизнес-цели (тест по последствиям).

Добавить комментарий