Аудитор должен обладать знаниями о системе внутреннего контроля (табл. 9.1), необходимыми для проведения аудита, и использовать их для выявления возможных искажений информации.
Система внутреннего контроля включает следующие элементы:
- • контрольная среда;
- • процесс оценки рисков аудируемым лицом;
- • информационная система, в том числе связанная с подготовкой отчетности;
- • контрольные действия;
- • мониторинг средств контроля.
Контрольная среда – это осведомленность руководителей предприятия и их практические действия, направленные на установление и поддержание системы внутреннего контроля.
Изучение контрольной среды экономического субъекта необходимо аудитору для оценки отношения к средствам внутреннего контроля руководства организации, его осведомленности и предпринимаемых относительно указанных средств действий.
Оценка рисков аудируемым лицом представляет процесс выявления и, по возможности, устранения рисков хозяйственной деятельности, а также их возможных последствий.
Контрольные действия включают политику и процедуры, помогающие удостовериться, что распоряжения руководства выполняются.
Таблица 9.1
Памятка аудитора при аудите системы управления организаций
Этапы аудита |
Нормативно-законодательная база |
Разъяснения (комментарии) |
Проверка состояния внутреннего контроля на предприятии |
ФПСАД №8 |
Система внутреннего контроля представляет собой процесс, организованный и осуществляемый представителями собственника, руководством, а также другими сотрудниками аудируемого лица, для того чтобы обеспечить достаточную уверенность в достижении целей с точки зрения надежности финансовой (бухгалтерской) отчетности, эффективности и результативности хозяйственных операций и соответствия деятельности аудируемого лица нормативным правовым актам. Контрольная среда включает следующие элементы: доведение до всеобщего сведения и поддержание принципа честности и других этических ценностей; профессионализм (компетентность сотрудников); участие собственника или его представителей; компетентность и стиль работы руководства; организационная структура; наделение ответственностью и полномочиями; кадровая политика и практика |
Оформление результатов аудита |
ФПСАД №2 |
Под термином «документация» понимаются рабочие документы и материалы, подготавливаемые аудитором или для аудитора либо получаемые и хранимые им в связи с проведением аудита. Рабочие документы используются:
и проверки выполненной аудитором работы; • для фиксирования аудиторских доказательств, получаемых в целях подтверждения мнения аудитора. Для повышения эффективности аудита допускается использовать в ходе проверки графики, аналитическую и иную документацию, подготовленные аудируемым лицом. |
В этих случаях аудитор обязан убедиться, что такие материалы подготовлены надлежащим образом. Аудитору необходимо установить надлежащие процедуры для обеспечения конфиденциальности, сохранности рабочих документов, а также их хранения в течение достаточного периода времени, но не менее пяти лет |
Мониторинг средств контроля включает регулярную оценку организации и применения средств контроля и осуществляется в целях обеспечения непрерывной аффективной работы этих средств.
Специалист в области аудита Р. Адамс считает, что система внутреннего контроля организуется для того, чтобы:
- • осуществлять деятельность предприятия упорядоченно и эффективно;
- • обеспечить соблюдение политики руководства;
- • обеспечить сохранность имущества;
- • достичь качественного документирования хозяйственных операций.
Организация системы внутреннего контроля и ее функционирование направлены на устранение каких-либо рисков хозяйственной деятельности, угрожающих достижению любой из перечисленных выше целей.
Таким образом, экономический субъект должен обеспечить функционирование системы внутреннего контроля, которая была бы достаточной для того, чтобы:
- • сформировать полную и достоверную отчетность, подтвержденную документально;
- • выявить отклонения финансовых результатов от плановых показателей;
- • обнаружить факты хищений, злоупотреблений и неэффективного использования хозяйственных средств.
Аудитору следует убедиться в применении аудируемым лицом таких процедур внутреннего контроля, как:
- • проверка наличия материальных ценностей, поступивших в организацию но сомнительным документам;
- • анализ сырья и продукции;
- • контрольный запуск сырья в производство;
- • внутренние проверки и сверки данных по вопросам финансово-хозяйственной деятельности;
- • проведение инвентаризаций (плановых и внеплановых);
- • проверка правильности осуществления документооборота и наличия разрешительных подписей на документах;
- • сравнение данных, полученных от внутренних источников, с данными внешних источников информации;
- • проверка состояния средств предприятия (осмотр объектов, получение объяснений от надлежащих лиц);
- • ограничение доступа несанкционированных лиц к активам предприятия, системе ведения документации;
- • осуществление контроля над прикладными программами и компьютерными информационными системами.
Анализируя постановку внутреннего контроля, аудитор должен учитывать, что за внутренний контроль отвечает само аудируемое лицо, его специальное контрольное подразделение – управление (отдел).
Оформление результатов аудита
Аудитор должен документально оформлять все сведения, важные с точки зрения предоставления доказательств, подтверждающих аудиторское мнение. В ходе аудита системы управления экономического субъекта составляются сводные аналитические таблицы, статистические выборки, диаграммы, схемы, записи по отдельным разделам. Эти рабочие документы могут быть представлены в виде данных, зафиксированных на бумаге, фотопленке, в электронном виде или в другой форме. Рабочие документы при проверке системы управления обычно содержат:
- • информацию, касающуюся организационной структуры аудируемого лица, оценку этой структуры;
- • информацию об отрасли, экономической и правовой сфере, в которой аудируемое лицо осуществляет свою деятельность;
- • информацию о состоянии системы внутреннего контроля;
- • анализ наиболее важных экономических показателей и тенденций их изменения;
- • другую информацию аудируемого лица, имеющую значение не только для последующего аудита, но и для будущих аудиторских проверок.
От качества указанной информации зависит эффективность последующих этапов совершенствования системы управления. Указанная выше документация должна соответствовать как минимум следующим требованиям:
- • полнота, т.е. охват всех элементов системы управления;
- • достоверность, основанная на фактах, первичных документах, статистических данных;
- • объективность, отражающая подлинную сущность явления, а не субъективное мнение лица, проводящего аудит;
- • сопоставимость, обеспечивающая возможность сравнить материалы аудита по разным периодам и аспектам.
Документирование и хранение информации о деятельности аудируемого лица должно осуществляться в соответствии с ФПСАД № 2 (см. табл. 9.1).
Например, в отчете о результатах анализа системы управления производственным предприятием, относящимся к машиностроительной отрасли, могут быть разделы:
- • общая характеристика предприятия;
- • анализ системы документооборота;
- • анализ системы (технологии) управления затратами;
- • анализ системы (технологии) управления денежными потоками;
- • предложения по созданию системы планирования и бюджетирования;
- • требования к автоматизированной системе управления предприятием;
- • оценка корпоративных качеств персонала предприятия.
Кроме того, отчет может включать следующие пункты: ключевые показатели результатов деятельности (финансовые и нефинансовые); сметы; анализ различных вариантов развития деятельности; информацию по сегментам деятельности; информацию, содержащую сравнительный анализ результатов деятельности аудируемого лица с аналогичными показателями конкурентов, и др.
Классификатор типичных ошибок
Типичные недостатки в системе управления организацией:
- • распределение функций между руководителями организации не соответствует производственной структуре и технологии;
- • многоступенчатая структура управления, при которой эффективное управление в большинстве случаев невозможно;
- • отсутствие положений о структурных подразделениях, должностных инструкций;
- • отсутствие четких границ компетенции, полномочий заместителей руководителей цехов, служб предприятия (полномочия без ответственности, ответственность без полномочий);
- • неправильное использование вспомогательных подразделений;
- • значительные потери времени, возникающие из-за нарушения трудовой дисциплины в аппарате управления.
![]() |
Андрей Коптелов, Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов |
Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.
Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.
Марио Андретти, участник гонок «Формула 1»
Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)
Формализация операционных рисков
Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.
Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.
Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.
Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.