Система внутреннего контроля

Аудитор должен обладать знаниями о системе внутреннего контроля (табл. 9.1), необходимыми для проведения аудита, и использовать их для выявления возможных искажений информации.

Система внутреннего контроля включает следующие элементы:

  • • контрольная среда;
  • • процесс оценки рисков аудируемым лицом;
  • • информационная система, в том числе связанная с подготовкой отчетности;
  • • контрольные действия;
  • • мониторинг средств контроля.

Контрольная среда – это осведомленность руководителей предприятия и их практические действия, направленные на установление и поддержание системы внутреннего контроля.

Изучение контрольной среды экономического субъекта необходимо аудитору для оценки отношения к средствам внутреннего контроля руководства организации, его осведомленности и предпринимаемых относительно указанных средств действий.

Оценка рисков аудируемым лицом представляет процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий.

Контрольные действия включают политику и процедуры, помогающие удостовериться, что распоряжения руководства выполняются.

Таблица 9.1

Памятка аудитора при аудите системы управления организаций

Этапы аудита

Нормативно-законодательная база

Разъяснения (комментарии)

Проверка состояния внутреннего контроля на предприятии

ФПСАД №8

Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам.

Контрольная среда включает следующие элементы: доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей; профессионализм (компетентность сотрудников); участие собственника или его представителей; компетентность и стиль работы руководства; организационная структура; наделение ответственностью и полномочиями; кадровая политика и практика

Оформление результатов аудита

ФПСАД

№2

Под термином «документация» понимаются рабочие документы и материалы, подготавливаемые аудитором или для аудитора либо получаемые и хранимые им в связи с проведением аудита.

Рабочие документы используются:

  • • при планировании и проведении аудита;
  • • при осуществлении текущего контроля

и проверки выполненной аудитором работы;

• для фиксирования аудиторских доказательств, получаемых в целях подтверждения мнения аудитора.

Для повышения эффективности аудита допускается использовать в ходе проверки графики, аналитическую и иную документацию, подготовленные аудируемым лицом.

В этих случаях аудитор обязан убедиться, что такие материалы подготовлены надлежащим образом. Аудитору необходимо установить надлежащие процедуры для обеспечения конфиденциальности, сохранности рабочих документов, а также их хранения в течение достаточного периода времени, но не менее пяти лет

Мониторинг средств контроля включает регулярную оценку организации и применения средств контроля и осуществляется в целях обеспечения непрерывной аффективной работы этих средств.

Специалист в области аудита Р. Адамс считает, что система внутреннего контроля организуется для того, чтобы:

  • • осуществлять деятельность предприятия упорядоченно и эффективно;
  • • обеспечить соблюдение политики руководства;
  • • обеспечить сохранность имущества;
  • • достичь качественного документирования хозяйственных операций.

Организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, угрожающих достижению любой из перечисленных выше целей.

Таким образом, экономический субъект должен обеспечить функционирование системы внутреннего контроля, которая была бы достаточной для того, чтобы:

  • • сформировать полную и достоверную отчетность, подтвержденную документально;
  • • выявить отклонения финансовых результатов от плановых показателей;
  • • обнаружить факты хищений, злоупотреблений и неэффективного использования хозяйственных средств.

Аудитору следует убедиться в применении аудируемым лицом таких процедур внутреннего контроля, как:

  • • проверка наличия материальных ценностей, поступивших в организацию но сомнительным документам;
  • • анализ сырья и продукции;
  • • контрольный запуск сырья в производство;
  • • внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;
  • • проведение инвентаризаций (плановых и внеплановых);
  • • проверка правильности осуществления документооборота и наличия разрешительных подписей на документах;
  • • сравнение данных, полученных от внутренних источников, с данными внешних источников информации;
  • • проверка состояния средств предприятия (осмотр объектов, получение объяснений от надлежащих лиц);
  • • ограничение доступа несанкционированных лиц к активам предприятия, системе ведения документации;
  • • осуществление контроля над прикладными программами и компьютерными информационными системами.

Анализируя постановку внутреннего контроля, аудитор должен учитывать, что за внутренний контроль отвечает само аудируемое лицо, его специальное контрольное подразделение – управление (отдел).

Оформление результатов аудита

Аудитор должен документально оформлять все сведения, важные с точки зрения предоставления доказательств, подтверждающих аудиторское мнение. В ходе аудита системы управления экономического субъекта составляются сводные аналитические таблицы, статистические выборки, диаграммы, схемы, записи по отдельным разделам. Эти рабочие документы могут быть представлены в виде данных, зафиксированных на бумаге, фотопленке, в электронном виде или в другой форме. Рабочие документы при проверке системы управления обычно содержат:

  • • информацию, касающуюся организационной структуры аудируемого лица, оценку этой структуры;
  • • информацию об отрасли, экономической и правовой сфере, в которой аудируемое лицо осуществляет свою деятельность;
  • • информацию о состоянии системы внутреннего контроля;
  • • анализ наиболее важных экономических показателей и тенденций их изменения;
  • • другую информацию аудируемого лица, имеющую значение не только для последующего аудита, но и для будущих аудиторских проверок.

От качества указанной информации зависит эффективность последующих этапов совершенствования системы управления. Указанная выше документация должна соответствовать как минимум следующим требованиям:

  • • полнота, т.е. охват всех элементов системы управления;
  • • достоверность, основанная на фактах, первичных документах, статистических данных;
  • • объективность, отражающая подлинную сущность явления, а не субъективное мнение лица, проводящего аудит;
  • • сопоставимость, обеспечивающая возможность сравнить материалы аудита по разным периодам и аспектам.

Документирование и хранение информации о деятельности аудируемого лица должно осуществляться в соответствии с ФПСАД № 2 (см. табл. 9.1).

Например, в отчете о результатах анализа системы управления производственным предприятием, относящимся к машиностроительной отрасли, могут быть разделы:

  • • общая характеристика предприятия;
  • • анализ системы документооборота;
  • • анализ системы (технологии) управления затратами;
  • • анализ системы (технологии) управления денежными потоками;
  • • предложения по созданию системы планирования и бюджетирования;
  • • требования к автоматизированной системе управления предприятием;
  • • оценка корпоративных качеств персонала предприятия.

Кроме того, отчет может включать следующие пункты: ключевые показатели результатов деятельности (финансовые и нефинансовые); сметы; анализ различных вариантов развития деятельности; информацию по сегментам деятельности; информацию, содержащую сравнительный анализ результатов деятельности аудируемого лица с аналогичными показателями конкурентов, и др.

Классификатор типичных ошибок

Типичные недостатки в системе управления организацией:

  • • распределение функций между руководителями организации не соответствует производственной структуре и технологии;
  • • многоступенчатая структура управления, при которой эффективное управление в большинстве случаев невозможно;
  • • отсутствие положений о структурных подразделениях, должностных инструкций;
  • • отсутствие четких границ компетенции, полномочий заместителей руководителей цехов, служб предприятия (полномочия без ответственности, ответственность без полномочий);
  • • неправильное использование вспомогательных подразделений;
  • • значительные потери времени, возникающие из-за нарушения трудовой дисциплины в аппарате управления.

Андрей Коптелов,

Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.