Программа методика внутреннего аудита финансовых рисков

Сегодня мы постараемся раскрыть тему: "Программа методика внутреннего аудита финансовых рисков". Уточнить актуальность информации на 2020 год, а также задать интересующие вопросы вы можете дежурному юрисконсульту.

Внутренний аудит: риски и контроли

Автор: Артем Горлов, директор по внутреннему контролю и аудиту АО «РТИ», член Ассоциации «Институт внутренних аудиторов»

Действия сотрудников компании, направленные на повышение вероятности достижения поставленных перед организацией целей, называются контролями. Совокупность таких действий внутри организации называется системой внутренних контролей.

События, которые могут оказать негативные воздействия на организацию и ее целевые показатели, называются рисками.

Проще говоря, риск – это всё, что ставит под угрозу достижение целей, а контроль – это все действия, которые минимизируют риски и, соответственно, повышают вероятность достижения целей.

Риски, цели и контроли тесно взаимосвязаны с друг другом. Постановка целей компании автоматически означает принятие рисков, связанных с достижением данных целей.

Внутренние аудиторы постоянно работают с рисками и контролями, рекомендуя организации меры по повышению эффективности процессов корпоративного управления, управления рисками и контроля.

Рис. 1. Взаимосвязь целей, рисков и контролей

Разберем данную взаимосвязь на простом примере: на небольшом заводе, специализирующемся на производстве и продаже пластиковых бутылок, руководитель принимает решение о запуске производства пластиковых игрушек. Такое решение сопровождается с несколькими рисками, основные из которых: неконкурентная цена и неудачный дизайн игрушек. Далее менеджмент компании, осознавая данные риски, внедряет контрольные процедуры, позволяющие снизить вероятность наступления некоторых рисков, например, подготавливая исследование нового рынка, проводя анализ себестоимости нового продукта и сравнивая себестоимость с плановыми (ожидаемыми) значениями для достижения конкурентоспособной цены. Таким образом, если в компании эффективная система внутренних контролей, руководство получает разумную уверенность в том, что поставленные цели буду достигнуты.

Добавим в данный пример внутренних аудиторов:

Внутренние аудиторы будут собирать и анализировать информацию, на основе которой можно сказать о качестве имеющихся контролей. Например, внутренние аудиторы могут выявить, что исследование рынка не содержит достоверную информацию о предложении и спросе на рынке, поскольку его готовили те же люди, что отвечают за показатели по новому продукту, и они манипулируют данной информацией в своих целях. Или внутренние аудиторы могут обратить внимание, что анализ себестоимости делается неверно, так как часть переменных затрат, относящихся к производству игрушек, учтена в переменных затратах по производству пластиковых бутылок, что «на бумаге» занижает стоимость игрушек, но в реальности она выше. Далее внутренние аудиторы формулируют свои выводы руководству и рекомендуют варианты, каким образом можно улучшить систему внутренних контролей, например, они могут рекомендовать следующие действия:

КОНСУЛЬТАЦИЯ ЮРИСТА


УЗНАЙТЕ, КАК РЕШИТЬ ИМЕННО ВАШУ ПРОБЛЕМУ — ПОЗВОНИТЕ ПРЯМО СЕЙЧАС

8 800 350 84 37

нанять внешнюю компанию, которая будет периодически готовить исследование рынка,

утвердить организационную политику, в которой одним из ключевых принципов будет нетерпимость к мошенничеству,

ежегодного проводить производственные тестирования и пересматривать переменные затраты по продуктам, а также доработать алгоритмы расчета себестоимости в корпоративной системе учета.

Предназначение как контролей, так и рисков не всегда напрямую связано с достижением поставленных перед организацией целей. Ниже представлены три возможных области:

Область рисков и контролей

Описание

Эффективность и результативность операций

Выполнение операционных и финансовых целей организации, включая обеспечение сохранности активов.

Достоверность и полнота финансовой отчетности

Подготовка и публикация надёжной и достоверной финансовой отчетности.

Соблюдение применимых законов и правил

Соблюдение законов и нормативных требований, которые распространяются на деятельность организации.

Контроли, как и риски, могут функционировать (присутствовать) на трех уровнях: корпоративный, операционный и транзакционный. Ниже даны определения данных видов контролей из примера с заводом:

утверждение организационной политики – это корпоративный контроль, так как связан с основополагающими устоями/ценностями компании,

ежегодное проведение производственных тестирований – это операционный контроль, так как связан с контролем за повседневной деятельностью предприятия,

доработка алгоритмов расчета себестоимости в учете – транзакционный контроль, так как связан с настройками систем и достоверностью учета.

Необходимо отметить, что наиболее полезными являются контроли, которые выявляют и предотвращают негативные для компании события до того, как они произошли. Такие контроли называются упреждающими, или превентивными: например, разделение обязанностей между сотрудниками или проверка финансовой благонадежности покупателя перед отгрузкой продукции в кредит. Другой вид контролей – это детективные, или выявляющие (контроль по результатам). Такие контроли выявляют проблему уже после того как она произошла: например, периодическая кассовая инвентаризация.

Внутренний аудитор также всегда должен обращать внимание на стоимость внедрения контроля, иначе он рискует попасть в ситуацию, когда контроль, который он рекомендует, превышает стоимость потенциальных убытков от реализации рисков. Если бы внутренние аудиторы на заводе по производству пластика и игрушек рекомендовали привлекать на постоянной основе крупную международную компанию, чьи услуги стоят больших денег, то, возможно, стоимость такого контроля превышала бы прибыль, которую компания могла бы получать от продажи нового продукта.

Иногда контроль подробно описан в регламентах и максимально прозрачен, а иногда контроль абсолютно не формализован, тем не менее, такой контроль может быть эффективным. В качестве примера эффективного контроля можно привести действия руководителя, когда он на еженедельных собраниях уточняет у сотрудников статус по поставленным перед ними задачам и по итогам принимает решения, которые позволят достичь поставленных целей.

Для того, чтобы контроль был эффективным, он должен состоять из трех частей: постановка цели, сопоставление факта с ожиданиями, принятие корректирующих действий. Как вы видите, несмотря на то, что выше приведен пример неформализованного контроля, он всё равно содержит три действия. Перед встречами руководитель поставил цели, в процессе встречи он сопоставлял факт со своими ожиданиями и в итоге принимал корректирующие действия.

Читайте так же:  Сведения о результатах государственной регистрации юридических лиц

Эффективно работающая система внутренних контролей представляет собой взаимосвязь целей, компонентов и подразделений организации. Такая система несет выгоды как для руководства компании, так и для внешних агентов (законодательные и регулирующие органы, внешние аудиторы и даже потребители продукции или услуг).

В мире существуют множество моделей, демонстрирующих лучшие практики в построении системы внутренних контролей. В 1992 году Комитет спонсорских организаций Комиссии Тридуэя (COSO) разработал и описал наиболее известную модель взаимосвязи всех компонентов внутри организации (Internal control integrated framework). А в 2004 году COSO представил модель управления рисками организаций (Enterprise risk management integrated framework). Принятие и использование основ, заложенных в данных моделях, позволяет организациям построить эффективные системы корпоративного управления.

Программа методика внутреннего аудита финансовых рисков

РАЗГРАНИЧЕНИЕ ФУНКЦИЙ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА

Артём Ворончихин, член Института внутренних аудиторов

Опубликовано в книге «Управление рисками в России: 10 лет развития: сборник статей» / Рус. о-во упр. рисками; под общ. ред. В. В. Верещагина, А. Н. Елохина, М. А. Рогова, Т. Ю. Шемякиной, И. Ю. Юргенса. Москва: Деловой экспресс, 2013.

Любое предприятие, функция и, если говорить шире — не только о бизнесе, любой вид деятельности проходит различные стадии зрелости. На каждом этапе развития компании его собственники и руководство в том или ином порядке устанавливают приоритеты для более или менее широкого перечня целей, между которыми нужно распределить ресурсы. При этом, независимо от масштабов бизнеса и его отраслевой принадлежности — от небольшого продовольственного магазина до многоотраслевого транснационального конгломерата — капитан этого корабля осознаёт, что любому делу присущи риски, способные воспрепятствовать достижению поставленных целей. Соответственно, этими рисками нужно управлять. С другой стороны, как сама реализация проекта/стратегии, так и управление соответствующими рисками требуют ресурсов, использование которых необходимо контролировать.

Бизнес-литература и теория управления обычно оперирует как минимум тремя взаимосвязанными понятиями — «риск-менеджмент», «внутренний контроль» и «внутренний аудит». Управление рисками по сути своей является среди них самой «старой» и развитой функцией, поскольку присуще любому бизнесу с момента появления товарообмена. Но при этом как «наука» или организованная форма работы риск-менеджмент гораздо моложе, скажем, внутреннего аудита: риск-менеджмент как профессия оформился в 1970-1980-хх годах, в то время как первая (и самая развитая) профессиональная организация внутренних аудиторов The Institute of Internal Auditors образована в 1941 г. и насчитывает к настоящему времени более 200 тысяч активных участников, а единая международная профессиональная сертификация Certified Internal Auditor, подтверждающая квалификацию внутреннего аудитора, учреждена в 1974г., в то время как ни одна существующая сертификация риск-менеджеров, к сожалению, пока не получила всемирно признаваемого статуса.

Современная теория и практика (в частности, стандарты COSO ERM — Enterprise Risk Management, UK Corporate Governance Cadbury Act и другие) содержательно выделяют систему внутреннего контроля как наиболее широкое понятие, включающее в себя внутреннюю контрольную среду и корпоративное управление, собственно риски, их оценку и процедуры управления ими, включая контрольные процедуры как один из способов выявления и управления рисками.

Внутренний же аудит представляет собой функцию, параллельно с риск-менеджментом обеспечивающую эффективность системы внутреннего контроля и управления предприятием в целом. По определению Института внутренних аудиторов, внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации.

Система внутреннего контроля

Программа IT Аудит версии Профессионал позволяет организовать эффективную систему внутреннего контроля контроля бухгалтерского учета. Включанная в программу методика внутреннего контроля включает более 200 процедур внутреннего контроля.

Разработка индивидуальной методики внутреннего контроля

Бизнес каждой организации индивидуален. Наши специалисты, являющиеся аттестованными аудиторами, могут взять на себя подготовку индивидуальной методики внутреннего контроля и разработку автоматических процедур внутреннего контроля.

Внутренний контроль согласно закону «О бухгалтерском учете» 402-ФЗ

Статьей 19 Закона «О бухгалтерском учете» № 402-ФЗ от 09.12.2011 на предприятия возложена обязанность организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Под фактом хозяйственной жизни понимается сделка, событие, операция, которые оказывают или способны оказать влияние на финансовое положение, финансовый результат и (или) движение денежных средств организации.

Также предприятие обязано организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности. Исключение сделано для организаций, бухгалтерская отчетность которых не подлежит обязательному аудиту и в случае, если согласно учетной политике обязанность по ведению бухгалтерского учета возложена на руководителя предприятия.

Внутренний контроль способствует достижению эффективности, снижает риск потери активов, помогает обеспечению достоверности финансовой отчетности и соблюдению требований законодательства. Основными направлениями внутреннего контроля являются:

  • контрольная среда — контроль со стороны органов управления за организацией деятельности предприятия
  • процесс оценки рисков аудируемым лицом (контроль системы управления рисками и оценка рисков)
  • информационная система, в том числе связанная с подготовкой финансовой (бухгалтерской) отчетности
  • контрольные действия
  • мониторинг средств контроля

Оценка рисков по МСА

МСА требуют от аудитора выявлять и оценивать риски существенного искажения отчетности:

  • на уровне отчетности и на уровне предпосылок (п. 5 МСА 315)
  • по видам операций (п. 25, п. 26, А122 МСА 315)
  • по бизнес-процессам (бизнес-риски) (п. 11, п. А21, п. А37, А40 МСА 315)

Процедуры проверки по существу в ответ на значительные риски

В программе IT Audit в карточке риска на вкладке Процедуры можно задокументировать процедуры в ответ именно на данный риск. Выбранные процедуры автоматически будет добавлены в план аудита.

Читайте так же:  Помогу открытии бизнеса

В программе IT Audit предусмотрено, что по одному риску может быть запланировано несколько процедур. Одна процедура может быть выполнена и задокументирована по нескольким выявленным рискам.

Бесплатные обучающие вебинары по IT Audit

Ответим на вопросы действующих и потенциальных пользователей. Покажем работу программы и рабочие документы по МСА.

2. Выполнение проверки

Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.

Основные практические рекомендации по выполнению проверки заключаются в следующем.

  • Проведение анализа целей аудируемого процесса даст представление о существенных недостатках СВК процесса. Анализ целей можно провести на соответствие формулировок критериям SMART, определить соотношение долгосрочных, среднесрочных и краткосрочных целей, соотношение целей аудируемого подразделения и корпоративного центра.
  • Одним из эффективных способов подтверждения дизайна контрольных процедур является метод прослеживаемых операций / walk throught. Для этого нужно выбрать конкретные операции или документы и проследить их путь от начала до конца процесса.
  • Дизайн контрольной процедуры – это совокупность элементов, составляющих контрольную процедуру: покрытие риска контролем, место выполнения контроля, исполнитель контроля, информация и ресурсы, условия выполнения, объем контроля, метод контроля, свидетельства контроля, регламент контроля.

Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.

Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.

Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.

Оценка рисков по строке отчетности

В программе IT Audit риски по отчетности могут быть оценены вплоть до уровня строк отчетности. В методике программы по рискам предусмотрены соответствующие процедуры (процедуры в ответ на оцененные риски). Это позволяет сформировать план аудита по проверке разделов аудита (строк отчетности) с учетом оцененных рисков.

Выявление и оценка рисков по видам операций

В программе IT Audit предусмотрена выявление и оценка рисков по видам операций, остатков по счетам. По одному классу операций (вид операции) может быть внесено несколько рисков.

Оценка рисков по предпосылкам отчетности

По каждому выявленному риску производится оценка риска существенного искажения (РСИ) по предпосылкам отчетности.

В программе предусмотрена настройка, позволяющая оценивать риск по компонентам: неотъемлемый риск, риск средств контроля или только на уровне риска существенного искажения (РСИ) (п. A40 МСА 200 «Основные цели независимого аудитора и проведение аудита в соответствии с международными стандартами аудита»).

В методике аудита для документирования РСИ предусмотрен рабочий документ «Оценка рисков существенного искажения отчетности по предпосылкам». Данные по строкам отчетности автоматически подтягиваются из загруженной из файла xml отчетности.

Рабочие документы по оценке рисков

В программе IT Audit по результатам документирования оценки рисков и средств контроля предусмотрено несколько отчетов, которые формируются автоматически:

  • Реестр рисков / Журнал рисков
  • Карточка риска
  • Контроль качества в отношении рисков при выполнении аудиторского задания
  • Реестр средств контроля / Журнал средств контроля
  • Карточка средства контроля
  • Контроль качества в отношении средств контроля при выполнении аудиторского задания

В программе предусмотрен рабочий документ Оценка рисков существенного искажения отчетности по предпосылкам. Данный документ заполняется по Бухгалтерскому балансу и Отчету о финансовых результатах.

Бесплатные обучающие вебинары по IT Audit

Ответим на вопросы действующих и потенциальных пользователей. Покажем работу программы и рабочие документы по МСА.

Программа методика внутреннего аудита финансовых рисков

  • Возможности программы
    • Обзор программы
    • План аудита
    • Расчет существенности
    • Оценка отчетности
    • Оценка рисков и средств контроля
    • Рабочие документы аудитора
    • Выгрузка и загрузка данных бухучета
    • Виды операций
    • Аудиторская выборка
    • Аудиторское заключение и отчет
    • Подписание документов электронной подписью
    • Частые вопросы при покупке
  • Методика аудита по МСА
    • Типовая методика аудита
    • Создание методики аудита
    • Взаимоувязка показателей отчетности
    • Коэффициенты финанализа
  • Контроль качества
    • Внешний контроль качества аудита
    • Программа проверки РСА

Документирование и оценка рисков

Документирование оценки выявленного риска производится в форме Карточка риска. Риски по отчетности могут быть выбраны из справочника типовых рисков или внесены аудитором самостоятельно.

Внутренний финансовый контроль бухгалтерского учета в IT Аудит

В целях организации системы внутреннего финансового контроля, программа IT Аудит: Аудитор предоставляет следующие возможности:

Выявление и оценка рисков на уровне отчетности

Оценка риска существенного искажения на уровне отчетности в программе IT Audit производится при выполнении следующих аудиторских процедур.

Выявленные риски существенного искажения на уровне отчетности вносятся в единый реестр рисков по группе рисков Аудит бухгалтерской отчетности.

Использование модуля Риски для разработки системы внутреннего контроля аудируемых лиц

1. Планирование проверки

Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.

При проведении планирования следует обратить внимание на следующие моменты.

Рабочие документы по рискам

Реестр выявленных и оцененных рисков | Карта рисков

Проделанная аудитором работа по выявлению и оценке рисков позволяет сформировать реестр рисков по заданию (Карта рисков).

При необходимости реестр рисков можно сформировать по разделам аудита и отдельным бизнес-процессам — бизнес-риск. Находять на необходимом разделе или бизнес-процессе можно посмотреть и сразу же открыть карточку с подробной информаций о риске.

Создание собственной методики аудита

Видео (кликните для воспроизведения).

Модуль Методолог позволяет скопировать типовую методику аудита и на ее основе создать собственную методику аудита. При обновлениях программы вне внесенные вами изменения в методику будут сохранены. Работая над проектом по аудиту вы сможете одновременно использовать две методики: типовую методику от разработчиков и собственную методику аудита.

Имеющиеся в аудиторской компании наработки и предоставленные СРО шаблоны документов встраиваются в программу IT Audit. Навыки программирования не требуются. Все делается в простом визуальном редакторе на основании текстовых и табличных файлов. С созданием методики аудита справится любой опытный пользователь программы. Встраивание в программу своего рабочего документа и настройка его на автоматическое заполнение занимает от 3 до 5 минут.

Программа IT Audit позволяет одновременно использовать несколько методик аудита. Вы можете использовать методику аудита от разработчиков программы, а также комплект документов от СРО Ассоциация «Содружество» и СРО «Российский Союз Аудиторов».

Методика проведения аудита системы внутреннего контроля бизнес-процесса

Цель данной статьи – показать возможность совершенствования методики проведения аудита системы внутреннего контроля бизнес-процесса компании путем разработки технологии аудита и предоставления практических рекомендаций по проведению внутренней аудиторской проверки.

Результаты данной работы могут быть полезны широкому кругу лиц: от внутренних аудиторов – для использования ее в качестве пособия – до руководителей компаний, заинтересованных в проведении оценки системы внутреннего контроля бизнес-процессов.

Читайте так же:  Решение об утверждении устава ооо образец

Современные тенденции в деятельности компании связаны с повышением роли и значимости внутреннего контроля для достижения целей компании. Руководители крупных компаний начинают понимать, что успех в бизнесе возможен только при наличии четко выстроенной и эффективной системы внутреннего контроля.

Внутренний аудит ставит перед собой цель – оценить эффективность системы внутреннего контроля компании, но следует отметить, что реализация данной цели является очень трудоемким и ресурсозатратным процессом. Поэтому часто аудиторы оценивают СВК отдельных бизнес-процессов либо компаний.

Оценка СВК осуществляется в соответствии с моделью COSO IC [7]. При проведении аудита системы внутреннего контроля осуществляется комплексная оценка всех элементов, составляющих данную систему:

  1. компонентов СВК (контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг);
  2. целей, достижение которых контролируется (операционные цели, цели в сфере подготовки отчетности, цели в области соблюдения законодательства);
  3. четырех организационных уровней (уровень функции (бизнес-процесса), уровень операционной единицы (подразделения), уровень дивизиона (направления бизнеса), уровень организации (группы)).

В соответствии с моделью, обновленной в 2013 г., выделются 17 принципов, которые помогают наиболее полно охватить всю систему внутреннего контроля (см. рис. 1).

Рис. 1. Краткие формулировки принципов системы внутреннего контроля

Таким образом, при аудите СВК бизнес-процесса оценивается эффективность всей СВК в целом и каждого элемента СВК в частности.

Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.

С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:

  • Международные профессиональные стандарты внутреннего аудита определяют общие принципы проведения аудиторской проверки [5];
  • Международные стандарты аудита 1 и стандарт PCAOB 2 (в частности, аудиторский стандарт № 5 «Проведение аудита внутреннего контроля над финансовой отчетностью, интегрированный в общий аудит финансовой отчетности») [8];
  • Методика проведения внутренней аудиторской проверки, описанная в статье И.А. Красновой «Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов» [3];
  • Альтернативная методика аудита СВК, наиболее часто применяемая в банковском секторе, представленная в статье Н.М. Заварихина, Ю.В. Потехиной «Методология и методика внутреннего аудита в коммерческих банках» [2] и мн. др.

Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).

Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.

Рассмотрим основные элементы методики проведения аудита СВК.

3. Формирование отчета, завершение проверки

На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.

Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.

Основные практические рекомендации по написанию отчета:

  • Отчет по внутренней аудиторской проверке содержит две части: вводную и основную.
    Во вводной части «Аудиторского отчета» представляется общая информация о проверке, как то:
    • цель, объект и предметы проверки;
    • состав аудиторской группы, сроки проведения проверки.

    Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

  • Обычно окончательная версия «Аудиторского отчета» представляется: заказчику аудита – лицу, инициировавшему данную проверку; владельцу аудируемого бизнес-процесса; другим заинтересованным пользователям на усмотрение руководителя СВА компании.
  • Не следует пренебрегать проведением совещания «Закрытие проекта» с владельцем процесса. Целью данной встречи является обсуждение сильных и слабых сторон системы внутреннего контроля, обсуждение выполненных или планируемых корректирующих мероприятий по результатам внутренней аудиторской проверки.
Читайте так же:  Регистрация предприятия юридический адрес

Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.

Список литературы

1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.

2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.

3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.

4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.

5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).

6. Институт внутренних аудиторов.

7. COSO Internal Control 2013. Integrated Framework.

1 Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.

2 Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.

© Интернет-проект «Корпоративный менеджмент», 1998–2018

Внутренний аудит финансово-хозяйственной деятельности организации и финансовой отчетности

для главных бухгалтеров, аудиторов, специалистов, занимающихся учетом, планированием и управлением финансами.

Стоимость обучения с получением сертификата ИПБ — 38 900 р.

Удостоверение о повышении квалификации в объеме 40 часов (лицензия № 3094 от 15.08.2017).

Для оформления удостоверения необходимо предоставить:

  • копию диплома о высшем или среднем профессиональном образовании (в случае получения диплома не в РФ, просим уточнить необходимость процедуры признания иностранного диплома в РФ по контактным телефонам или электронной почте)
  • копию документа, подтверждающего изменение фамилии (если менялась).

В пакет участника входит:

  • обучение по заявленной программе;
  • комплект информационно-справочных материалов, в который включены образцы документов, разрабатываемых службой внутреннего аудита;
  • экскурсионная программа;
  • ежедневные обеды и кофе-брейки.

Посмотреть полную программу семинара и зарегистрироваться на него Вы можете на сайте.

Возможно корпоративное обучение (для сотрудников только Вашей компании) или специальные предложения для корпоративных клиентов.

Оценка эффективности деятельности службы внутреннего аудита в финансовых организациях

Ознакомление и оценка средств контроля по выявленным рискам | Тестирование средств контроля

По выявленному риску аудитор может задокументировать применяемые аудируемым лицом средства контроля. Программа позволяет по одному риску внести несколько контролей.

Документирование понимания и оценка средств контроля организации приводится в форме карточка средства контроля.

Для документирования тестирования средства контроля аудитор создает необходимую аудиторскую процедуру и вносит ее на вкладку Процедуры карточки средства контроля. Собранные аудиторские доказательства и выводы относительно операционной эффективности соответствующего средства контроля хранятся в карточке процедуры.

Для выполнения требований п. 10 МСА 330 «Аудиторские процедуры в ответ на оцененные риски» заполняется рабочий документ Тестирование средства контроля.

Видео (кликните для воспроизведения).

Методика аудита в IT Audit включает:

  • Перечень разделов аудита
  • Перечень аудиторских процедур (более 400) и рабочих документов по процедурам
  • Типовые риски и типовые средства контроля
  • Перечень типовых нарушений с описанием нормативной базы
  • Расчет уровня существенности
  • Расчет финансовых коэффициентов
  • Взаимовязку показателей отчетности

Рабочие документы СРО РСА в программе IT Audit

Пользователи программы IT Audit могут загрузить рекомендуемый комплект рабочих документов по МСА, разработанный СРО РСА. Одновременно по проекту можно использовать рабочие документы, предложенные разработчиками IT Audit, и рекомендованные РСА.

Документы РСА по МСА в программе IT Audit | посмотреть видеоролик

Перечень разделов аудита и аудиторских процедур в программе IT Audit

Бесплатные обучающие вебинары по IT Audit

Ответим на вопросы действующих и потенциальных пользователей. Покажем работу программы и рабочие документы по МСА.

Справочник типовых нарушений

Справочник типовых нарушений постоянно обновляется. На текущий момент в справочнике порядка 650 нарушений по основным разделам аудита. Для примера приведены некоторые типовые нарушения по разделу «Аудит расчетов с персоналом».

Выявление и оценка бизнес-рисков

В программе предусмотрено при выполнении задания на аудит документировать любые бизнес-процессы и вносить по ним значимые бизнес-риски, которые могут привести к рискам существенного искажения. При внесении бизнес-риска вместо раздела аудита выбирается необходимый бизнес-процесс. В программу могут быть внесены бизнес-процессы аудируемого лица.

Эффективность деятельности службы внутреннего аудита зависит от соблюдения общепринятых стандартов деятельности, а также выполнения нормативных требований.

Требования регуляторов не содержат четких критериев и признаков, а также определенного набора ключевых показателей и индикаторов, позволяющих сделать объективное заключение об эффективности функционирования службы. Каждая организация самостоятельно определяет перечень параметров, характеризующих эффективность службы, разрабатывая процедуры расчета и оценки ключевых показателей с тем, чтобы получить объективную оценку.

В последнее десятилетие профессия внутреннего аудитора становится востребованной и динамично развивается на просторах экономической жизни хозяйствующих субъектов. Постепенно уходит в прошлое образ ревизора и на смену ему приходит качественно новый специалист, основной задачей которого является помощь руководству компании в повышении эффективности ее деятельности.

Кроме того, весомый вклад в развитие корпоративного управления вносит обновленная служба внутреннего аудита (далее — СВА), поскольку деятельность данной службы является важным и разумным путем совершенствования системы внутреннего контроля организации.

Сложившийся в кредитных организациях стереотип о том, что СВА — это тормоз для бизнеса, придуманный в недрах регулятора, тоже постепенно отмирает.

Нужно четко помнить о причинах большинства случаев отзыва банковских лицензий. Чаще всего за формулировкой о нарушении банковского законодательства и нормативов стоят просчеты в стратегии развития кредитной организации, неэффективность системы внутреннего контроля и, как следствие, выстраивание деятельности по линии наименьшего сопротивления, что заканчивается выводом активов и нарушениями законодательства в области легализации капитала.

Деятельность службы внутреннего аудита — это искусство. Оценивать в целом деятельность СВА московского банка по количеству недочетов, допущенных в филиале, который находится во Владивостоке, также неправильно, как оценивать по стене, на которой висит картина, творчество художника. Нужно четко понимать, что недочеты будут всегда. Правильно говорить об их материальности и последствиях. Регулятор пишет обширные акты инспекционных проверок в том числе и для того, чтобы в дальнейшем к нему не было вопросов со стороны контролирующих органов (например, прокуратуры). Акты комплексных инспекционных проверок составляют 700–800 страниц при проверке среднего по масштабам деятельности банка. Неужели каждый раз увольнять руководителя СВА по результатам проверок, когда в акте сказано, что «служба внутреннего контроля неадекватна»? В качестве доказательства обычно приводится ворох копеечных недочетов, за которые не отвечает СВА.

Попробуем ответить на эти непростые вопросы в рамках международного опыта, который не ограничивается только деятельностью Института внутренних аудиторов.

Прежде всего нужно вспомнить о системе внутреннего контроля. Во-первых, она всегда имеет ограничения. Наиболее часто встречающееся ограничение — это сговор. Система не работает, если материально ответственный сотрудник достигает взаимопонимания с сотрудником службы безопасности по вопросу раздела похищаемого имущества. Не работает система и тогда, когда один из руководителей организации «забывает» о цели деятельности компании, начиная соблюдать только собственные интересы. Во-вторых, любая система имеет свою стоимость. Сколько акционеры готовы платить за абсолютную уверенность в сохранности активов? СВА должна быть готова выявить и оценить признаки зреющих проблем.

Возникает вопрос о том, что вообще может служить стимулом построения эффективной системы внутреннего контроля. Обычно выделяют следующие составляющие:

— ожидания основных акционеров кредитной организации, кредиторов, а также потенциальных инвесторов (например, при выходе на IPO);

— реорганизация корпоративного управления банка с учетом передовой практики;

— идентификация рисков, имеющих значительный потенциал негативного влияния на деятельность банка, с учетом высокой вероятности реализации;

— изменения требований регулятора.

Таким образом, повышаются и требования, предъявляемые к СВА в организации.

Оценка роли службы внутреннего аудита в организации

Оценка роли СВА в организации зависит от ряда обстоятельств. Наиболее наглядно модель оценки роли внутреннего аудита показана компанией «ПрайсвотерхаусКуперс», которая разработала ее для оценки роли СВА в настоящее время и в будущем (рисунок).

В отношении трех компонентов следует прокомментировать наиболее важные моменты, а именно:

Рисунок. Иерархия роли внутреннего аудита

Компонент 1. Оценка текущего состояния. Фактически обеспечивается разумная уверенность высшего руководства и комитета по аудиту в соответствии требованиям, установленным процедурам и положениям политик, а также в существовании механизмов внутреннего контроля. Основной акцент делается на уровне проектов, сделок и процессов. СВА анализирует бизнес-процессы, вопросы корпоративного управления, используя надежные методики и проверенные процедуры внутреннего аудита.

Компонент 2. Повышение эффективности бизнеса. В дополнение к перечисленному выше СВА осуществляет инициативное содействие руководству организации в совершенствовании бизнес-процессов, повышении эффективности и результативности, в получении денежной экономии от предлагаемых инициатив. Персонал СВА обладает специальными профессиональными навыками, необходимыми для понимания осуществляемого бизнеса с целью проведения адекватной оценки.

Компонент 3. Перспектива развития функции внутреннего аудита. В дополнение к перечисленному в пунктах 1 и 2 СВА предоставляет подтверждение относительно достаточности и эффективности контроля за реализацией проектов и изменениями бизнеса посредством оценки адекватности процессов выявления и управления рисками. Осуществляется оценка финансовой эффективности бизнеса в будущем с учетом рисков, которые могут помешать реализации намеченной стратегии.

Акцент делается на контролях, процессах, управленческой информации. Выходит на первый план вопрос обеспечения большей стоимости бизнеса для собственников, которая достигается за счет учета долгосрочных перспектив и поддержки стратегических задач и целей организации.

С повышением роли внутреннего аудита, расширением функций и полномочий руководство и акционеры начинают предъявлять повышенные требования к полноте и качеству работы СВА, своевременности выявления и предотвращения нарушений, адекватности рекомендаций и наличию процедур мониторинга.

Критерии эффективности деятельности службы внутреннего аудита

Далее рассмотрим примерный перечень ключевых параметров, которые оказывают существенное влияние на эффективность функционирования СВА в кредитной организации и соответственно могут быть использованы для оценки степени зрелости функции внутреннего аудита на текущий момент и эффективности выполняемой деятельности. Перечень ключевых критериев/контрольных показателей, по которым можно провести оценку эффективности функции внутреннего аудита, сгруппируем по типам задач и иным признакам, характеризующим степень соответствия внутреннего аудита поставленным стратегическим целям и общепринятым стандартам международной практики. Предложим возможный подход/качественные критерии для проведения оценки показателей. Данный подход примерный и уточняется в каждом случае одновременно с разработкой весовых коэффициентов, которые присваиваются каждому из параметров в зависимости от степени важности критерия для каждой организации (таблица).

Таблица. Перечень примерных качественных критериев для оценки степени зрелости функции внутреннего аудита

Контрольные параметры/задачи

Целевые значения контрольных параметров

Пример критериев оценки значенийконтрольныхпараметров*

Пример удельных весовконтрольных параметров** (в %)

Источники

Читайте так же:  Дарение акций зао третьему лицу
Программа методика внутреннего аудита финансовых рисков
Оценка 5 проголосовавших: 1