Услуги аутсорсинга внутреннего аудита для публичных акционерных обществ (ПАО) на практическом примере

Сегодня мы рассмотрим услуги внутреннего аудита для публичных акционерных обществ (ПАО) на практическом примере. Вы узнаете, какие этапы включают в себя услуги внутреннего аудита ПАО, как проводится оценка надежности и эффективности системы внутреннего контроля.

Федеральным законом от19.07.2018 №209-ФЗ была введена в действие статья 87.1 «Управление рисками, внутренний контроль и внутренний аудит в публичном обществе» закона 208-ФЗ «Об акционерных обществах».

В действующее законодательство внесены требования к публичным акционерным обществам (ПАО) об организации системы управления рисками и внутреннего контроля (СУРиВК), а также в публичном акционерном обществе должен осуществляться внутренний аудит.

В данной ситуации основная задача внутреннего аудита –это оценка надежности и эффективности функционирования системы внутреннего контроля (СВК).

Услуги внутреннего аудита — оценка системы внутреннего контроля (СВК)

Когда возникает задача оценки СВК, то для решения этой задачи применяется модель COSO, которая представляется как магический куб.

Суть этой модели заключается в том, что осуществляется комплексная оценка всех элементов, которые составляют систему: контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг.

Оценка элементов начинается с определения целей, достижение которых контролируется. Цели должны быть поставлены для всех четырех организационных уровней:

1. Функции (бизнес-процесса).
2. Операционной единицы (подразделения).
3. Дивизиона (направления бизнеса).
4. Организации (группы).

Если говорить про услуги внутреннего аудита СВК и задачи, которые они включают, то подразумевается, что в ПАО описаны бизнес-процессы, поставлены цели, определены риски, регламентированы контрольные процедуры. При этом внутренний аудитор обязан провести аудиторскую проверку и оценить эффективность и надежность функционирования этой системы внутреннего контроля.

На практике такая идеальная ситуация встречается только в крупных государственных корпорациях, холдинговых структурах. Другими словами в тех организациях, которые имеют финансовую возможность создать собственную службу внутреннего контроля и выделить большой бюджет.

Наша аудиторская компания в своей практике столкнулась с тем, что в организационной структуре ПАО не была создана служба внутреннего контроля. Причины отсутствия службы внутреннего контроля могут быть самые разные, начиная с того, что на рынке труда мало грамотных специалистов в этой области, а также стоимость такого специалиста довольно высокая.

Конечно внутренний аудитор в такой ситуации может выдать заключение о том, что система СУРиВК работает неэффективно, а также дать рекомендации о постановке системы внутреннего контроля с использованием модели COSO.

В этой статье мы покажем на практическом примере, как наша аудиторская компания подходит к выполнению функций внутреннего аудита в сложных ситуациях, когда заключается договор на услуги внутреннего аудита, но в обществе на момент проведения внутреннего аудита не описаны бизнес-процессы, не определены риски и не регламентированы контрольные процедуры.

Услуги внутреннего аудита — этап №1: стандарты внутри ПАО

Постановка системы внутреннего контроля начинается с разработки внутрифирменных стандартов ПАО:

• Кодекса корпоративного управления;
• Положения о Совете директоров;
• Положения о комитете по аудиту;
• Политики управления рисками и внутреннем контроле;
• Положения о внутреннем аудите.

В письме Банка России от 01.10.2020 N ИН-06-28/143 даны рекомендации для ПАО по организации управления рисками, внутреннего контроля, внутреннего аудита, работы совета директоров, комитета по аудиту.

При использовании рекомендаций Банка России с задачей подготовки указанных регламентирующих документов успешно справляются практически все ПАО или ОАО.

Первый этап работы службы внутреннего аудита заключается в том, что внутренний аудитор изучает все внутрифирменные стандарты общества, которые имеются по факту.

Очень важное значение имеет изучение сложившейся корпоративной культуры и корпоративного управления в обществе, которые рассматриваются в качестве основы управления рисками.

Услуги внутреннего аудита — этап №2: составление плана проверок

На втором этапе внутренний аудитор составляет план проверок по внутреннему аудиту. В плане проверок аудитор указывает объекты проверки, тему проверки, сроки проведения аудита. На картинке приведен пример плана внутреннего аудита из нашей практики:

План аудиторских проверок составляется аудитором в зависимости от того бюджета, который выделяется ПАО для проведения внутреннего аудита. При увеличении бюджета на внутренний аудит, количество аудиторских проверок увеличивается.

Таким образом, преимущество услуги внутреннего аудита заключается в том, что есть возможность привлекать высокопрофессиональных аудиторов в рамках такого бюджета, который является приемлемым для ПАО.

Услуги внутреннего аудита — этап №3: изучение бизнес-процессов

В нашем практическом примере на третьем этапе аудитор изучает бизнес-процессы на уровне отделов, которые были включены в план внутренних аудиторских проверок.

Внутренний аудитор изучает разработанные обществом положения об отделе, должностные инструкции, но главным источником информации для аудитора было интервью начальника отдела. На основании полученной информации внутренний аудитор:

• описывает бизнес- процессы,
• на схеме бизнес-процессов идентифицирует риски,
• описывает и делает оценку рисков,
• составляет карту рисков.
• изучает дизайн контрольных процедур.

Другими словами, внутренний аудитор по существу выполняет работу по организации системы внутреннего контроля общества. На основании того, что нашей аудиторской компании приходится практически с «нуля» описывать систему внутреннего контроля, то внутренний аудитор для описания бизнес-процессов выделяет подпроцессы, и сначала делает описание подпроцессов.

В этой статье мы приведем пример описания подпроцесса «Заключение договоров аренды офисных площадей», а также дадим оценку рисков этого подпроцесса, владельцем рисков является договорной отдел, основным направлением деятельности которого является сдача в аренду офисных площадей.

Описание бизнес-процесса или подпроцесса в нашей практике строится, исходя из пошагового описания: «вход- действие-выход».

Такой прием описания бизнес-процесса легко перевести в схему, затем на схеме бизнес-процесса внутренний аудитор обозначает места возникновения рисков сбоя в работе.

Второй пример описания подпроцесса договорного отдела «Своевременное получение выручки от аренды офисных площадей. Контроль дебиторской задолженности по арендным платежам».

Чтобы идентифицировать риски и последствия наступления рисков, надо задать вопросы и ответить на них:

1. Что может пойти не так?
2. Какая вероятность наступления риска?
3. Какие могут быть события при наступлении риска?
4. Какие будут последствия/ потери при реализации риска?

Ответы на эти вопросы являются описанием рисков бизнес-процесса. Далее в таблице показан пример описания и оценка рисков вышеприведенных подпроцессов:

После того, как внутренний аудитор идентифицировал и описал риски, следующим шагом является обозначение рисков на схеме бизнес-процесса.

Схема бизнес-процесса в данном примере простая, но наглядно показывает на каком этапе бизнес-процесса может быть сбой, который не позволяет достичь целей.

Далее представлен следующий пример схемы бизнес-процесса договорного отдела с идентификацией рисков. Вид схемы бизнес-процессов может самым разным.

Сложные схемы бизнес-процессов возможно составлять с применением специальных программ для моделирования бизнес-процессов, но в данном примере представлена схема, составленная в eхсеl:

Следующим этапом в работе внутреннего аудитора является составление карты рисков. В нашей практике аутсорсинга внутреннего аудита мы применяем систему ранжирования рисков:

• низкий;
• средний;
• высокий.

Ранжирование рисков внутренний аудитор производит, исходя из оценки вероятности наступления риска и последствий при реализации этого риска.

В нашем практическом примере карта рисков выглядит следующим образом:

После того, как карта рисков подготовлена, начинается самая интересная работа по внутреннему аудиту. Карта рисков показывает какие риски находятся в зеленой области карты с низкой вероятностью возникновения, а также несущественными последствиями от событий наступления рисков.

Желтая часть карты рисков показывает средние риски, которые имеют более существенное значение и последствия от событий наступления рисков, но они не являются критическими.

Самые критические, высокие риски представлены на карте в красной зоне. С этими рисками надо начинать работать в первую очередь.

Система управления рисками заключается в том, что в обществе должны быть разработаны и применяться контрольные процедуры, направленные на снижение рисков, препятствующих достижению его целей.

Контрольные процедуры являются одним из основных видов воздействия на риск и представляют собой мероприятия, действия работников общества и (или) операции информационных систем, осуществляемые на различных уровнях организационной структуры общества и направленные на уменьшение вероятности реализации риска и (или) минимизацию величины риска как угрозы.

Основная задача внутреннего аудита в данной ситуации заключается в тестировании контрольных процедур, которые применяются в обществе для снижения вероятности реализации риска или минимизации величины риска как угрозы.

В нашей практике, при оказании услуги внутреннего аудита, результаты тестирования контрольных процедур представлены в таблице. Риски, по которым не предусмотрены контрольные процедуры, также представлены в таблице:

Эффективность дизайна и операционная эффективность контрольных процедур оцениваются по критериям: эффективен, требует улучшений, требует существенных улучшений.

Вы можете открыть все приложенные таблицы в формате Excel: Рабочие таблицы внутреннего аудита

Заключительный этап внутренней проверки №4: предоставление отчетов и аналитических данных

На четвертом этапе внутренний аудитор составляет отчет по результатам внутреннего аудита, который содержит карту риска, оценку контрольных процедур, а также оценку эффективности СУРиВК.

Главным результатом работы внутреннего аудита является выявление критических рисков нарушения бизнес-процессов, по которым не предусмотрены контрольные процедуры в обществе.

Недостатки, которые были выявлены службой внутреннего аудита, являются основанием для составления плана мероприятий по устранению выявленных нарушений, как в системе построения бизнес-процессов, так и в системе управления рисками и внутреннем контроле.

СУРиВК это непрерывный процесс, поэтому служба внутреннего аудита планирует дальнейшую свою работу не только по проверке устранения выявленных нарушений, но и включает в план работы новые объекты для внутреннего аудита.

Для результативного управления рисками обществу рекомендуется получать информацию как из внешних, так и из внутренних источников. На основе полученной информации рекомендуется осуществлять подготовку отчетности о рисках, культуре и эффективности деятельности общества, а также выносить рассмотрение отчетности и ее утверждение советом директоров, а также доведение ее до всех заинтересованных сторон.

Полученную информацию также рекомендуется использовать для прогнозирования ситуаций, которые могут помешать реализации стратегии и достижению целей общества.

Заключение

В данной статье мы привели практический пример аутсорсинга внутреннего аудита для ПАО, которые обязаны организовать работу службы внутреннего аудита в своей структуре, но услуги аутсорсинга внутреннего аудита востребованы и другими предприятиями, независимо от организационной формы и масштабов деятельности.

В нашей практике есть много примеров, когда в результате отсутствия системы внутреннего контроля на предприятии, были обнаружены факты злоупотребления персонала, которые привели к существенным финансовым потерям собственников бизнеса.

Например, мы столкнулись в своей практике с ситуацией, когда генеральный директор открыл расчетный счет, о котором никто не знал, и операции по которому не отражались в бухгалтерском учете. В результате собственники бизнеса понесли существенные финансовые потери. Об этом мы писали в статье на нашем Дзен.Канале.

Другой реальный пример, когда собственник бизнеса инициировал проведение аудиторской проверки бухгалтерской отчетности общества, то было установлено, что главный бухгалтер просто «рисовал» бухгалтерскую и налоговую отчетность, которая сдавалась в налоговую инспекцию.

Для того, чтобы исключить налоговые риски, потребовалось восстановление бухгалтерского учета общества, а также сдача в налоговую инспекцию уточненных деклараций.

Важно понимать, если вы управляете рисками, то вы управляете предприятием, а если нет управления рисками, то бизнес не контролируется, соответственно риски финансовых потерь и риск не достижения поставленных для бизнеса целей не подконтрольны собственникам бизнеса.

Наша аудиторская компания имеет практический опыт постановки системы управления рисками и внутреннего контроля, мы можем организовать работу службы внутреннего аудита в рамках того бюджета, который будет выделен для этой работы. Узнайте об условиях сотрудничества в коммерческом предложении:

Внутренний аудит может быть направлен на решение тех задач, которые являются наиболее важными, например, на проверку сохранности активов, на соблюдение требований законодательства, на проверку эффективности использования ресурсов, на проверку противоправных действий, коррупции, злоупотреблений и др.

Аутсорсинг внутреннего аудита является эффективным инструментом, который защищает интересы собственников бизнеса, а независимость аудиторской компании дает возможность получать объективную и достоверную информацию об эффективности системы внутреннего контроля бизнеса.

Заявки на аутсорсинг внутреннего аудита подавайте на сайте нашей аудиторской компании: