Директор ООО «Радар-Консалтинг» Наталья Шибалкина на встрече с клиентом
Внутренний аудит на предприятии имеет несколько направлений. Например: операционный внутренний аудит, внутренний финансовый аудит, внутренний аудит соответствия нормам стандартов в компании, аудит IT на предприятии и даже криминальный внутренний аудит. В этой статье мы разберемся, что такое внутренний аудит на предприятии, как он помогает в развитии компании, и какие преимущества есть при передаче внутреннего аудита на аутсорсинг независимой аудиторской организации.
Если у вас возникнут вопросы по ходу прочтения материала, то задавайте их в комментариях. Наш квалифицированный аудитор обязательно ответит.
Обязательный аудит организации и внутренний аудит — разные процедуры, хоть и обе регулируются 307-ФЗ и иными НПА, регламентирующими аудиторскую деятельность. Внутренний аудит не является обязательным, а проводится в интересах собственника и по его инициативе. Давайте дадим понятие внутреннему аудиту:
Внутренний аудит — это организованная в интересах собственника система контроля, которая дает оценку эффективности работы системы внутреннего контроля в организации (далее СВК), оценку действующей системы управления рисками (далее СУР), а также оценку эффективности корпоративного управления (далее КУ).
Но прежде чем, продолжить статью о внутреннем аудите, мы остановимся для того, чтобы для начала понять, а что такое СВК, СУР и КУ, потому что внутренний аудит согласно информационному письму ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143, как раз должен оценивать эффективность этих систем.
В настоящее время в стандартах внутреннего, да и внешнего аудита, пишут о так называемом «риск-ориентированном» подходе в аудите. Информационное письмо банка начинается с глоссария, разберемся сначала с терминологией.
Риск при осуществлении предпринимательской деятельности — это влияние неопределенности на достижение поставленной цели, другими словами здесь работает система вероятности, а если совсем грубо пояснить, то может будет допущена ошибка в учете, а может нет, может отгрузят вовремя продукцию со склада, а может нет, может украдут со склада материалы, а может нет, главный бухгалтер может правильно заполнить налоговую декларацию, а может нет, и т.д. рисков бесконечное множество.
Есть еще интересный термин в письме ЦБ РФ «риск-аппетит» — это приемлемая величина риска, другими словами это виды и величина рисков, которые компания готова принять в процессе реализации своих целей. Понятно, что предугадать все события невозможно, но оценить степень риска наступления или не наступления события возможно.
СВК и СУР – это система мер, процедур, методик, норм корпоративной культуры, которые приняты в компании, чтобы достичь баланс между ростом стоимости компании, прибылью и рисками, в целях обеспечения эффективной финансово-хозяйственной деятельности, сохранности активов, соблюдения законодательства, а также в целях подготовки достоверной, управленческой, финансовой, бухгалтерской отчетности.
Так вот, прежде чем, перейти к организации внутреннего аудита на предприятии, рекомендуется сначала выявить, оценить и провести анализ рисков, которые могут повлиять на способность компании реализовать свою стратегию и достичь поставленных целей.
Для этого в компании рекомендуется проводить анализ видов рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществить выбор стратегии и метода управления риском.
Главная цель внутреннего аудита выявлять риски и давать рекомендации по усовершенствованию внутренних процессов в компании.
Процедуры внутреннего аудита компания должна регламентировать самостоятельно, строгих требований в нормативных документах не содержится.
Направления в работе внутреннего аудита могут быть различные. Например, операционный внутренний аудит основан на внутреннем аудите бизнес-процессов. В рамках операционного аудита оценивается эффективность работы подразделений, соблюдение выполнения плановых заданий, эффективность управления подразделениями, обеспечение сохранности активов компании и др.
Внутренний финансовый аудит направлен на оценку эффективности работы учетных процессов в компании, достоверности управленческой, финансовой и бухгалтерской отчетности, на оценку эффективности управления финансовыми потоками, а также на оценку эффективности бизнес-планирования.
Внутренний аудит криминальный направлен на оценку рисков мошенничества, должностных преступлений, халатности, взяточничества, коррупцию, нарушений действующего законодательства.
Внутренний аудит соответствия направлена на проверку соблюдения нормативных правовых актов, внутрифирменных стандартов, а также корпоративной политики компании.
Внутренний аудит информационных систем, как одно из важных направлений во внутреннем аудите, обеспечивает контроль безопасности функционирования информационных систем, а также процессов управления в области IT- технологий.
Выдача аудиторского заключения по результатам проверки
Принцип независимости внутреннего аудитора одно из важных условий повышения эффективности результатов внутреннего аудита.
Вторым фактором эффективности является уровень квалификации специалистов, которые выполняют функции внутреннего аудита.
Привлечение специализированной аудиторской компании с опытом работы в системе проведения проверок по внутреннему аудиту существенно повышают эффективность внутреннего аудита в компании.
Если хотите узнать больше, то отправьте заявку на получение коммерческого предложения от нашей аудиторской компании ООО «Радар-Консалтинг»:
Также, мы предоставим бесплатную консультацию аудитора, который ответит на ваши вопросы.
Первый этап. На этом этапе определяются цели и объекты аудита. Перед каждой проверкой составляется чек-лист или программа проверки, которая включает в себя список плановых аудиторских процедур, сроки выполнения работ, характер проверки и исполнителей.
В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур, которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки используется несколько видов аудиторских процедур (аналитические процедуры и процедуры тестирования).
Второй этап. Проведение проверки по внутреннему аудиту. В рамках второго этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки. Проведение проверки осуществляется в соответствии с утвержденной программой проверки.
В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.
Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств.
Третий этап. Подведение итогов и написание аудиторского отчёта. На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств.
В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами. На основе проведенных наблюдений и выводов внутренним аудитором формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита.
Заключительный этап самый важный, потому что выявить недостатки и нарушения в ходе внутреннего аудита недостаточно, их надо еще и устранить.
На основании рекомендаций, подготовленных внутренним аудитором, руководитель объекта аудита обязан составить План мероприятий по результатам внутреннего аудита, направленный на устранение выявленных нарушений и недостатков, а также реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля.
На этом этапе процесс внутреннего аудита не заканчивается, далее следует этап, на котором службой внутреннего аудита осуществляется контроль выполнения плановых мероприятий по устранению нарушений и недостатков.
Чтобы донести по руководства компаний и собственников бизнеса мысль о том, насколько важны для бизнеса СВК, СУР, корпоративная политика и система внутреннего аудита, мы хотим поделиться реальным примером из практики.
К нам в аудиторскую компанию поступила заявка на финансовый консалтинг. Суть вопроса заключалась в том, что руководство интернет-магазина имело подозрение в недобросовестных действиях своего бухгалтера в сговоре с менеджером по продажам.
По мнению руководства интернет-магазина, когда приходила заявка на покупку товара с сайта, менеджер под заявку клиента покупал товар, отгружал его клиенту, а потом в сговоре с бухгалтером эта заявка в интернет-магазине отменялась, как бы был возврат товара. Хотя на самом деле реализация товара была осуществлена, только не через кассу интернет-магазина, а мимо кассы, т.е. выручку делили между собой бухгалтер и менеджер.
Вот здесь как раз надо использовать риск-ориентированный подход к оценке бизнес-процесса работы интернет-магазина. Алгоритм решения проблемы основывается на использовании принципа модели COSO.
Главными принципами модели COSO являются оценка риска и управление им, это как раз то, о чем мы писали в начале статьи. Для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.
Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов:
Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру.
Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.
Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту в реализации своих решений. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.
Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве.
Эффективная коммуникация, по вопросам, связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.
Мониторинг: Система внутреннего контроля, требует мониторинга. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.
В ней будет заявлено, что принципы работы в компании основаны на честности, добросовестности и защите интересов компании. Очень важно открыто заявить об этих принципах работы в компании и довести до сведения всех сотрудников, сотрудники в свою очередь должны поддерживать корпоративный дух в компании.
Возможно это описание будет в виде схемы бизнес-процесса от получения заявки до отгрузки товара и получения денежных средств. На каждом этапе бизнес-процесса по схеме надо оценить риски недобросовестных действий, нарушений, ошибок и злоупотреблений. Без оценки операционных рисков и понимания вида рисков нельзя будет научиться управлять этими рисками.
Это внутренние процедуры и внутрифирменные документы, которые предотвращают или существенно снижают риск недобросовестных действие и нарушений бизнес-процесса, например, регламентирование дополнительной, согласовательной подписи третьего лица на возврат товара клиенту или контроль третьего лица над денежными операциями по возврату денежных средств и др.
По продажам от менеджера, осуществлять информационное взаимодействие с поставщиками товаров. Например, ежедневное проведение сверки с поставщиками по отгрузке товаров через интернет-магазин. Производить контрольные звонки клиентам в целях проведения опроса по качеству товара и по обслуживанию, лицами, не задействованными в операционном бизнесе и др.
По всем выявленным недостаткам в системе внутреннего контроля непрерывно вводить новые средства контроля.
Применяемые в нашем примере средства контроля недобросовестных действий призваны снизить риск до уровня «риск-аппетита». То есть, до приемлемого риска руководством интернет-магазина для достижения поставленных целей, только после этого начинает в компании работать система внутреннего аудита, результатом которой является повышение эффективности СВК, СУР и корпоративного управления.
Аудиторы ООО «Радар-Консалтинг» работают в офисе клиента
Центральный банк Российской Федерации выпустил информационное письмо от 1 октября 2020 г. N ИН-06-28/143 «О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ, ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ (НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ АКЦИОНЕРНЫХ ОБЩЕСТВАХ».
После выхода этого письма ЦБ РФ для акционерных обществ в форме ПАО и ОАО, которые до настоящего времени не имели службы внутреннего аудита, встал вопрос об организации работы службы внутреннего аудита, а также вопросы разработки и утверждения организационных документов по внутреннему аудиту, в том числе Положения об осуществлении внутреннего аудита.
Именно вопросам организации системы внутреннего аудита пойдет речь далее. Мы расскажем о подготовке Положения по внутреннему аудиту с использованием специализированной аудиторской компании в системе внутреннего аудита (далее СВА), потому что для малых и средних по масштабам деятельности ОАО и ПАО передать выполнение функций внутреннего аудит на аутсорсинг аудиторской организации самое оптимальное решение.
Итак, Положение об осуществлении внутреннего аудита (далее Положение) должно включать в себя следующие основные разделы:
Основными функциями внутреннего аудита, которые должны быть указаны в Положении, должны быть следующие функции:
Мы рекомендуем функции внутреннего аудита реализовывать с привлечением сторонней профессиональной аудиторской организации (аутсорсинг), потому что этот важный объем работы правильнее доверить специалистам, имеющим соответствующую профессиональную подготовку.
Кроме этого, для небольших по масштабам деятельности ПАО и ОАО создание самостоятельной службы внутреннего аудита приведет к существенным финансовым потерям, а передача функций внутреннего аудита профессиональной аудиторской организации не только сократит финансовые потери, но и обеспечит высокое качество функционирования системы внутреннего аудита.
Получите наше коммерческое предложение и сможете оценить все преимущества для вашей компании в цифрах:
Административная подотчетность внутреннего аудита, как правило, единоличному исполнительному органу, рекомендуется, чтобы совет директоров в рамках регулярного подтверждения независимости внутреннего аудита рассматривал вопрос об административной подотчетности внутреннего аудита.
В случае передаче функций внутреннего аудита на аутсорсинг, руководитель привлеченной аудиторской организации разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе. План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель привлеченной аудиторской организации предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, ресурсный план и финансовый бюджет внутреннего аудита.
Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита.
Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:
Как правило, проверки осуществляются в три этапа и включают:
В рамках планирования проверки руководитель аудиторской организации определяет, каким образом, когда и кому (далее — уполномоченные представители) будут сообщаться результаты выполнения проверки, и информирует об этом решении руководителя объекта аудита в той степени, в которой он сочтет нужным.
Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур.
В объем и содержание проверки как минимум включаются:
Заключение (мнение) рабочей группы внутреннего аудита должно включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно эффективности:
По завершении проверки рабочая группа аудиторской компании подготавливает итоговый отчет. Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет как минимум следующие разделы:
По итогам проверки на основании выявленных недостатков и подготовленных аудиторской организацией рекомендаций руководитель объекта аудита обязан разработать и согласовать с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на устранение выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).
На регулярной основе (как правило, один раз в год) руководитель аудиторской организации обязан проинформировать исполнительные органы и отчитаться перед советом директоров о деятельности в рамках программы оценки и повышения качества и ее результатах, в том числе довести информацию о результатах внутренних и внешних оценок.
Программа оценки и повышения качества включает:
Если в рамках непрерывного мониторинга или по результатам оценки (внутренней и внешней) качества выявляются недостатки в деятельности внутреннего аудита, руководитель аудиторской организации разрабатывает план по устранению таких недостатков и отслеживает эффективность и своевременность его выполнения.
Внешнюю оценку качества внутреннего аудита рекомендуется проводить не реже одного раза в пять лет. Внешняя оценка качества проводится с целью получения руководителем аудиторской организации и другими заинтересованными лицами независимого мнения о качестве функции внутреннего аудита.
Внешняя независимая оценка может проводиться чаще, чем раз в пять лет. Руководителю аудиторской организации рекомендуется обсудить с советом директоров (комитетом по аудиту) и исполнительными органами частоту проведения внешней независимой оценки.
В настоящее время нормами действующего законодательства усиливаются требования к системе внутреннего контроля и внутреннего аудита в акционерных обществах.
Далеко не в каждом акционерном обществе разработана методология проведения внутреннего аудита и система тестирования рисков. Поэтому мы рекомендуем в таких случаях передавать выполнение функций по внутреннему аудиту на аутсорсинг профессиональной аудиторской компании.
Преимущества аутсорсинга функций внутреннего аудита очевидны:
На содержании собственной службы внутреннего аудита. Так как ежемесячно внутреннему аудитору надо платить заработную плату. Средняя заработная плата компетентного внутреннего аудитора не менее 100 тыс.руб. в месяц, плюс дополнительные расходы на налоги и отчисления во внебюджетные фонды.
Стоимость внутреннего аудита по договору аутсорсинга с нашей аудиторской компании от 50 тыс.руб. за одну проверку по внутреннему аудиту. Количество проверок по внутреннему аудиту согласовывается в плане проверок по внутреннему аудиту с клиентом на срок не менее одного года.
Так как для выполнения функций внутреннего аудита привлекаются профессиональные аттестованные аудиторы, которые смогут подготовить все необходимые документы по результатам выполненной работы для совета директоров, исполнительных органов и других заинтересованных лиц.
В нашей аудиторской компании уже разработана методология проведения внутреннего аудита, а также система тестирования для оценки рисков, что обеспечивает качество выполненных заданий по внутреннему аудиту.
Принцип независимости позволяет более объективно проводить внутренний аудит в ПАО и ОАО, а также в любой другой компании.
В заключении статьи мы рекомендуем, всем ПАО и ОАО, которые до настоящего времени не организовали в своей структуре службу внутреннего аудита, рассмотреть вопрос передачи на аутсорсинг выполнение функций внутреннего аудита аудиторской организации.
Тем более, что в информационном письме ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143 даны такие рекомендации для малых и средних по масштабам деятельности акционерных обществ.
Чтобы вы смогли оценить наш опыт и компетенцию, рекомендуем ознакомиться с результатами проведенных нами аудиторских проверок и отзывами наших клиентов:
Известные бренды среди наших клиентов:
Оказываем услуги по проведению обязательного, инициативного и налогового аудита, проводим аудит по специальному заданию. Также, предоставляем дополнительные услуги по бухгалтерскому аутсорсингу и финансовому консалтингу
Хорошая статья. Пример внутреннего аудита как раз кстати.
Спасибо за обратную связь!