Оценка системы внутреннего контроля в ходе аудита кратко

Обновлено: 30.06.2024

Вопрос о пользе внедрения СВА в компании периодически волнует многих руководителей. Особенно, если она не обязательна в сфере работы организации. А руководство тех компаний, где служба уже существует, после каждого отчета решает, насколько доверять рекомендациям аудиторов и какие из них внедрять.

Как внутренним аудиторам повысить уровень доверия к СВА при помощи правильного анализа данных, а также, как поддерживать имидж отдела, который сам всех проверяет, рассказываем в статье.

Анализ результатов внутреннего аудита

План согласовали, аудит организовали и результаты собрали. Пора переходить к этапу, ради которого все начинали — к анализу результатов и выводам, что дальше делать, чтобы прибыль росла, продуктивность сотрудников не снижалась, а строгие проверки не находили нарушений. И тут оказывается, что данных для обработки хватит на месяц, а начальство отчет требует через 3 дня: скорость реакции и принятия решений нынче в приоритете.

Специалисты Deloitte уточняют, что такой анализ приносит наилучшие результаты при работе аудиторов вместе с профильными специалистами и специалистами по интеллектуальному анализу данных. Перечислим преимущества командной работы и автоматизации аналитических функций.

  1. 1. Уменьшение длительности аудитов. Проанализировав данные, можно сделать основные выводы еще до проверки на местах. А также вычленить наиболее важные связи между различными процессами в компании среди бесконечного множества вариантов и оценить риски в режиме реального времени.
  2. 2. Снижение затрат в длительном периоде. Благодаря автоматизации и визуализации можно вести непрерывный мониторинг и оперативно выявлять наиболее вероятные риски.
  3. 3. Увеличение эффективности аудитов. Собирая и анализируя большее количество информации, можно сделать более глубокие и детализированные выводы.
  4. 4. Внедрение инноваций. Нравится нам это или нет, но за интеллектуальными технологиями будущее. Выиграют те, кто подружится с ними раньше других.

Показатели эффективности сотрудников СВА

Отчет с выводами и рекомендациями оформили и отдали начальству. Руководитель СВА готовит презентацию для собственников компании и должен быть уверен в качестве результатов, полученных от аудитора.

Убедиться в профессионализме подчиненных можно с помощью ключевых показателей эффективности (КПЭ). Разрабатывает показатели и проводит оценку сотрудников на соответствие этим критериям руководитель службы внутреннего аудита. Он же определяет периодичность проверки сотрудников.

Мы перечислили примерные варианты КПЭ, которые можно адаптировать под задачи компании.

Название Шкала Признак выполнения КПЭ Примечания
Внутренняя оценка качества деятельности от 1 до 5 баллов от 3 до 5 баллов руководитель может разработать свою шкалу и критерии соответствия
Соответствие кодексу этики да/нет да
Нет замечаний по выполняемым обязанностям 0–100 % не менее 90%
Достаточность доказательств и обоснованность выводов 0–100 % не менее 90%
Выполнение плана аудиторских проверок 0–100 % (отношение выполненных проверок к запланированным за определенный период) 100 % Руководитель может снижать признак выполнения в зависимости от специфики работы
Выполнение плана повышения квалификации пройдены все запланированные курсы При условии, что компания выделила финансирование
Замечания внешнего аудитора по учету и отчетности нет замечаний

Оценка системы внутреннего аудита

Оценка системы внутреннего аудита

Всех сотрудников отдела по отдельности оценили и в рейтинг по заслугам выстроили. Доложили результаты проделанной работы. Однако у руководства компании может возникнуть справедливый вопрос: насколько компетентна СВА в целом и стоит ли внедрять рекомендации. Как проконтролировать проверяющих?

Строгих предписаний по оценке деятельности службы внутреннего аудита не существует. Следовательно, в каждой компании критерии качества работы службы устанавливают самостоятельно.

Приведем в пример несколько классификаций показателей работы СВА.

  1. 1. Оценка результативности. Результативность подразумевает достижение цели без оглядки на цену и пути движения к ней. Ее критериями могут быть:
    • разработка и выполнение аудиторского плана;
    • удовлетворенность заказчиков аудита: отсутствие претензий и согласие внедрять рекомендации службы;
    • влияние рекомендаций на стоимость компании — оценивают по отношению предоставленных рекомендаций к внедренным;
    • защита и увеличение стоимости компании благодаря контролю бизнес-среды;
    • умение выстроить отношения с проверяемыми отделами и руководством.
  2. 2. Оценка эффективности. Эффективный процесс означает выбор лучшего из возможных способов, то есть он учитывает расходы на достижение цели. Такая работа приводит к положительному результату с наименьшими затратами. Характеристиками эффективности служат:
    • выполнение бюджета;
    • соблюдение сроков аудиторских проверок и сдачи отчетов;
    • выполнение программ повышения квалификации;
    • своевременное и правильное выявление рисков и реагирование на них;
    • знание бизнес-процессов компании;
    • применение технических навыков и цифровых технологий в работе СВА.
  3. 3. Качественная оценка:
    • соблюдение Стандартов внутреннего аудита и Кодекса этики;
    • качество внутренней документации, регламентирующей работу СВА;
    • профессиональный уровень и повышение квалификации аудиторов;
    • удовлетворенность заказчиков аудита (собственников и топ-менеджеров).
  4. 4. Количественная оценка:
  • экономия от обнаруженных нарушений;
  • финансовые затраты из-за выявленных внешними органами нарушений;
  • отношение расходов на СВА к общим расходам компании.
  • доля выполнения аудиторского плана и выполненных запросов по внеочередным проверкам;
  • отношение вовремя внедренных рекомендаций к общему числу принятых;
  • доля вовремя сданных аудиторских отчетов от общего их числа;
  • количество нарушений, выявленных СВА;
  • количество нарушений, выявленных внешними аудиторами;
  • количество улучшенных процессов благодаря рекомендациям СВА.
  • отношение незанятых вакансий к общему их числу;
  • скорость смены сотрудников на должности;
  • отношение сертифицированных сотрудников к их общему числу;
  • отношение сотрудников с опытом аудита более 3 лет к общему числу сотрудников;
  • доля премии относительно ставки в общей зарплате сотрудников.

Еще раз уточним, что эти критерии для оценки деятельности службы внутреннего аудита приведены для примера. Руководители компании могут адаптировать их к своим задачам или считать, что какие-то из представленных вариантов не показывают релевантную картину работы службы.

Например, не все согласны с тем, что надо ориентироваться на число нарушений, выявленных СВА. Если служба функционирует в компании не первый год, то с течением времени количество нарушений снижается. Это тоже может быть показателем хорошей работы в долговременной перспективе.

Коротко о главном

  1. 1. Чтобы вывести на новый уровень качество и скорость анализа результатов внутреннего аудита на предприятиях, необходимо внедрять современные интеллектуальные технологии. В результате компания получит более продуктивную модель организации внутренних аудитов и повысит экономическую эффективность принятых решений.
  2. 2. Руководитель СВА может оценивать качество работы сотрудников службы, ориентируясь на ключевые показатели эффективности. Какие показатели расчитывать и как часто это делать, начальник службы определяет самостоятельно в зависимости от целей и задач СВА в компании.
  3. 3. Выбор характеристик для оценки деятельности СВА в целом также зависит от конкретных задач и миссии организации. Собственники и высшее руководство определяют критерии проверки качества работы службы, когда планируют ее создание в компании. Со временем эти показатели могут изменяться.

Проведение аудитов, как и все в нашем мире сегодня, стремится к цифровизации и работе с Big Data. Интересуетесь современными технологиями и профессией внутреннего аудитора, но не знаете, с чего начать? Начните с бесплатного занятия на курсах для аудиторов в нашей Академии!

Действия сотрудников компании, направленные на повышение вероятности достижения поставленных перед организацией целей, называются контролями. Совокупность таких действий внутри организации называется системой внутренних контролей.

События, которые могут оказать негативные воздействия на организацию и ее целевые показатели, называются рисками.

Проще говоря, риск – это всё, что ставит под угрозу достижение целей, а контроль – это все действия, которые минимизируют риски и, соответственно, повышают вероятность достижения целей.

Риски, цели и контроли тесно взаимосвязаны с друг другом. Постановка целей компании автоматически означает принятие рисков, связанных с достижением данных целей.

Внутренние аудиторы постоянно работают с рисками и контролями, рекомендуя организации меры по повышению эффективности процессов корпоративного управления, управления рисками и контроля.

Рис. 1. Взаимосвязь целей, рисков и контролей


Разберем данную взаимосвязь на простом примере: на небольшом заводе, специализирующемся на производстве и продаже пластиковых бутылок, руководитель принимает решение о запуске производства пластиковых игрушек. Такое решение сопровождается с несколькими рисками, основные из которых: неконкурентная цена и неудачный дизайн игрушек. Далее менеджмент компании, осознавая данные риски, внедряет контрольные процедуры, позволяющие снизить вероятность наступления некоторых рисков, например, подготавливая исследование нового рынка, проводя анализ себестоимости нового продукта и сравнивая себестоимость с плановыми (ожидаемыми) значениями для достижения конкурентоспособной цены. Таким образом, если в компании эффективная система внутренних контролей, руководство получает разумную уверенность в том, что поставленные цели буду достигнуты.

Добавим в данный пример внутренних аудиторов:

нанять внешнюю компанию, которая будет периодически готовить исследование рынка,

утвердить организационную политику, в которой одним из ключевых принципов будет нетерпимость к мошенничеству,

ежегодного проводить производственные тестирования и пересматривать переменные затраты по продуктам, а также доработать алгоритмы расчета себестоимости в корпоративной системе учета.

Предназначение как контролей, так и рисков не всегда напрямую связано с достижением поставленных перед организацией целей. Ниже представлены три возможных области:

Область рисков и контролей

Описание

Эффективность и результативность операций

Выполнение операционных и финансовых целей организации, включая обеспечение сохранности активов.

Достоверность и полнота финансовой отчетности

Подготовка и публикация надёжной и достоверной финансовой отчетности.

Соблюдение применимых законов и правил

Соблюдение законов и нормативных требований, которые распространяются на деятельность организации.

Контроли, как и риски, могут функционировать (присутствовать) на трех уровнях: корпоративный, операционный и транзакционный. Ниже даны определения данных видов контролей из примера с заводом:

утверждение организационной политики – это корпоративный контроль, так как связан с основополагающими устоями/ценностями компании,

ежегодное проведение производственных тестирований – это операционный контроль, так как связан с контролем за повседневной деятельностью предприятия,

доработка алгоритмов расчета себестоимости в учете – транзакционный контроль, так как связан с настройками систем и достоверностью учета.

Необходимо отметить, что наиболее полезными являются контроли, которые выявляют и предотвращают негативные для компании события до того, как они произошли. Такие контроли называются упреждающими, или превентивными: например, разделение обязанностей между сотрудниками или проверка финансовой благонадежности покупателя перед отгрузкой продукции в кредит. Другой вид контролей – это детективные, или выявляющие (контроль по результатам). Такие контроли выявляют проблему уже после того как она произошла: например, периодическая кассовая инвентаризация.

Внутренний аудитор также всегда должен обращать внимание на стоимость внедрения контроля, иначе он рискует попасть в ситуацию, когда контроль, который он рекомендует, превышает стоимость потенциальных убытков от реализации рисков. Если бы внутренние аудиторы на заводе по производству пластика и игрушек рекомендовали привлекать на постоянной основе крупную международную компанию, чьи услуги стоят больших денег, то, возможно, стоимость такого контроля превышала бы прибыль, которую компания могла бы получать от продажи нового продукта.

Иногда контроль подробно описан в регламентах и максимально прозрачен, а иногда контроль абсолютно не формализован, тем не менее, такой контроль может быть эффективным. В качестве примера эффективного контроля можно привести действия руководителя, когда он на еженедельных собраниях уточняет у сотрудников статус по поставленным перед ними задачам и по итогам принимает решения, которые позволят достичь поставленных целей.

Для того, чтобы контроль был эффективным, он должен состоять из трех частей: постановка цели, сопоставление факта с ожиданиями, принятие корректирующих действий. Как вы видите, несмотря на то, что выше приведен пример неформализованного контроля, он всё равно содержит три действия. Перед встречами руководитель поставил цели, в процессе встречи он сопоставлял факт со своими ожиданиями и в итоге принимал корректирующие действия.

Эффективно работающая система внутренних контролей представляет собой взаимосвязь целей, компонентов и подразделений организации. Такая система несет выгоды как для руководства компании, так и для внешних агентов (законодательные и регулирующие органы, внешние аудиторы и даже потребители продукции или услуг).

В мире существуют множество моделей, демонстрирующих лучшие практики в построении системы внутренних контролей. В 1992 году Комитет спонсорских организаций Комиссии Тридуэя (COSO) разработал и описал наиболее известную модель взаимосвязи всех компонентов внутри организации (Internal control integrated framework). А в 2004 году COSO представил модель управления рисками организаций (Enterprise risk management integrated framework). Принятие и использование основ, заложенных в данных моделях, позволяет организациям построить эффективные системы корпоративного управления.

ПО ЗАКОНУ


7 МИН

Как провести внутренний аудит

Задача внутреннего аудита — предугадать финансовые риски и повысить эффективность менеджмента. Разбираемся, как проверить работу собственной компании.


Что такое внутренний аудит компании

Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации аудитора.

В ходе аудита решаются следующие задачи:

  • определить уровень эффективности работы подразделений;
  • оценить риски и разработать предложения по их умению;
  • проконтролировать соблюдение стандартов и принципов корпоративного управления.

По закону все предприятия должны проводить общий внутренний контроль или, проще говоря, проверку хозяйственной деятельности. Процедуру и итоги проверки компания обязана регламентировать самостоятельно, но строгих требований в законе нет, ответственности за нарушение не предусмотрено.

Ч. 1 ст.19 402-ФЗ
П. 17 ч. 4 Информации Минфина России № ПЗ-11/2013
П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013

Каким бывает внутренний аудит

Существует несколько видов внутреннего аудита. У каждого из них свои функции.

1

Операционный

Это контроль бизнес-процессов компании: эффективности работы подразделений, выполнения бизнес-планов, смет, политики управления и т. д.

1

Финансовый

Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель — оценить эффективность расходования средств компании и выявить риски.

1

Криминальный

Контроль рисков, связанных с нарушением норм законодательства. В первую очередь инспектируются налоговый учёт и платежи.

1

Аудит соответствия

Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые кодексы, корпоративная политика.

1

Экологический аудит

Его цель — проверить, выполняет ли компания требования по защите окружающей среды. Например, не превышен ли уровень вредных выбросов.

1

Аудит информационных технологий

Контроль безопасности информационных систем организации и эффективности процессов управления в области IT.

С чего начинается внутренний аудит

Согласно информации Минфина, положения о внутреннем контроле являются частью учредительных документов. В них прописывается общая процедура проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры, масштабов, документооборота.

П. 11 ч. 3 Информации Минфина России № ПЗ-11/2013

Проверка должна проходить на основании приказа руководителя, который содержит следующее:

  • даты проведения проверки;
  • кто проводит аудит;
  • условия для проведения внутреннего аудита;
  • способ контроля работы аудитора.

Факторы эффективной проверки

Важное условие — независимость и непредвзятость тех, кто проводит внутренний аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии, поскольку финансовая отчётность — один из главных объектов проверки.

Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При этом Министерство финансов рекомендует несколько вариантов: например, аудитором может быть действующая комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а в больших компаниях — специально созданное для этого подразделение. Допустимо также приглашать внешних консультантов.

Сроки и частота проверки устанавливается руководителем. Проводить аудит можно как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается аудиторская компания, сроки прописываются в договоре.

Как проводится внутренний аудит организации

Первый этап — планирование, для проверяющих готовят методологические документы. Они должны описывать:

  • цели и объекты внутреннего аудита предприятия;
  • процедуру контроля;
  • распределение обязанностей и функции внутренних или приглашённых аудиторов;
  • требования к оформляемым документам;
  • критерии оценки результатов контроля.

Перед каждой проверкой составляется чек-лист. Он включает в себя предмет и метод проверки, сроки, контрольные вопросы, план выборочных бесед с работниками, результаты проверки и комментарии проверяющих.

Второй этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей проверки и отвечают на вопросы. После этого начинается процедура по установленному заранее чек-листу.

Третий этап — подведение итогов и написание аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или генеральный директор.

Аудиторское заключение должно содержать следующую информацию:

  • название и реквизиты проверяемой организации;
  • сведения об аудиторе;
  • описание предмета проверки (например, перечень отчётности с указанием периода, за который она составлена);
  • сведения о работе, которую проделал аудитор;
  • описание найденных нарушений;
  • указание на документ или бизнес-процесс, в котором обнаружено нарушение;
  • ссылки на документ, регламентирующий вопрос;
  • перечисление всех возможных санкций за обнаруженные нарушения;
  • список мер для устранения нарушений.

Согласно Международному стандарту аудита , проверяющий должен сообщить руководству организации о нарушениях и согласовать сроки их устранения.

При этом по итогам финансовой проверки аудиторская организация или индивидуальный аудитор обязаны уведомить уполномоченные органы, если заподозрили проверяемую компанию в отмывании денег, а Федеральная налоговая служба имеет право потребовать у аудитора предоставить информацию, которую тот получил в ходе проверки.

В рамках выполнения аудита системы внутреннего контроля в программе IT Audit документируется выполнение следующих аудиторских процедур:

  • Изучение контрольной среды аудируемого лица (п. 14 МСА 315)
  • Изучение системы оценки рисков аудируемым лицом (п. 15, 16, 17 МСА 315)
  • Изучение информационной системы, связанной с финансовой отчетностью (п. 18, 19 МСА 315)
  • Изучение контрольных действий аудируемого лица (п. 20, 21 МСА 315)
  • Изучение мониторинга средств контроля аудируемого лица (п. 22, 23, 24 МСА 315)

Разделы аудита в программе IT Audit

По результатам рассмотрения системы внутреннего контроля производится расчет риска средств контроля.

Данные документы расположены в разделе Аудит системы внутреннего контроля аудируемого лица. По результатам заполнения данных документов аудитор оценивает риск средств контроля (производится качественная оценка)

Выявленные при заполнении документа риски существенного искажения вносятся в общий список рисков (Карта рисков) по разделу "Аудит бухгалтерской отчетности".

4. Оценка риска существенного искажения и аудиторского риска на уровне отчетности

В документ Оценка риска существенного искажения и аудиторского риска на уровне отчетности переносятся результирующие данные из рабочих документов по оценке рисков:

  • Ключевые элементы понимания деятельности организации и ее окружения (рассчитывается неотъемлемый риск)
  • Рассмотрение системы внутреннего контроля (оценивается риск средств контроля)
  • Расчет риска необнаружения

Оценка риска существенного искажения и аудиторского риска на уровне отчетности

Рабочие документы по рискам автоматически заполняется переменными

При создании рабочего документа программа автоматически заполняет переменные (наименование клиента, наименование проекта, руководитель задания, логотип аудиторской компании и т.д.), выделенные серым цветом

В столбце "Содержание ответа" выбирается необходимый вариант или вносится собственный. При необходимости документ изменяется в текстовом редакторе.

Порядок заполнения документа переменными приведен на странице Справки:

При необходимости содержание вопросов и ответы могут быть изменены в текстовом редакторе программы. Все внесенные изменения сохраняются в файле рабочего документа

Оценка выявленных рисков

Документирование выявленных рисков и их оценка производится в модуле Риски программы IT Audit:

  • на уровне отчетности и на уровне предпосылок (п. 5 МСА 315)
  • по видам операций (п. 25, п. 26, А122 МСА 315)
  • по бизнес-процессам (бизнес-риски) (п. 11, п. А21, п. А37, А40 МСА 315)

Читайте также: