Алексей Сонин, дипломированный внутренний аудитор (CIA),
дипломированный специалист по расследованию мошенничеств (CFE)
Исполнительный директор Института внутренних аудиторов
На протяжении последних лет в России наблюдался устойчивый рост интереса к внутреннему аудиту. Сегодня службы внутреннего аудита существуют в большинстве крупных и многих средних компаниях. Немало руководителей компаний, где таких подразделений еще нет, задумываются об их создании.
Интерес к внутреннему аудиту обусловлен, по нашему мнению, рядом факторов.
Во-первых, это желание и насущная необходимость для собственников и менеджмента упорядочить бизнес-процессы в компании, что во многих случаях может привести к весьма ощутимой экономии средств.
Во-вторых, это потребность совета директоров или другого наблюдательного органа в независимом и объективном источнике информации о состоянии дел в компании.
В-третьих, что особенно важно для развивающихся рынков, в частности, для России, наличие в компании внутреннего аудита является актуальным для собственников компаний, которые передают бразды правления в руки профессиональных управленцев, но при этом стараются «держать руку на пульсе».
Определение внутреннего аудита
Внутренний аудит, по определению международного Института внутренних аудиторов (The Institute of Internal Auditors), есть деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
Данное определение охватывает основные характеристики внутреннего аудита.
- Независимость и объективность. На этих двух фундаментальных качествах основывается профессия внутреннего аудитора. Под независимостью имеется в виду организационная независимость, которая определяется в значительной степени уровнем подчиненности службы внутреннего аудита в компании. Под объективностью понимается индивидуальное качество внутреннего аудитора, заключающееся в том, насколько аудитор беспристрастен в своих оценках и выводах.
- Совершенствование деятельности организации – это цель внутреннего аудита. Главное в деятельности внутреннего аудита — не выявить нарушения и ошибки для последующих оргвыводов и наказания виновных, не написать отчет в объеме нескольких десятков страниц, а увидеть и оценить риски, слабые стороны в работе организации и дать рекомендации, направленные на снижение уровня риска и повышение эффективности систем и процессов.
- Предоставление гарантий (англ. assurance) и консультаций (англ. consulting) заказчикам (клиентам) внутреннего аудита. Предоставление гарантий, в данном случае, есть объективный анализ аудиторских доказательств с целью осуществления независимой оценки и выражения мнения о достоверности информации и эффективности систем и процессов. Основное отличие консультирования от предоставления гарантий заключается в том, что в первом случае характер, объем работы и форму отчетности определяет клиент, а во втором – сам аудитор по согласованию с заказчиком. При этом сфера предоставления гарантий и консультаций за последние годы существенно расширилась и включает в себя:
- управление рисками,
- внутренний контроль,
- корпоративное управление.
Роль внутреннего аудита в компании
Насколько внутренний аудит нужен собственникам бизнеса? Чем внутренний аудит может быть полезен менеджерам компании? Решение о том, необходим ли в компании внутренний аудит, принимают собственники и высшее исполнительное руководство компании. Решение это определяется многими факторами, к которым относятся разделение функций владения и управления бизнесом, размеры и структурная разветвленность компании, географический разброс ее активов, уровень рисков, присущих деятельности компании.
Конечно, необходимость внутреннего аудита для компании должна диктоваться экономической целесообразностью. Для небольших компаний в наличии функции внутреннего аудита, вероятно, нет необходимости. Однако с ростом размеров компании и усложнением процессов управления у собственников-менеджеров может сложиться иллюзия, что, несмотря на все изменения, деятельность компании находится под контролем. Но на самом деле, руководство уже не в состоянии контролировать ситуацию во всей полноте. Тогда внутренний аудит оказывается весьма полезен.
Если в компании функции владения и управления разделены — собственники занимаются вопросами определения стратегии и направлений развития компании, не вникая в детали ведения дел, а для управления компанией нанимают квалифицированных менеджеров, — актуальным для собственников становится вопрос контроля за состоянием дел в компании, деятельностью менеджмента. Как говорится, доверяй, но проверяй. (Заметим, что в основе развития теории корпоративного управления лежит именно эта проблема – так называемая проблема принципала-агента. Она заключается в том, что собственник, владея собственностью, ею не управляет, а менеджер, хотя и управляет собственностью, не владеет ею. При этом устремления и действия менеджмента отнюдь не всегда отвечают интересам самих собственников.) В этом случае внутренний аудит становится неотъемлемым компонентом системы корпоративного управления в качестве одного из наиболее действенных инструментов контроля со стороны собственников над деятельностью наемного руководства компании.
Внутренний аудит необходим не только собственникам, но и менеджменту компании. Задача менеджеров — управлять бизнесом, достигая поставленных целей наиболее эффективным образом. Успешность выполнения этой задачи зависит в значительной степени от двух факторов:
- обладает ли менеджер информацией, необходимой для принятия правильных управленческих решений;
- существует ли эффективная система контроля выполнения принятых решений.
Сами менеджеры, для которых управление бизнесом является частью повседневной работы, не всегда способны объективно оценить ситуацию. Даже если менеджер считает, что эффективно контролирует все процессы, у него, как правило, нет времени и специфических навыков для сбора и структурирования соответствующей информации. Внутренний аудит в силу своей специфики обладает информацией по всем аспектам деятельности компании и инструментарием для обобщения и анализа данных. Поэтому тесное взаимодействие со службой внутреннего аудита повышает эффективность принятия решений менеджментом. Именно внутренний аудит является тем объективным источником информации, помогающим менеджеру по-новому, «не замыленным глазом» посмотреть на вещи и оценить качество выполнения принятых управленческих решений.
Роль внутреннего аудита особенно важна для холдинговых компаний и компаний с разветвленной филиальной сетью. Значимость внутреннего аудита в этом случае определяется необходимостью для головной/материнской компании получать своевременную и объективную информацию о деятельности филиалов/дочерних компаний. А они, в свою очередь, также получают немалую пользу от внутреннего аудита. Во-первых, происходит ознакомление в рамках всей компании с лучшими практиками в работе отдельных подразделений, носителем которых, в силу специфики своей деятельности, является внутренний аудит. Во-вторых, внутренний аудит способствует более глубокому пониманию в филиалах/дочерних компаниях политик и процедур головной/материнской компании.
Сколько нужно органов контроля
Внутренний аудит является составной частью системы внутреннего контроля компании. Будучи частью целого, внутренний аудит оценивает эффективность системы в целом. Таким образом, он играет роль обратной связи, которая делает систему устойчивой и позволяет настраиваться в зависимости от происходящих изменений.
Сколько и какие органы контроля иметь в компании – определяется, в первую очередь, требованиями законодательства. Например, для акционерных обществ законодательством предусмотрено наличие совета директоров (наблюдательного совета) и ревизионной комиссии.
Собственники и менеджмент компании, исходя из своих потребностей, могут создавать и другие органы контроля. Выбор богатый: контрольно-ревизионная служба, служба внутреннего контроля, служба внутреннего аудита, служба безопасности, отдел контроля качества. Другое дело, что, подчас, по-разному называющиеся органы контроля в значительной мере дублируют работу друг друга. Это, как правило, приводит к экономической неэффективности их деятельности.
Немалую роль в принятии решения о структуре органов контроля играет состояние контрольной среды в компании и, если говорить более широко, уровень развития ее корпоративной культуры.
Если системы внутреннего контроля и управления рисками не выстроены или работают неэффективно, поле деятельности для внутреннего аудита очень сильно сужается, поскольку задача внутреннего аудита — оценить эффективность этих систем. В данном случае первоочередной задачей для менеджмента компании является проектирование и внедрение системы контроля. Этим занимаются службы внутреннего контроля или контрольно-ревизионные службы.
Поскольку построение системы внутреннего контроля есть процесс трудоемкий и длительный, наличие в компании отдельного контрольно-ревизионного подразделения (контрольно-ревизионной службы) является объективной необходимостью на определенном этапе. Данное подразделение приобретает особую значимость, если у руководства компании нет возможности и/или желания строить эффективную систему контроля и создавать высокоразвитую корпоративную культуру. В данном случае контрольно-ревизионное подразделение будет фокусироваться на выявлении ошибок и злоупотреблений, исполняя роль корпоративного полицейского в «чистом виде». Но следует помнить, что ревизионная деятельность, по своей сути, направлена на ретроспективу, т. е. на уже произошедшие события и их последствия. Внутренний аудит ориентирован на перспективу, т. е. на анализ будущих событий, которые могут неблагоприятным образом сказаться на деятельности отдельных подразделений и/или компании в целом.
Иначе говоря, ревизия оценивает последствия уже материализовавшихся рисков, в то время как внутренний аудит оценивает возможность и предлагает пути снижения рисков и/или негативных эффектов их воздействия. Наличие в компании контрольно-ревизионного подразделения ни в коей мере не означает ненадобности во внутреннем аудите. Все определяется тем, на каком этапе своего развития находится компания и в каком направлении, с точки зрения внутренней корпоративной культуры, она будет двигаться.
Хотелось бы заметить, что во многих случаях исполнительное руководство склонно рассматривать внутренний аудит как ресурс, решающий управленческие задачи по построению системы контроля. Это приводит к неэффективному использованию потенциала внутреннего аудита и не может не сказаться на степени его объективности при последующей оценке надежности и эффективности системы контроля. Другое дело, что внутренний аудит может стать лучшим помощником менеджмента в вопросе построения системы контроля, оказывая консультационную поддержку в ходе разработки (внедрения) политик и процедур контроля.
Таблица 1. Разграничение ответственности в системе внутреннего контроля
Ответственность за общее состояние контроля | Создание среды контроля | Утверждение политик/процедур контроля | Осуществление контрольных мероприятий | Оценка надежности и эффективности контроля | |
Высшее руководство | X | X | X политики | ||
Руководители подразделений | X | X процедуры | X | ||
Сотрудники | X | ||||
Внутренний аудит | X |
Современный внутренний аудит способен и должен выполнять разнообразные и масштабные задачи. Внутренний аудит:
- оценивает систему внутреннего контроля в части достоверности информации, соблюдения законодательства, сохранности активов, эффективности и результативности деятельности отдельных операционных и структурных подразделений и компании в целом,
- оценивает эффективность системы управления рисками и предлагает методы контроля рисков,
- оценивает соответствие системы корпоративного управления компании принципам корпоративного управления.
Фокус на риски
Сегодня происходит трансформация внутреннего аудита в инструмент оценки рисков, наблюдается смещение акцентов от оценки отдельных операций к оценке рисков в деятельности компании в целом.
Нынешняя среда, как внутренняя, так и внешняя очень динамична, и это отражается на скорости и масштабности изменения рисков. Компании сталкиваются с рисками самого широкого спектра — падение спроса, потеря ликвидности, срывы в поставках сырья и материалов, трудности с кредитованием, рост внутренней напряженности среди сотрудников компании и др. Не говоря о многократно возрастающих в текущей ситуации рисках различного рода злоупотреблений, в том числе хищений и фальсификации отчетности. При этом, те риски, которые стояли во всей остроте еще пару месяцев назад, могли уступить место совсем иным, еще более существенным рискам.
В этих условиях внутренним аудиторам прежде всего следует представить ключевым заказчикам — советам директоров и высшему исполнительному руководству свою оценку наиболее серьезных рисков и предложить принять активное участие в процессе управления рисками.
Формы и способы такого участия могут быть самые разнообразные, например:
- участие в обсуждении соответствующих вопросов на заседаниях различных комиссий и комитетов,
- проведение рабочих встреч с руководителями различного уровня,
- содействие менеджменту в перестройке системы внутреннего контроля, необходимость в которой возникает в связи с сокращением персонала и статей расходов, оказывающих прямое влияние на состояние контроля в организации.
Безусловно, внутренний аудит в своей деятельности не должен подменять менеджмент компании, и это следует четко оговорить с заказчиками.
Внутренний и внешний аудиты
Решение о необходимости внутреннего аудита не должно определяться наличием у компании внешнего аудитора, поскольку внешний и внутренний аудиты выполняют разные функции.
Во-первых, внешний аудит традиционно занимается подтверждением достоверности финансовой отчетности компании и фокусируется на операциях и событиях, могущих оказать материальное воздействие на финансовую отчетность компании. Внутренний аудит направлен, прежде всего, на оценку существующих систем контроля и управления рисками компании и фокусируется на операциях и событиях, препятствующих эффективному достижению компанией поставленных целей. Во-вторых, внешний аудит, в рамках оказания аудиторских услуг, не делает оценку эффективности деятельности (операционной эффективности), что обычно является одной из задач аудита внутреннего. В-третьих, внешний аудит служит, в первую очередь, интересам внешних заинтересованных сторон — потенциальных инвесторов, кредиторов и др., в то время как внутренний аудит служит, прежде всего, интересам советов директоров и исполнительного руководства компании.
Следует подчеркнуть, что эффективный внутренний аудит может снизить затраты компании на внешний аудит (если внешний аудитор будет иметь возможность полагаться на результаты работы внутреннего аудита, что сократит объем аудиторских процедур, выполняемых внешним аудитором), но не может отменить необходимость внешнего аудита для компании.
Таблица 2. Сравнительные характеристики внешнего и внутреннего аудитов
Внешний аудит | Внутренний аудит | |
Цель | Выразить мнение о достоверности финансовой отчетности компании | Повышение эффективности деятельности компании |
Основные пользователи |
Инвесторы, кредиторы, государственные органы | Совет директоров, менеджмент |
Объект аудита |
Финансово-бухгалтерская отчетность компании | Системы внутреннего контроля, управления рисками, корпоративного управления |
Специфика | Фокусируется на операциях и событиях, способных оказать существенное воздействие на финансовую отчетность компании; не рассматривает вопросы экономической обоснованности управленческих решений | Фокусируется на событиях, препятствующих эффективному достижению компанией поставленных целей; дает оценку экономической обоснованности управленческих решений |
Периодичность | По окончании отчетного периода | Непрерывно на основе плана аудитов |
Организация службы внутреннего аудита
Сама функция внутреннего аудита может быть реализована несколькими способами. Причем чтобы пользоваться преимуществами, которые дает компании эффективный внутренний аудит, не обязательно создавать отдельную службу. Им с успехом может заниматься внешний консультант или специализированная компания (кроме случаев, когда служба внутреннего аудита в компании обязательна по законодательству) – это так называемый аутсорсинг (или ко-сорсинг) функции. И у аутсорсинга и у ко-сорсинга есть свои преимущества и недостатки, на которых мы не будем здесь подробно останавливаться. Кажем лишь, что к аутсорсингу и ко-сорсингу прибегают различные организации. Это могут быть как небольшие фирмы, у которых нет достаточных финансовых ресурсов для создания собственной службы внутреннего аудита, так и крупные компании. Последним такие услуги, как правило, нужны для аудита какой-либо специфической области (например, такой как информационные технологии или капитальное строительство). Кроме того, дополнительные аудиторские ресурсы могут потребоваться в пиковые периоды нагрузки на штатных аудиторов.
А теперь остановимся на вопросе создания собственной службы внутреннего аудита (СВА).
При организации СВА, прежде всего, необходимо определить ее подчиненность. И в России, и за рубежом используются различные подходы в этом вопросе. Наилучшим вариантом считается функциональное подчинение руководителя СВА комитету по аудиту совета директоров, либо напрямую совету директоров компании. В этом случае достигается высокий уровень независимости внутренних аудиторов от исполнительного руководства, что позволяет, при прочих равных условиях, максимально использовать потенциал СВА. Если данный вариант по каким-либо причинам не может быть реализован, то следует, чтобы подразделение внутреннего аудита подчинялось высшему должностному лицу компании (президенту, генеральному директору).
Однако вопрос подчиненности руководителя службы внутреннего аудита как способа обеспечения независимости внутреннего аудита является одним из наиболее дискуссионных в практике деятельности как российских, так и иностранных внутренних аудиторов.
На вопрос «кому должен подчиняться внутренний аудит, чтобы быть максимально эффективным?» нет универсального ответа. Ответ определяется сочетанием многих факторов, среди которых выделим профессионализм совета директоров и компетентность менеджмента, характер взаимоотношений и степень взаимодействия совета директоров и исполнительных органов компании, уровень развития корпоративной культуры в компании.
Немаловажным является и то, какие задачи решает в компании внутренний аудит. Если его основная задача состоит в осуществлении контрольно-ревизионной деятельности, то логичным представляется подчинение высшему исполнительному руководству компании, поскольку в данном случае служба внутреннего аудита есть инструмент контроля над деятельностью менеджмента со стороны высшего исполнительного руководства.
В случае если внутренний аудит рассматривается как компонент системы корпоративного управления, позволяющий совету директоров (комитету по аудиту) эффективно выполнять свои обязанности, оправданным видится подчинение службы внутреннего аудита именно совету директоров (комитету по аудиту). Как мы уже говорили, в этой ситуации совет директоров (комитет по аудиту) способствует обеспечению максимальной степени независимости службы внутреннего аудита от менеджмента компании. Со своей стороны служба внутреннего аудита (наряду с внешним аудитором) позволяет совету директоров сохранять достаточную степень независимости от менеджмента в вопросе получения информации о деятельности компании. Очевидно, что эти вопросы взаимосвязаны, поскольку роль объективного источника информации для совета директоров (комитета по аудиту) внутренний аудит сможет выполнять лишь при условии максимальной независимости от исполнительного руководства (включая вопросы назначения на должность, вознаграждения, оценки работы руководителя и сотрудников службы внутреннего аудита и т.п.).
Является ли подчинение службы внутреннего аудита совету директоров (комитету по аудиту) гарантией ее независимости и способствует ли оно максимизации ее полезности для компании?
Многое зависит от роли, состава и профессионального уровня членов совета директоров (комитета по аудиту). Подчинение внутреннего аудита совету директоров оправданно в том случае, если, во-первых, совет директоров является самостоятельным органом, а не номинальным проводником идей и предложений исполнительного руководства организации; во-вторых, в состав совета директоров входят независимые директора; в-третьих, члены совета директоров осознают роль и значение внутреннего аудита в компании.
Говоря о структуре и численности службы внутреннего аудита, следует заметить, что не существует единой («шаблонной») организации службы. В каждом конкретном случае структура и численность СВА определяются индивидуально, на основе различных факторов. Первый из них – это цели и задачи, которые ставит перед внутренним аудитом руководство компании. Второй фактор — зрелость контрольной среды в компании. И, наконец, географическая разветвленность компании и разбросанность ее структурных подразделений.
К сожалению, во многих случаях структура и численность службы внутреннего аудита определяются величиной выделенного бюджета. И часто при этом не учитываются другие факторы.
Оценка эффективности внутреннего аудита
Как же оценить эффективность внутреннего аудита? Эта задача весьма нетривиальна. Дело в том, что, во-первых, результат не всегда измерим количественно. Во-вторых, эффективность зависит не только от самих аудиторов, но, в значительной степени, от последующих действий заказчиков (клиентов). И, в-третьих, играет роль субъективизм оценок заказчиков (клиентов).
Для анализа продуктивности аудита следует использовать качественные и количественные показатели. Они должны определять динамику выполнения годового плана по внутреннему аудиту и затраты СВА по проектам. Кроме того, система показателей должна позволять оценить степень удовлетворенности заказчиков (клиентов) от выполненной аудиторами работы.
Каждая компания сама определяет критерии эффективности деятельности СВА. Состав и целевые значения показателей устанавливает начальник СВА по согласованию с руководством. При этом основные заказчики (совет директоров и высшее исполнительное руководство) могли бы оценивать деятельность СВА по трем-четырем показателям. С другой стороны, руководитель СВА мог бы оценивать деятельность возглавляемой службы по большему числу показателей. К показателям эффективности деятельности внутреннего аудита могут относиться, например, следующие:
- выполнение утвержденного плана аудитов,
- количество выявленных значительных рисков,
- процент принятых и выполненных менеджментом аудиторских рекомендаций,
- экономический эффект от внедрения рекомендаций
- количество повторных аудиторских рекомендаций,
- удовлетворенность заказчиков (клиентов) аудита.
Наряду с процедурой периодической оценки эффективности службы внутреннего аудита, должна существовать программа повышения качества ее работы. К проводимым в рамках этой программы мероприятиям относятся:
- текущий контроль (мониторинг) качества внутренних аудитов. Его проводят руководитель и менеджеры СВА в ходе проведения аудитов. Мониторинг направлен на то, чтобы деятельность внутренних аудиторов соответствовала процедурам и регламентам компании и самой СВА. Также он позволяет руководителю СВА удостовериться в том, что аудиторы выполняют аудиторские задания на должном профессиональном уровне;
- внутренние оценки, проводимые не реже одного раза в год руководителем и менеджерами СВА. Их цель — выявить собственными силами резервы для совершенствования деятельности каждого внутреннего аудитора и всей службы в целом;
- внешние оценки, проводимые не реже одного раза в 5 лет. Их осуществляют структуры, которые по отношению к службе внутреннего аудита являются сторонними. В этом качестве обычно выступают авторитетные внешние консультанты или аудиторы. Внешние оценки особенно ценны тем, что позволяют получить «взгляд со стороны» на качество работы внутреннего аудита.
Стоит отметить, что подход к повышению качества внутреннего аудита должен быть комплексным. Только выполнение всех вышеперечисленных мероприятий будет в наибольшей степени способствовать совершенствованию работы СВА.
Как стать внутренним аудитором
Прежде всего, отметим, что работа во внутреннем аудите дает прекрасную возможность изучить все аспекты бизнеса компании, что является неоценимым преимуществом для профессионального и карьерного роста, а также способствует приобретению навыков и качеств, необходимых для успешного менеджера. Во многих компаниях работа во внутреннем аудите рассматривается, как наилучшая подготовка для кандидатов занять в будущем руководящие должности в компании. Работа во внутреннем аудите позволяет познакомиться с сотрудниками компании, выполняющими самые разнообразные функции, и установить рабочие отношения с менеджерами всех уровней. Внутренние аудиторы, участвуя в выполнении разноплановых аудиторских заданий, получают глубокие знания о деятельности всех подразделений и способность увидеть работу компании в целом. В результате, они становятся генераторами свежих идей и конструктивных предложений и вырабатывают представление о том, как и в каком направлении должна развиваться компания.
И еще одно наблюдение. Внутренние аудиторы обладают высоким уровнем компетентности в вопросах внутреннего контроля и управления рисками, хорошо разбирающихся в вопросах подготовки финансовой отчетности. Именно эти знания необходимы в первую очередь для эффективной работы каждому члену комитета по аудиту. Таким образом, опыт работы во внутреннем аудите становится серьезным преимуществом кандидатов в состав комитета по аудиту совета директоров акционерного общества. Какими знаниями, навыками и качествами должен обладать специалист по внутреннему аудиту?
Прежде всего, важно понимать роль внутреннего аудита, знать стандарты деятельности и методологию внутреннего аудита. Непременным условием является знание принципов управления, а также владение базовыми знаниями в общих дисциплинах, таких как бухгалтерский учет, финансовый анализ, право. Понадобятся внутреннему аудитору и специальные знания в таких областях, как, например, расследование мошенничеств, сделки по слияниям и поглощениям, капитальные проекты и др. Безусловно, необходимо знать и понимать отраслевую специфику бизнеса.
Важнейшее качество внутреннего аудитора — профессиональный скептицизм, заключающееся в том, что внутренний аудитор не принимает на веру различные утверждения, а старается найти им подтверждение, самостоятельно получая ответы на возникающие вопросы. Внутренний аудитор должен обладать также следующими качествами и навыками:
- объективность,
- здравость суждений,
- хорошие аналитические способности,
- развитые коммуникативные навыки (умение «слушать» и «слышать»; умение четко выражать мысли и отстаивать свою точку зрения),
- работоспособность,
- умение работать в группе (команде).
Большинство из перечисленных качеств и навыков можно развить со временем, а их необходимый набор определяется в каждом конкретном случае, исходя из роли внутреннего аудита в компании и задач, поставленных перед внутренними аудиторами.
Второй вопрос: как становятся внутренними аудиторами в России? По нашей оценке, в большинстве случаев во внутренний аудит приходят из финансовых и контрольно-ревизионных подразделений компаний. Однако немало внутренних аудиторов ранее работали в операционных подразделениях своих компаний.
Сегодня на рынке труда наблюдается дефицит высококвалифицированных специалистов в области внутреннего аудита. С сожалением отметим, что не происходит в достаточной степени подпитки профессии молодыми кадрами, поскольку программы высших учебных заведений не предусматривают подготовку по специальности «внутренний аудитор», а вопросы внутреннего аудита кратко рассматриваются как часть курса по бухгалтерскому учету и аудиту.
Но спрос рождает предложение. Все большее число специалистов выбирают внутренний аудит в качестве своей основной профессии, увеличивается количество студентов, заинтересованных в углубленном изучении этого предмета, а ВУЗы начинают задумываться о его выделении в отдельный курс.
Что такое внутренний аудит компании
Внутренний аудит — это система контроля происходящего на предприятии. Его организуют непосредственно в компании.
Если не относиться к проверкам формально и не выполнять их лишь для галочки, то они могут рассказать много интересного о вашем предприятии. Также внутренний аудит часто проводят, когда компания находится на пороге изменений. Инвестор или новый партнер наверняка захочет знать подробности о состоянии организации.
Ну сухом языке закона аудит — это независимая проверка бухгалтерской (финансовой) отчетности и оценка ее достоверности.
Регулярный внутренний контроль — прямая обязанность любой компании, которая ведет бухгалтерский учет. Это касается всех форм организации бизнеса, кроме индивидуальных предпринимателей.
Есть категории организаций, для которых аудиторская проверка обязательна, а требования к проверяющим определяет министерство финансов. К таким юрлицам относятся:
- госкомпании;
- инвестиционные фонды;
- АО, среди акционеров которого государство, регион или муниципальное образование;
- банки;
- МФО;
- бюро кредитных историй;
- и другие.
Предприятия, которые нельзя отнести к этим категориям, могут самостоятельно определять, с какой частотой проводить проверки и чьими силами — собственных сотрудников или наемных аудиторов.
Цели и задачи
Цель внутреннего финансового аудита — выявить и оценить риски, с которыми может столкнуться предприятие. А также определить потенциал изменения бизнес-процессов, чтобы повысить эффективность производства.
Задачи внутренней проверки можно определить так:
- выявить проблемные участки бизнес-процессов, которые негативно влияют на результаты работы;
- найти системные ошибки, недочеты, а также злоупотребления;
- определить возможные риски и предложить пути их минимизации;
- дать руководству представление о положении дел на предприятии;
- оценить эффективность работы подразделений;
- проконтролировать соблюдение стандартов управления, принятых в компании;
- убедиться в достоверности отчетности;
- найти потенциал для оптимизации ресурсов.
Виды внутренней проверки
Есть несколько разновидностей аудита, у каждой из них свои задачи.
- Финансовый. Внимание — на бухгалтерскую отчетность. Главная цель — оценить эффективность расходов. Также важно обратить внимание на налоги: насколько правильно и своевременно их оплачивают, всегда ли вовремя передают отчетность в налоговую службу, оптимален ли налоговый режим. Возможные нарушения лучше найти и устранить самостоятельно, не дожидаясь штрафов от профильного ведомства.
- Операционный. Акцент на контроль бизнес-процессов: насколько эффективно выстроена работа структурных подразделений, выполняются ли планы, удается ли придерживаться смет, нет ли злоупотреблений со стороны сотрудников.
- Криминальный — выявление рисков, связанных с нарушением закона. Слабые места — налоговый учет и обязательные отчисления в бюджет разного уровня.
- Аудит соответствия. Главный вопрос — насколько тщательно соблюдаются законодательство и отраслевые нормы регулирования? Позволяет понять, что ждет организацию в случае внеплановой проверки, например, пожарной или трудовой инспекции. На крупных предприятиях с развитой филиальной сетью также важно отслеживать, удается ли придерживаться корпоративной политики на местах.
- Экологический аудит актуален для производственных предприятий. Цель — определить, соблюдает ли предприятие требования норм по защите окружающей среды.
- Аудит информационных технологий. С ростом цифровизации и автоматизации многих процессов увеличивается значимость именно этого вида проверки. Важно периодически оценивать безопасность и эффективность управления в информационной системе предприятия.
Как организовать внутренний аудит
Внутренний контроль регламентируют учредительные документы компании. Детали зависят от масштабов организации, ее структуры, выбранной системы документооборота.
Кто
Закон не ограничивает круг потенциальных проверяющих. Министерство финансов оговаривает несколько вариантов:
- руководитель, это рабочий вариант для небольшого предприятия;
- комиссия из сотрудников, чья квалификация позволяет проводить инспекцию;
- специально созданный и постоянно функционирующий отдел. Оправданно для крупных организаций.
При этом для аудита бизнеса любого масштаба допустимы специалисты, приглашенные со стороны.
Виктор Котыхов, исполнительный директор IT-компании «Энтера»:
«Чтобы сделать внутренний аудит более эффективным, можно привлечь внешних специалистов, которые помогут взглянуть на внутренние процессы компании со стороны.
Если у вас есть возможность организовать отдел внутреннего аудита, постарайтесь построить его работу так, чтобы он был независим от других подразделений. Лучше, чтобы собранные данные он передавал только руководству. Таким образом можно избежать конфликта интересов внутри компании.
Нельзя забывать и про современные средства цифровизации и автоматизации, которые стали активно внедрять в свои бизнес-процессы компании. Например, современные ERP системы помогут оценить эффективность каждого из отделов в зависимости от их метрик и KPI.
Эффективность и точность аудита повысят электронные архивы. Документы в таком формате намного лучше структурированы, и к ним проще получить доступ».
Как часто
Периодичность проверки устанавливает руководитель предприятия.
Важно исходить из потребностей компании и ее возможностей. Если организация небольшая и для проверки придется отвлекать сотрудников от их основных обязанностей, частые ревизии вряд ли целесообразны.
Однако если речь идет о крупном предприятии, где аудитом занимается специально выделенное структурное подразделение, то проверки можно проводить несколько раз в год.
Для большинства ситуаций оптимальная частота — один раз в квартал. Такая периодичность актуальна для проверки налоговых отчислений и бухгалтерской отчетности в целом.
Этапы
Основанием для начала проверки служит приказ. В документе следует указать: дату проведения, ответственное лицо, условия работы аудитора.
В проведении внутренней инспекции можно выделить следующие этапы.
- Составление плана. Нужно подготовить методическую основу для работы проверяющих. В ней описывают цели и объекты проверки, процедуру, распределение функций между внутренними и внешними специалистами (если их привлекают к работе), критерии, по которым будут оценивать результаты аудита.
- Начало аудита. Важно правильно выстроить взаимодействие аудиторов и сотрудников, рассказать, что их ждет, почему проводится проверка, каковы ее сроки, а также открыто ответить на вопросы.
- Собственно процедура проверки.
- Подведение итогов. Как правило, отчет по результатам проверки предоставляют руководству предприятия или собственнику бизнеса.
Итог аудита
В отчет о внутренней аудиторской проверке обычно включают следующую информацию:
- сведения о предприятии (название, адрес, организационно-правовая форма);
- данные проверяющего;
- предмет проверки — например, это может быть перечень проверенной отчетности;
- перечисление действий, которые предпринял аудитор;
- заключение. Пожалуй, это самая интересная часть. В ней описывают найденные нарушения с отсылкой на документ, в котором они обнаружены, и на источник, который регламентирует проблемный бизнес-процесс.
Также в заключении указывают список мер, призванных устранить обнаруженные ошибки, нарушения и злоупотребления.
При правильной организации внутренний аудит на предприятии поможет избежать множества неприятных сюрпризов и сделает работу компании более эффективной.
Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control and governance processes.[1] Internal auditing might achieve this goal by providing insight and recommendations based on analyses and assessments of data and business processes.[2] With commitment to integrity and accountability, internal auditing provides value to governing bodies and senior management as an objective source of independent advice. Professionals called internal auditors are employed by organizations to perform the internal auditing activity.
The scope of internal auditing within an organization may be broad and may involve topics such as an organization’s governance, risk management and management controls over: efficiency/effectiveness of operations (including safeguarding of assets), the reliability of financial and management reporting,[3][4] and compliance with laws and regulations. Internal auditing may also involve conducting proactive fraud audits to identify potentially fraudulent acts; participating in fraud investigations under the direction of fraud investigation professionals, and conducting post investigation fraud audits to identify control breakdowns and establish financial loss.
Internal auditors are not responsible for the execution of company activities; they advise management and the board of directors (or similar oversight body) regarding how to better execute their responsibilities. As a result of their broad scope of involvement, internal auditors may have a variety of higher educational and professional backgrounds.
The Institute of Internal Auditors (IIA) is the recognized international standard setting body for the internal audit profession and awards the Certified Internal Auditor designation internationally through rigorous written examination. Other designations are available in certain countries.[5] In the United States the professional standards of the Institute of Internal Auditors have been codified in several states’ statutes pertaining to the practice of internal auditing in government (New York State, Texas, and Florida being three examples). There are also a number of other international standard setting bodies.
Internal auditors work for government agencies (federal, state and local); for publicly traded companies; and for non-profit companies across all industries. Internal auditing departments are led by a chief audit executive (CAE) who generally reports to the audit committee of the board of directors, with administrative reporting to the chief executive officer (In the United States this reporting relationship is required by law for publicly traded companies).
History of internal auditing[edit]
The internal auditing profession evolved steadily with the progress of management science after World War II. It is conceptually similar in many ways to financial auditing by public accounting firms, quality assurance and banking compliance activities. While some of the audit technique underlying internal auditing is derived from management consulting and public accounting professions, the theory of internal auditing was conceived primarily by Lawrence Sawyer (1911–2002), often referred to as «the father of modern internal auditing»;[6] and the current philosophy, theory and practice of modern internal auditing as defined by the International Professional Practices Framework (IPPF) of the Institute of Internal Auditors owes much to Sawyer’s vision.
With the implementation in the United States of the Sarbanes–Oxley Act of 2002, the profession’s exposure and value was enhanced, as many internal auditors possessed the skills required to help companies meet the requirements of the law[citation needed]. However, the focus by internal audit departments of publicly traded companies on SOX related financial policy and procedures derailed progress made by the profession in the late 20th century toward Larry Sawyer’s vision for internal audit. Beginning in about 2010, the IIA once again began advocating for the broader role internal auditing should play in the corporate arena, in keeping with the IPPF’s philosophy.[7]
Organizational independence[edit]
While internal auditors are hired directly by their company, they can achieve independence through their reporting relationships. Independence and objectivity are a cornerstone of the IIA professional standards; and are discussed at length in the standards and the supporting practice guides and practice advisories. Professional internal auditors are mandated by the IIA standards to be independent of the business activities they audit. This independence and objectivity are achieved through the organizational placement and reporting lines of the internal audit department. Internal auditors of publicly traded companies in the United States are required to report functionally to the board of directors directly, or a sub-committee of the board of directors (typically the audit committee), and not to management except for administrative purposes.
The required organizational independence from management enables unrestricted evaluation of management activities and personnel and allows internal auditors to perform their role effectively. Although internal auditors are part of company management and paid by the company, the primary customer of internal audit activity is the entity charged with oversight of management’s activities. This is typically the audit committee, a committee of the board of directors.
Organizational independence is effectively achieved when the chief audit executive reports functionally to the board. Examples of functional reporting to the board involve the board:[8]
Approving the internal audit charter; Approving the risk based internal audit plan; Approving the internal audit budget and resource plan; Receiving communications from the chief audit executive on the internal audit activity’s performance relative to its plan and other matters; Approving decisions regarding the appointment and removal of the chief audit executive; Approving the remuneration of the chief audit executive; and Making appropriate inquiries of management and the chief audit executive to determine whether there are inappropriate scope or resource limitations.
Role in internal control[edit]
Internal auditing activity is primarily directed at evaluating internal control. Under the COSO Internal Control Framework, internal control is broadly defined as a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of the following core objectives for which all businesses strive:
- Effectiveness and efficiency of operations.
- Reliability of financial and management reporting.
- Compliance with laws and regulations.
- Safeguarding of Assets
Management is responsible for internal control, which comprises five critical components: the control environment; risk assessment; risk focused control activities; information and communication; and monitoring activities. Managers establish policies, processes, and practices in these five components of management control to help the organization achieve the four specific objectives listed above. Internal auditors perform audits to evaluate whether the five components of management control are present and operating effectively, and if not, provide recommendations for improvement.
In the United States, the internal audit function independently assesses management’s system of internal control and reports its results to top management and the company’s audit committee of the board of directors.
Role in risk management[edit]
Internal auditing professional standards require the function to evaluate the effectiveness of the organization’s Risk management activities. Risk management is the process by which an organization identifies, analyses, responds, gathers information about, and monitors strategic risks that could actually or potentially impact the organization’s ability to achieve its mission and objectives.
Under the COSO enterprise risk management (ERM) Framework, an organization’s strategy, operations, reporting, and compliance objectives all have associated strategic business risks – the negative outcomes resulting from internal and external events that inhibit the organization’s ability to achieve its objectives. Management assesses risk as part of the ordinary course of business activities such as strategic planning, marketing planning, capital planning, budgeting, hedging, incentive payout structure, credit/lending practices, mergers and acquisitions, strategic partnerships, legislative changes, conducting business abroad, etc. Sarbanes–Oxley regulations require extensive risk assessment of financial reporting processes. Corporate legal counsel often prepares comprehensive assessments of the current and potential litigation a company faces. Internal auditors may evaluate each of these activities, or focus on the overarching process used to manage risks entity-wide. For example, internal auditors can advise management regarding the reporting of forward-looking operating measures to the board, to help identify emerging risks; or internal auditors can evaluate and report on whether the board and other stakeholders can have reasonable assurance the organization’s management team has implemented an effective enterprise risk management program.
In larger organizations, major strategic initiatives are implemented to achieve objectives and drive changes. As a member of senior management, the chief audit executive (CAE) may participate in status updates on these major initiatives. This places the CAE in the position to report on many of the major risks the organization faces to the audit committee, or ensure management’s reporting is effective for that purpose.
The internal audit function may help the organization address its risk of fraud via a fraud risk assessment, using principles of fraud deterrence. Internal auditors may help companies establish and maintain Enterprise Risk Management processes.[9] This process is highly valued by many businesses for establishing and implementing effective management systems and ensuring quality is maintained & professional standards are met[10] Internal auditors also play an important role in helping companies execute a SOX 404 top-down risk assessment. In these latter two areas, internal auditors typically are part of the risk assessment team in an advisory role.
Role in corporate governance[edit]
Internal auditing activity as it relates to corporate governance has in the past been generally informal, accomplished primarily through participation in meetings and discussions with members of the board of directors. According to COSO’s ERM framework, governance is the policies, processes and structures used by the organization’s leadership to direct activities, achieve objectives, and protect the interests of diverse stakeholder groups in a manner consistent with ethical standards. The internal auditor is often considered one of the «four pillars» of corporate governance, the other pillars being the board of directors, management, and the external auditor.[11]
A primary focus area of internal auditing as it relates to corporate governance is helping the audit committee of the board of directors (or equivalent) perform its responsibilities effectively. This may include reporting critical management control issues, suggesting questions or topics for the audit committee’s meeting agendas, and coordinating with the external auditor and management to ensure the committee receives effective information. In recent years, the IIA has advocated more formal evaluation of corporate governance, particularly in the areas of board oversight of enterprise risk, corporate ethics, and fraud.
See also § Three lines of defence below.
Audit project selection or «annual audit plan»[edit]
Based on the risk assessment of the organization, internal auditors, management and oversight boards determine where to focus internal auditing efforts. This focus or prioritization is part of the annual/ multi-year annual audit plan. The audit plan is typically proposed by the CAE (sometimes with several options or alternatives) for the review and approval of the audit committee or the board of directors. Internal auditing activity is generally conducted as one or more discrete assignments.
It should be adapted to the specific purpose of audit, and the selection of audit method must be adapted to its specific purpose. Otherwise, it will deviate from the purpose of the audit.[12]
Internal audit execution[edit]
A typical internal audit assignment[13] involves the following steps:
- Establishing and communicating the scope and objectives of the audit to appropriate members of management.
- Developing an understanding of the business area under review – this includes objectives, measurements & key transaction types and involves interviews and a review of documents – flowcharts and narratives may be created, if necessary.
- Describing the key risks facing the business activities within the scope of the audit.
- Identifying management practices in the five components of control used to ensure that each key risk is properly controlled and monitored. An internal audit checklist[14] can be a helpful tool to identify common risks and desired controls in the specific process or specific industry being audited.
- Developing and executing a risk-based sampling and testing approach to determine whether the most important management controls are operating as intended.
- Reporting issues and challenges identified and negotiating action plans with the management to address these problems.
- Following-up on reported findings at appropriate intervals. Internal audit departments maintain a follow-up database for this purpose.
Audit assignment length varies based on the complexity of the activity being audited and internal audit resources available. Many of the above steps are iterative and may not all occur in the sequence indicated.
In addition to assessing business processes, specialists called information technology (IT) auditors review information technology controls.
Internal audit reports[edit]
Internal auditors typically issue reports at the end of each audit that summarize their findings, recommendations, and any responses or action plans from management. An audit report may have an executive summary – a body that includes the specific issues or findings identified and related recommendations or action plans, and appendix information such as detailed graphs and charts or process information. Each audit finding within the body of the report may contain five elements, sometimes called the «5 C’s»:
- Condition: What is the particular problem identified?
- Criteria: What is the standard that was not met? The standard may be a company policy or other benchmark.
- Cause: Why did the problem occur?
- Consequence: What is the risk/negative outcome (or opportunity foregone) because of the finding?
- Corrective action: What should management do about the finding? What have they agreed to do and by when?
The recommendations in an internal audit report are designed to help the organization achieve effective and efficient governance, risk and control processes associated with operations objectives, financial and management reporting objectives; and legal/regulatory compliance objectives.
Audit findings and recommendations may also relate to particular assertions about transactions, such as whether the transactions audited were valid or authorized, completely processed, accurately valued, processed in the correct time period, and properly disclosed in financial or operational reporting, among other elements.
Following are the steps about how continuous improvement can be achieved through audit findings.
- Develop CAPAs to address quality issues.
- Train users or employees to develop effective audit processes or procedures.
- Maintain steady and healthy relation with suppliers, vendors, users, auditors and audit bodies.
Under the IIA standards, a critical component of the audit process is the preparation of a balanced report that provides executives and the board with the opportunity to evaluate and weigh the issues being reported in the proper context and perspective. In providing perspective, analysis and workable recommendations for business improvements in critical areas, auditors help the organization meet its objectives.
Quality of internal audit report[15][edit]
- Objectivity – The comments and opinions expressed in the report should be objective and unbiased.
- Clarity – The language used should be simple and straightforward.
- Accuracy – The information contained in the report should be accurate.
- Brevity – The report should be concise.
- Timeliness – The report should be released promptly immediately after the audit is concluded, within a month.
Strategy[edit]
Internal audit functions may also develop functional strategies described in multi-year strategic plans. Professional guidance on building an Internal Audit strategic plan was issued by the Institute of Internal Auditors in July 2012 via a Practice Guide called Developing the Internal Audit Strategic Plan.[16] A key aspect of developing IA strategy is understanding the expectations of stakeholders, such as the audit committee and top management. This helps guide the IA function in its mission of helping the organization address the risks it faces. Specific topics considered in IA strategic planning include:
- Scope and emphasis: An IA function may be involved in addressing risks related to financial reporting, operations, legal and regulatory compliance, and the company strategy. There may also be special topics of interest to stakeholders that change considerably year-to-year.
- Portfolio of services: IA functions may provide traditional audit assurance across the risk spectrum as well as consulting project support in a variety of areas such as project management, data analysis, and monitoring of major company initiatives. Larger audit functions may establish specialty areas to handle their service portfolio.
- Competency development: The stakeholder expectations around scope and service portfolio determine what competencies the function needs, which drives decisions regarding hiring of specific skills and training programs. The internal audit function is often used as a «management training ground» to provide employees with a deeper knowledge of the company’s operations before they are rotated into a management position.[17]
- Technology: IA functions use a variety of technology tools/software to support audit process workflow, statistical analysis, and obtaining data from systems.
Building the IA strategy may involve a variety of strategic management concepts and frameworks, such as strategic planning, strategic thinking, and SWOT analysis.[16]
Other topics[edit]
Measuring the internal audit function[edit]
The measurement of the internal audit function can involve a balanced scorecard approach.[18] Internal audit functions are primarily evaluated based on the quality of counsel and information provided to the audit committee and top management. However, this is primarily qualitative and therefore difficult to measure. «Customer surveys» sent to key managers after each audit engagement or report can be used to measure performance, with an annual survey to the audit committee. Scoring on dimensions such as professionalism, quality of counsel, timeliness of work product, utility of meetings, and quality of status updates are typical with such surveys. Understanding the expectations of senior management and the audit committee represent important steps in developing a performance measurement process, as well as how such measures help align the audit function with organizational priorities.[19][20]
Independent peer reviews are part of the quality assurance process for many internal audit groups as they are often required by standards.[21] The resulting peer review report is made available to the audit committee.
Reporting of critical findings[edit]
The chief audit executive (CAE) typically reports the most critical issues to the audit committee quarterly, along with management’s progress towards resolving them. Critical issues typically have a reasonable likelihood of causing substantial financial or reputational damage to the company. For particularly complex issues, the responsible manager may participate in the discussion. Such reporting is critical to ensure the function is respected, that the proper «tone at the top» exists in the organization, and to expedite resolution of such issues. It is a matter of considerable judgment to select appropriate issues for the audit committee’s attention and to describe them in the proper context.
Audit philosophy[edit]
Some of the philosophy and approach of internal auditing is derived from the work of Lawrence Sawyer. His philosophy and guidance on the role of internal audit was a forerunner of the current definition of internal auditing. It emphasized assisting management and the board in achieving the organization’s objectives through well-reasoned audits, evaluations, and analyses of operational areas. He encouraged the modern internal auditor to act as a counsellor to management rather than as an adversary. Sawyer saw auditors as active players influencing events in the business rather than criticizing all degrees of errors and mistakes. He also foresaw a more desirable auditor future involving a stronger relationship with members of audit committee and the board and a divorce from direct reporting to the chief financial officer.[22]
Sawyer often talked about «catching a manager doing something right» and providing recognition and positive reinforcement. Writing about positive observations in audit reports was rarely done until Sawyer started talking about the idea. He understood and forecast the benefits of providing more balanced reporting while simultaneously building better relationships. Sawyer understood the psychology of interpersonal dynamics and the need for all people to receive acknowledgment and validation for relationships to prosper.[22]
Sawyer helped make internal auditing more relevant and more interesting through a sharp focus on operational or performance auditing. He strongly encouraged looking beyond financial statements and financial-related auditing into areas such as purchasing, warehousing and distribution, human resources, information technology, facilities management, customer service, field operations, and program management. This approach helped catapult the chief audit executive into the role of a respected and knowledgeable adviser who was thought to be reasonable, objective, and concerned about helping the organization achieve the stated goals.[22]
Three lines of defence[edit]
The «Three Lines of Defence Model»
[23]
[24]
[25]
[26]
is a framework outlining the relationship between business functions, risk management, and internal audit, delineating how responsibilities should be divided; it is designed «to assure the effective and transparent management of risk», by making accountabilities clear. The terminology is analogized from the military «Line of defence» (and the concept of defence in depth).
- Under the first line of defence, risks are managed and controlled day-to-day. Here customer-facing operational management has «ownership, responsibility and accountability for directly assessing, controlling and mitigating risks».[24] Its value [26] is that it comes «from those who know the business, culture and day-to-day challenges» (see also Internal control § Operating staff); at the same time, however, this Line may lack independence.
- The second line of defence consists of the independent functions of risk management, compliance, and operational risk. This line of defence monitors and facilitates the implementation of effective risk management practices by the first line, providing «oversight and challenge»;[24] and also assists the «risk owners» in producing and interpreting risk-related reporting. Although separate from those responsible for delivery, it is not independent of the management chain.[26] (See, re banking, Middle office.)
- The third line of defence is internal audit, reporting directly to the Board of directors. Internal audit reviews and reports on both the first and the second lines of defence, providing objective and independent assurance, [26] per § Role in corporate governance above.
Under later iterations of the model,[26] assurance from «external independent bodies» is seen as a fourth line of defence; here the external auditor, and others, provide assurance and insights to the Board and are «clearly seen to be independent».
The «last line of defence» [27] against risk is that of capital, as a sufficient quantum «ensures that a firm can continue as a going concern even if substantial and unexpected losses are incurred»;[27] see Risk capital, Regulatory capital, Financial risk management, and Going concern § Management’s plans.
See also[edit]
- Certified Information Systems Auditor
- Chartered Institute of Internal Auditors
- Committee of Sponsoring Organizations of the Treadway Commission (COSO)
- Fraud deterrence
- Institute of Internal Auditors
- International Auditing and Assurance Standards Board
- International Register of Certificated Auditors
- IS audit
- Operational auditing
- Risk-based internal audit
References[edit]
- ^ IIA’s definition of audit.
- ^ Wood, David A. (May 2012). «Corporate Managers’ Reliance on Internal Auditor Recommendations». AUDITING: A Journal of Practice & Theory. 31 (2): 151–166. doi:10.2308/ajpt-10234.
- ^ Wood, David A. (July 2009). «Internal Audit Quality and Earnings Management». The Accounting Review. 84 (4): 1255–1280. doi:10.2308/accr.2009.84.4.1255. S2CID 154999202.
- ^ Wood, David A. (September 2013). «A Descriptive Study of Factors Associated with the Internal Audit Function Policies Having an Impact: Comparisons Between Organizations in a Developed and an Emerging Economy». Turkish Studies. 14 (3): 581–606. doi:10.1080/14683849.2013.833019. S2CID 145381015.
- ^ «UK and Ireland Certifications». Eciia.eu. 2013-06-25. Archived from the original on 2013-08-20. Retrieved 2013-09-04.
- ^ «The IIA-History and Evolution of Internal Auditing» (PDF). Retrieved 2013-09-04.
- ^ «Internal Auditor Magazine». na.theiia.org. 2000-01-01. Retrieved 2013-09-04.
- ^ «Pages – Standards». theiia.org.
- ^ «Role of Internal Auditing in ERM». Archived from the original on 2013-09-05. Retrieved 2013-09-04.
- ^ «ECAAS Certification & Training». Retrieved 2015-06-16.
- ^ «IIA Article «Getting a Leg Up»«. Findarticles.com. Retrieved 2013-09-04.
- ^ «Management of Internal Audit», Internal Audit Handbook, Berlin, Heidelberg: Springer Berlin Heidelberg, pp. 547–552, 2008, doi:10.1007/978-3-540-70887-2_35, ISBN 978-3-540-70886-5, retrieved 2020-11-14
- ^ David Griffiths. «Internal audit – Risk based – Introduction». internalaudit.biz.
- ^ «Internal Audit Checklists of various processes». Internal Audit Expert. internalauditexpert.in. Archived from the original on 13 December 2013. Retrieved 12 December 2013.
- ^ «Format of Internal Audit Report». internalauditexpert.in. Archived from the original on 7 December 2013. Retrieved 3 December 2013.
- ^ a b «Pages – Developing the Internal Audit Strategic Plan Practice Guide». theiia.org.
- ^ Wood, David A. (November 2011). «The Effect of Using the Internal Audit Function as a Management Training Ground on the External Auditor’s Reliance Decision». The Accounting Review. 86 (6): 2131–2154. doi:10.2308/accr-10136.
- ^ Frigo, Mark L. A Balanced Scorecard Framework for Internal Auditing Departments. IIA Research Foundation. Altamonte Springs, FL.: 2002
- ^ «IIA-GAIN Study-Knowledge Report—Measuring Internal Audit Performance—September 2009». Theiia.org. 2000-01-01. Archived from the original on 2012-03-08. Retrieved 2013-09-04.
- ^ «PWC-2012 State of the Internal Audit Profession Survey-March 2012». Pwc.com. 2012-03-20. Retrieved 2013-09-04.
- ^ «Peer Review: IIA, GAGAS and ISSAI». projectauditors.com. 2012-01-01. Retrieved 2014-03-26.
- ^ a b c Sawyer, Lawrence (2003). Sawyer’s Internal Auditing 5th Edition. Institute of Internal Auditors. ISBN 978-0894135095.
- ^ Position paper: The three lines of defence, Chartered Institute of Internal Auditors
- ^ a b c Three Lines of Defence Model, Association of Corporate Treasurers
- ^ Internal audit: three lines of defence model explained, Institute of Chartered Accountants of Scotland
- ^ a b c d e The four lines of defence, Institute of Chartered Accountants in England and Wales
- ^ a b III.A.3, in Carol Alexander, ed. (January 2005). The Professional Risk Managers’ Handbook. PRMIA Publications. ISBN 978-0976609704
Внутренний аудит на предприятии имеет несколько направлений. Например: операционный внутренний аудит, внутренний финансовый аудит, внутренний аудит соответствия нормам стандартов в компании, аудит IT на предприятии и даже криминальный внутренний аудит. В этой статье мы разберемся, что такое внутренний аудит на предприятии, как он помогает в развитии компании, и какие преимущества есть при передаче внутреннего аудита на аутсорсинг независимой аудиторской организации.
Если у вас возникнут вопросы по ходу прочтения материала, то задавайте их в комментариях. Наш квалифицированный аудитор обязательно ответит.
Что такое внутренний аудит? Зачем необходим внутренний аудит на предприятии?
Обязательный аудит организации и внутренний аудит — разные процедуры, хоть и обе регулируются 307-ФЗ и иными НПА, регламентирующими аудиторскую деятельность. Внутренний аудит не является обязательным, а проводится в интересах собственника и по его инициативе. Давайте дадим понятие внутреннему аудиту:
Внутренний аудит — это организованная в интересах собственника система контроля, которая дает оценку эффективности работы системы внутреннего контроля в организации (далее СВК), оценку действующей системы управления рисками (далее СУР), а также оценку эффективности корпоративного управления (далее КУ).
Но прежде чем, продолжить статью о внутреннем аудите, мы остановимся для того, чтобы для начала понять, а что такое СВК, СУР и КУ, потому что внутренний аудит согласно информационному письму ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143, как раз должен оценивать эффективность этих систем.
В настоящее время в стандартах внутреннего, да и внешнего аудита, пишут о так называемом «риск-ориентированном» подходе в аудите. Информационное письмо банка начинается с глоссария, разберемся сначала с терминологией.
Итак, что такое риск при осуществлении предпринимательской деятельности?
Риск при осуществлении предпринимательской деятельности — это влияние неопределенности на достижение поставленной цели, другими словами здесь работает система вероятности, а если совсем грубо пояснить, то может будет допущена ошибка в учете, а может нет, может отгрузят вовремя продукцию со склада, а может нет, может украдут со склада материалы, а может нет, главный бухгалтер может правильно заполнить налоговую декларацию, а может нет, и т.д. рисков бесконечное множество.
Есть еще интересный термин в письме ЦБ РФ «риск-аппетит» — это приемлемая величина риска, другими словами это виды и величина рисков, которые компания готова принять в процессе реализации своих целей. Понятно, что предугадать все события невозможно, но оценить степень риска наступления или не наступления события возможно.
СВК и СУР – это система мер, процедур, методик, норм корпоративной культуры, которые приняты в компании, чтобы достичь баланс между ростом стоимости компании, прибылью и рисками, в целях обеспечения эффективной финансово-хозяйственной деятельности, сохранности активов, соблюдения законодательства, а также в целях подготовки достоверной, управленческой, финансовой, бухгалтерской отчетности.
Так вот, прежде чем, перейти к организации внутреннего аудита на предприятии, рекомендуется сначала выявить, оценить и провести анализ рисков, которые могут повлиять на способность компании реализовать свою стратегию и достичь поставленных целей.
Для этого в компании рекомендуется проводить анализ видов рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществить выбор стратегии и метода управления риском.
Главная цель внутреннего аудита выявлять риски и давать рекомендации по усовершенствованию внутренних процессов в компании.
Внутренний аудит должен решать следующие задачи:
- определить уровень эффективности работы подразделений;
- оценить риски недобросовестных/противоправных действий работников и третьих лиц (включая халатность, мошенничество, взяточничество и коррупцию, коммерческий подкуп, злоупотребления и различные противоправные действия, которые наносят ущерб компании), а также разработать предложения по их устранению;
- проконтролировать соблюдение стандартов и принципов корпоративного управления.
Процедуры внутреннего аудита компания должна регламентировать самостоятельно, строгих требований в нормативных документах не содержится.
Направления в работе внутреннего аудита могут быть различные. Например, операционный внутренний аудит основан на внутреннем аудите бизнес-процессов. В рамках операционного аудита оценивается эффективность работы подразделений, соблюдение выполнения плановых заданий, эффективность управления подразделениями, обеспечение сохранности активов компании и др.
Внутренний финансовый аудит направлен на оценку эффективности работы учетных процессов в компании, достоверности управленческой, финансовой и бухгалтерской отчетности, на оценку эффективности управления финансовыми потоками, а также на оценку эффективности бизнес-планирования.
Внутренний аудит криминальный направлен на оценку рисков мошенничества, должностных преступлений, халатности, взяточничества, коррупцию, нарушений действующего законодательства.
Внутренний аудит соответствия направлена на проверку соблюдения нормативных правовых актов, внутрифирменных стандартов, а также корпоративной политики компании.
Внутренний аудит информационных систем, как одно из важных направлений во внутреннем аудите, обеспечивает контроль безопасности функционирования информационных систем, а также процессов управления в области IT- технологий.
Внутренний аудит на предприятии — что обеспечивает его эффективность?
Выдача аудиторского заключения по результатам проверки
Принцип независимости внутреннего аудитора одно из важных условий повышения эффективности результатов внутреннего аудита.
Вторым фактором эффективности является уровень квалификации специалистов, которые выполняют функции внутреннего аудита.
Привлечение специализированной аудиторской компании с опытом работы в системе проведения проверок по внутреннему аудиту существенно повышают эффективность внутреннего аудита в компании.
Если хотите узнать больше, то отправьте заявку на получение коммерческого предложения от нашей аудиторской компании ООО «Радар-Консалтинг»:
Также, мы предоставим бесплатную консультацию аудитора, который ответит на ваши вопросы.
Как проводится внутренний аудит на предприятии?
Первый этап. На этом этапе определяются цели и объекты аудита. Перед каждой проверкой составляется чек-лист или программа проверки, которая включает в себя список плановых аудиторских процедур, сроки выполнения работ, характер проверки и исполнителей.
В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур, которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки используется несколько видов аудиторских процедур (аналитические процедуры и процедуры тестирования).
Второй этап. Проведение проверки по внутреннему аудиту. В рамках второго этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки. Проведение проверки осуществляется в соответствии с утвержденной программой проверки.
В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.
Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств.
К аудиторским доказательствам могут относиться:
- копии подтверждающих документов, в том числе первичные учетные документы, электронная переписка, договоры, протоколы встреч, расчеты/сверки;
- выгрузки из ИТ-систем;
- протоколы рабочих встреч, письменные разъяснения и объяснения;
- документация, сформированная в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров и т.п.);
- прочие документы/информация.
Третий этап. Подведение итогов и написание аудиторского отчёта. На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств.
В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами. На основе проведенных наблюдений и выводов внутренним аудитором формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита.
Внутренний аудит на предприятии — итоговый этап проверки
Заключительный этап самый важный, потому что выявить недостатки и нарушения в ходе внутреннего аудита недостаточно, их надо еще и устранить.
На основании рекомендаций, подготовленных внутренним аудитором, руководитель объекта аудита обязан составить План мероприятий по результатам внутреннего аудита, направленный на устранение выявленных нарушений и недостатков, а также реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля.
На этом этапе процесс внутреннего аудита не заканчивается, далее следует этап, на котором службой внутреннего аудита осуществляется контроль выполнения плановых мероприятий по устранению нарушений и недостатков.
Пример внутреннего аудита из практики нашей аудиторской компании ООО «Радар-Консалтинг»
Чтобы донести по руководства компаний и собственников бизнеса мысль о том, насколько важны для бизнеса СВК, СУР, корпоративная политика и система внутреннего аудита, мы хотим поделиться реальным примером из практики.
К нам в аудиторскую компанию поступила заявка на финансовый консалтинг. Суть вопроса заключалась в том, что руководство интернет-магазина имело подозрение в недобросовестных действиях своего бухгалтера в сговоре с менеджером по продажам.
По мнению руководства интернет-магазина, когда приходила заявка на покупку товара с сайта, менеджер под заявку клиента покупал товар, отгружал его клиенту, а потом в сговоре с бухгалтером эта заявка в интернет-магазине отменялась, как бы был возврат товара. Хотя на самом деле реализация товара была осуществлена, только не через кассу интернет-магазина, а мимо кассы, т.е. выручку делили между собой бухгалтер и менеджер.
Как решить эту проблему интернет-магазина?
Вот здесь как раз надо использовать риск-ориентированный подход к оценке бизнес-процесса работы интернет-магазина. Алгоритм решения проблемы основывается на использовании принципа модели COSO.
Главными принципами модели COSO являются оценка риска и управление им, это как раз то, о чем мы писали в начале статьи. Для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.
Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов:
Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру.
Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.
Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту в реализации своих решений. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.
Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве.
Эффективная коммуникация, по вопросам, связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.
Мониторинг: Система внутреннего контроля, требует мониторинга. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.
Алгоритм решения проблемы интернет-магазина с использованием модели COSO, по-нашему мнению, такой:
- Принятие корпоративной политики компании;
В ней будет заявлено, что принципы работы в компании основаны на честности, добросовестности и защите интересов компании. Очень важно открыто заявить об этих принципах работы в компании и довести до сведения всех сотрудников, сотрудники в свою очередь должны поддерживать корпоративный дух в компании.
- Описать бизнес-процесс работы интернет-магазина;
Возможно это описание будет в виде схемы бизнес-процесса от получения заявки до отгрузки товара и получения денежных средств. На каждом этапе бизнес-процесса по схеме надо оценить риски недобросовестных действий, нарушений, ошибок и злоупотреблений. Без оценки операционных рисков и понимания вида рисков нельзя будет научиться управлять этими рисками.
- Разработать средства контроля;
Это внутренние процедуры и внутрифирменные документы, которые предотвращают или существенно снижают риск недобросовестных действие и нарушений бизнес-процесса, например, регламентирование дополнительной, согласовательной подписи третьего лица на возврат товара клиенту или контроль третьего лица над денежными операциями по возврату денежных средств и др.
- Получать ежедневный отчеты;
По продажам от менеджера, осуществлять информационное взаимодействие с поставщиками товаров. Например, ежедневное проведение сверки с поставщиками по отгрузке товаров через интернет-магазин. Производить контрольные звонки клиентам в целях проведения опроса по качеству товара и по обслуживанию, лицами, не задействованными в операционном бизнесе и др.
- Производить постоянный мониторинг внутреннего контроля;
По всем выявленным недостаткам в системе внутреннего контроля непрерывно вводить новые средства контроля.
Применяемые в нашем примере средства контроля недобросовестных действий призваны снизить риск до уровня «риск-аппетита». То есть, до приемлемого риска руководством интернет-магазина для достижения поставленных целей, только после этого начинает в компании работать система внутреннего аудита, результатом которой является повышение эффективности СВК, СУР и корпоративного управления.
Внутренний аудит и преимущества передачи его на аутсорсинг
Аудиторы ООО «Радар-Консалтинг» работают в офисе клиента
Центральный банк Российской Федерации выпустил информационное письмо от 1 октября 2020 г. N ИН-06-28/143 «О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ, ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ (НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ АКЦИОНЕРНЫХ ОБЩЕСТВАХ».
После выхода этого письма ЦБ РФ для акционерных обществ в форме ПАО и ОАО, которые до настоящего времени не имели службы внутреннего аудита, встал вопрос об организации работы службы внутреннего аудита, а также вопросы разработки и утверждения организационных документов по внутреннему аудиту, в том числе Положения об осуществлении внутреннего аудита.
Именно вопросам организации системы внутреннего аудита пойдет речь далее. Мы расскажем о подготовке Положения по внутреннему аудиту с использованием специализированной аудиторской компании в системе внутреннего аудита (далее СВА), потому что для малых и средних по масштабам деятельности ОАО и ПАО передать выполнение функций внутреннего аудит на аутсорсинг аудиторской организации самое оптимальное решение.
Итак, Положение об осуществлении внутреннего аудита (далее Положение) должно включать в себя следующие основные разделы:
- Любое положение начинается с раздела, который называется «Общие положения». В данном разделе мы рекомендуем указать основные нормативные документы, на основании которых подготовлено Положение об осуществлении внутреннего аудита.
- Следующий раздел положения «Цели, задачи и полномочия внутреннего аудита». Основными целями, для достижения которых используется внутренний аудит согласно письму ЦБ РФ:
- Оценка эффективности системы внутреннего контроля (далее — СВК);
- Оценка эффективности системы управления рисками (далее — СУР);
- Оценка корпоративного управления (далее — КУ).
Внутренний аудит на предприятии и его основные функции
Основными функциями внутреннего аудита, которые должны быть указаны в Положении, должны быть следующие функции:
- проведение внутренних аудиторских проверок на основании утвержденного плана деятельности внутреннего аудита;
- проведение иных проверок, выполнение других заданий по запросу/поручению совета директоров (комитета по аудиту и/или исполнительных органов компании) в пределах компетенции, в том числе на основании информации, поступившей на «горячую линию» компании;
- проведение комплексной проверки (ревизий) деятельности объектов аудита, которая выражается в документальной и физической проверке законности совершенных финансовых и хозяйственных операций, достоверности и правильности их отражения в бухгалтерской (финансовой) отчетности;
- проведение анализа объектов аудита в целях исследования отдельных сторон деятельности и оценки состояния определенной сферы объектов аудита;
- предоставление консультаций исполнительным органам компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
- осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
- осуществление последующего контроля за финансово-хозяйственной деятельностью компании;
- содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц (включая халатность, мошенничество, взяточничество и коррупцию, коммерческий подкуп, злоупотребления и различные противоправные действия, которые наносят ущерб обществу);
- разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
- разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита (как правило, на ежегодной основе);
- подготовка и предоставление совету директоров (комитету по аудиту) и единоличному исполнительному органу компании (или другому лицу, в административном подчинении у которого находится внутренний аудит) отчета по результатам деятельности внутреннего аудита;
- координация деятельности с внешним аудитором компании, а также лицами, оказывающими услуги по консультированию в области управления рисками, внутреннего контроля и корпоративного управления;
- взаимодействие с подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
- и другие функции, необходимые для решения задач, поставленных перед внутренним аудитом в компании.
Внутренний аудит в организационной структуре компании
Мы рекомендуем функции внутреннего аудита реализовывать с привлечением сторонней профессиональной аудиторской организации (аутсорсинг), потому что этот важный объем работы правильнее доверить специалистам, имеющим соответствующую профессиональную подготовку.
Кроме этого, для небольших по масштабам деятельности ПАО и ОАО создание самостоятельной службы внутреннего аудита приведет к существенным финансовым потерям, а передача функций внутреннего аудита профессиональной аудиторской организации не только сократит финансовые потери, но и обеспечит высокое качество функционирования системы внутреннего аудита.
Получите наше коммерческое предложение и сможете оценить все преимущества для вашей компании в цифрах:
Административная подотчетность внутреннего аудита, как правило, единоличному исполнительному органу, рекомендуется, чтобы совет директоров в рамках регулярного подтверждения независимости внутреннего аудита рассматривал вопрос об административной подотчетности внутреннего аудита.
Порядок планирования деятельности внутреннего аудита
В случае передаче функций внутреннего аудита на аутсорсинг, руководитель привлеченной аудиторской организации разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе. План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель привлеченной аудиторской организации предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, ресурсный план и финансовый бюджет внутреннего аудита.
Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита.
Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:
- консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
- разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
- осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
- разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита;
- подготовка отчета по результатам деятельности внутреннего аудита;
- содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц;
- взаимодействие с внешним аудитором, подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита.
Организация проверки, проводимой внутренним аудитом
Как правило, проверки осуществляются в три этапа и включают:
- планирование и подготовку к проведению проверки;
- проведение проверки;
- подготовку отчета по результатам проверки.
В рамках планирования проверки руководитель аудиторской организации определяет, каким образом, когда и кому (далее — уполномоченные представители) будут сообщаться результаты выполнения проверки, и информирует об этом решении руководителя объекта аудита в той степени, в которой он сочтет нужным.
Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур.
В объем и содержание проверки как минимум включаются:
- критичные риски объекта аудита, не покрытые контрольными процедурами;
- ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
- контрольные процедуры, операции/виды деятельности, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).
Заключение (мнение) рабочей группы внутреннего аудита должно включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно эффективности:
- Дизайна ключевых контрольных процедур;
- Выполнения ключевых контрольных процедур (операционной эффективности контрольных процедур);
- Управления критичными рисками объекта аудита; эффективности СУР и СВК объекта аудита.
По завершении проверки рабочая группа аудиторской компании подготавливает итоговый отчет. Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет как минимум следующие разделы:
- цели проверки — в этот раздел включаются цели, указанные в программе проверки;
- объем и содержание — в этом разделе указываются бизнес-процессы/проекты операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительная информация, определяющая границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);
- результаты проверки — в этот раздел включаются наблюдения (включая выявленные недостатки), выводы (заключения) и рекомендации.
По итогам проверки на основании выявленных недостатков и подготовленных аудиторской организацией рекомендаций руководитель объекта аудита обязан разработать и согласовать с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на устранение выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).
Контроль качества и оценка деятельности внутреннего аудита
На регулярной основе (как правило, один раз в год) руководитель аудиторской организации обязан проинформировать исполнительные органы и отчитаться перед советом директоров о деятельности в рамках программы оценки и повышения качества и ее результатах, в том числе довести информацию о результатах внутренних и внешних оценок.
Программа оценки и повышения качества включает:
- Непрерывный мониторинг качества деятельности внутреннего аудита;
- Периодические внутренние и внешние оценки качества всего спектра деятельности внутреннего аудита.
Если в рамках непрерывного мониторинга или по результатам оценки (внутренней и внешней) качества выявляются недостатки в деятельности внутреннего аудита, руководитель аудиторской организации разрабатывает план по устранению таких недостатков и отслеживает эффективность и своевременность его выполнения.
Внешнюю оценку качества внутреннего аудита рекомендуется проводить не реже одного раза в пять лет. Внешняя оценка качества проводится с целью получения руководителем аудиторской организации и другими заинтересованными лицами независимого мнения о качестве функции внутреннего аудита.
Внешняя независимая оценка может проводиться чаще, чем раз в пять лет. Руководителю аудиторской организации рекомендуется обсудить с советом директоров (комитетом по аудиту) и исполнительными органами частоту проведения внешней независимой оценки.
В настоящее время нормами действующего законодательства усиливаются требования к системе внутреннего контроля и внутреннего аудита в акционерных обществах.
Далеко не в каждом акционерном обществе разработана методология проведения внутреннего аудита и система тестирования рисков. Поэтому мы рекомендуем в таких случаях передавать выполнение функций по внутреннему аудиту на аутсорсинг профессиональной аудиторской компании.
Преимущества аутсорсинга функций внутреннего аудита очевидны:
- Экономия денежных средств;
На содержании собственной службы внутреннего аудита. Так как ежемесячно внутреннему аудитору надо платить заработную плату. Средняя заработная плата компетентного внутреннего аудитора не менее 100 тыс.руб. в месяц, плюс дополнительные расходы на налоги и отчисления во внебюджетные фонды.
Стоимость внутреннего аудита по договору аутсорсинга с нашей аудиторской компании от 50 тыс.руб. за одну проверку по внутреннему аудиту. Количество проверок по внутреннему аудиту согласовывается в плане проверок по внутреннему аудиту с клиентом на срок не менее одного года.
- Качество работы по внутреннему аудиту;
Так как для выполнения функций внутреннего аудита привлекаются профессиональные аттестованные аудиторы, которые смогут подготовить все необходимые документы по результатам выполненной работы для совета директоров, исполнительных органов и других заинтересованных лиц.
В нашей аудиторской компании уже разработана методология проведения внутреннего аудита, а также система тестирования для оценки рисков, что обеспечивает качество выполненных заданий по внутреннему аудиту.
- Независимость аудиторской компании, которой передаются функции внутреннего аудита.
Принцип независимости позволяет более объективно проводить внутренний аудит в ПАО и ОАО, а также в любой другой компании.
В заключении статьи мы рекомендуем, всем ПАО и ОАО, которые до настоящего времени не организовали в своей структуре службу внутреннего аудита, рассмотреть вопрос передачи на аутсорсинг выполнение функций внутреннего аудита аудиторской организации.
Тем более, что в информационном письме ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143 даны такие рекомендации для малых и средних по масштабам деятельности акционерных обществ.
Чтобы вы смогли оценить наш опыт и компетенцию, рекомендуем ознакомиться с результатами проведенных нами аудиторских проверок и отзывами наших клиентов:
-
Наша аудиторская компания выполняла функции внутреннего аудитора для ОАО «Саста» в 2022 году на основании, заключенного договора на аутсорсинг функций внутреннего аудита. ОАО «Саста» – один […]
-
Наша аудиторская компания в феврале 2023 года провела аудиторскую проверку бухгалтерской (финансовой) отчетности ЗАО «Фундаментстройпроект» за 2021 год. Участники аудиторской группы: Шибалкина Наталья Михайловна, Колодкин Алексей […]
-
- Клиент:
- ОАО НПО «Буровая техника»
- Дата:
- 11.02.2023
Наша аудиторская компания провела внутренний аудит ОАО НПО «Буровая техника» за 2022 год на основании, заключенных договоров аутсорсинга. Участники аудиторской группы: Шибалкина Наталья Михайловна: Шибалкин Алексей […]
-
- Клиент:
- СНТСН «Подолье»
- Дата:
- 16.12.2022
Наша аудиторская компания провела аудиторскую проверку бухгалтерской отчетности СНТСН «Подолье» за 2021 год. Участники аудиторской группы: Шибалкина Наталья Михайловна, Колодкин Алексей Евгеньевич. Цели аудита СНТСН Аудиторское […]
-
В июне 2022 года наша аудиторская компания успешно завершила аудит ДНП «Дворянское поместье 2» за 2020 и 2021 год. Цель: Аудиторское заключение о подтверждении достоверности годовой […]
-
В декабре 2021 года наша аудиторская компания оказала услуги проводила внутренний аудит для Открытого акционерного общества (ОАО) Научно-производственное объединение (НПО) «Буровая техника» Внутренний аудит был проведен […]
Известные бренды среди наших клиентов:
Аудиторская компания Радар-С
Оказываем услуги по проведению обязательного, инициативного и налогового аудита, проводим аудит по специальному заданию. Также, предоставляем дополнительные услуги по бухгалтерскому аутсорсингу и финансовому консалтингу
Как провести внутренний аудит на предприятии
Внутренний аудит – это возникающая непосредственно на предприятии система контроля за происходящими на нем процессами. О том, зачем такая система создается, на чем базируется и как функционирует, читайте в нашей статье.
Внутренний аудит на предприятии: цели, задачи и виды
Внутренний аудит представляет собой деятельность по контролю за фактами хозяйственной жизни, возникающими в процессе работы предприятия.
Однако собственники или руководителей предприятия также заинтересованы в аудите, поскольку полученная в результате контрольных мероприятий информация позволяет предпринимать своевременные шаги для роста эффективности бизнеса.
Цель внедрения внутреннего аудита – эффективное систематическое наблюдение за всеми обстоятельствами, значимыми для деятельности организации, чтобы оперативно влиять на эти обстоятельства.
При этом детализировать их перечень вправе само предприятие в зависимости от масштабов.
Юрлицам, подлежащим обязательному аудиту, особое место в этом перечне придется отвести контролю за ведением бухучета и формированием бухотчетности (п. 2 ст. 19 закона № 402-ФЗ).
Задачи внутреннего аудита:
-
отслеживание моментов, влияющих на результаты работы предприятия;
-
выявление ошибок, недочетов, злоупотреблений;
-
предупреждение возможных рисков.
Организуемый внутренний контроль дает возможность оперативно выявлять факторы, отрицательно сказывающиеся на деятельности предприятия, качестве его продукции и финансово-экономических показателях, и быстро выбирать оптимальные меры для исправления ситуации.
Среди видов внутреннего аудита выделяются связанные с контролем:
-
организационных моментов (работа администрации, подразделений или даже конкретных сотрудников, обеспеченности подразделений имуществом);
-
соблюдения в основной деятельности требований действующего законодательства или определенных предписаний;
-
ведения бухучета и составления отчетности.
Последний из видов обязателен для каждого предприятия, поскольку именно он обеспечивает выполнение предъявляемого к бухотчетности требования о достоверности (п. 1 ст. 13 закона № 402-ФЗ).
Прочие виды контроля устанавливаются на усмотрение собственника/руководителя предприятия.
Функции и принципы внутреннего аудита
Функции внутреннего аудита сводятся не только к контролю. Также это:
-
информирование и консультирование работников предприятия;
-
анализ полученных данных;
-
разработка предложений по устранению имеющихся недостатков.
Деятельность службы внутреннего аудита базируется на положениях:
-
законодательных актов, предназначенных для лиц, осуществляющих деятельность в сфере аудита (прежде всего закона «Об аудиторской деятельности» от 30.12.2008 № 307-ФЗ);
-
разработанных Минфином (информация № ПЗ-11/2013) рекомендаций по организации контроля, предусмотренного ст. 19 закона № 402-ФЗ;
-
созданных на самом предприятии нормативных документов, посвященных вопросам внутреннего контроля.
В сравнении с внешним аудитом, проводимым, как правило, при уже составленной за период отчетности и оценивающим деятельность предприятия в целом, внутренний аудит позволяет более детально и оперативно отслеживать отдельные процессы.
Принципы внутреннего аудита схожи с действующими для аудиторов, приглашаемых со стороны:
-
Аудит проводится по графику или по мере возникновения необходимости.
-
Он должен быть единообразным, объективным и открытым, с соблюдением норм профессиональной этики.
-
Проверяющие не должны зависеть от проверяемых.
-
Все действия, результаты и выводы документируются.
-
По выявленным недостаткам в процессе контроля даются рекомендации по устранению.
Согласно Международному стандарту аудита 610 «Использование работы внутренних аудиторов», введенному в действие на территории РФ приказа Минфина от 09.01.2019 № 2н, результаты работы службы внутреннего аудита могут быть использованы внешними аудиторами.
Как создается и функционирует служба внутреннего аудита в организации
Служба внутреннего аудита в организации создается на основании приказа руководителя. Для нее разрабатываются необходимые методологические документы.
К работе могут привлекаться сторонние специалисты (п. 18.2 информации Минфина № ПЗ-11/2013).
Методологические документы должны содержать описание:
-
целей, задач и объектов контроля;
-
функций, закрепляемых за службой внутреннего аудита;
-
структуры службы и распределения обязанностей в ней;
-
применяемых процедур;
-
видов оформляемых документов;
-
критериев оценки результативности работы службы.
Каждая внутренняя проверка (вне зависимости от того, плановая она или внеплановая) обязательно будет состоять из трех этапов:
-
Подготовительного, на котором определяются круг проверяемых вопросов, сроки проведения и методы проверки.
-
Основного – во время него и осуществляется контроль.
-
Заключительного, предназначенного для обработки данных и составления отчета.
Подлежащие проверке вопросы вносятся в чек-лист, отражающий:
-
предмет и метод проверки;
-
вопросы, детализирующие ситуацию по предмету проверки;
-
результаты ответов на эти вопросы;
-
комментарии проверяющих.
Чек-лист позволяет логически правильно организовать процесс контроля, поэтому это основной рабочий документ при проведении проверки.
Примеры вариантов службы внутреннего аудита
Объем формируемой на предприятии службы внутреннего аудита определяют стоящие перед ней задачи.
Круг этих задач зависит:
-
от масштаба предприятия;
-
видов выполняемого на нем аудита;
-
требований к детальности освещения подлежащих контролю вопросов.
Качество же проверки напрямую определяет компетентность проводящих ее специалистов.
Поэтому вариантов такой службы множество. Минфин в информации № ПЗ-11/2013 (п. 18.1) в качестве примеров службы внутреннего аудита на предприятии называет:
-
управляющие предприятием органы;
-
ревизора или ревизионную комиссию;
-
главбуха или иное лицо, которому поручено ведение бухучета;
-
внутреннего аудитора или службу внутреннего контроля;
-
специальное лицо или подразделение, предусмотренное иными (не законом № 402-ФЗ) законодательными актами;
-
иное лицо или подразделение, имеющееся на предприятии.
То есть служба внутреннего аудита может быть представлена как самостоятельной разветвленной структурой со своими органами управления, так и отдельным специалистом.
На предприятиях с филиалами возможно создание таких служб в каждом из филиалов.
На малом предприятии все функции по контролю может взять на себя руководитель (п. 20 информации Минфина № ПЗ-11/2013).
Итоги
Организация внутреннего аудита на предприятии предусмотрена законом № 402-ФЗ, т. е. предполагает контроль за процессами, отраженными в бухучете и бухотчетности.
Однако круг задач такого аудита может быть шире. Определяет сферу применения внутреннего контроля само предприятие.
Оно же разрабатывает структуру службы, осуществляющей контрольные мероприятия, перечень функций и методологию проведения проверок.