Как организовать внутренний аудит на предприятии

Внутренний аудит — гарантия улучшения деятельности предприятия

Сегодня понятие «внутренний аудит» получило большое распространение в бизнесе. Многие крупные предприятия и компании предпочитают создавать собственные службы и отделы внутреннего аудита, обучая своих сотрудников. К тому же и на рынке труда постоянно растет спрос на специалистов, которые обладают соответствующими знаниями и имеют международный диплом.

Задачи внутреннего аудита на предприятии

Внутренний аудит на предприятии представляет собой деятельность, которая направлена на предоставление объективных и независимых консультаций и гарантий для улучшения деятельности предприятия. Цель внутреннего аудита — оценивать риски, находить способы их уменьшения, а также увеличивать рентабельность бизнес-процессов.

Консультации аудиторов включают в себя оценку, анализ и отчет по поводу продуктивности и надежности процессов. Адресованы они непосредственно администрации организации.

Главные задачи внутреннего аудита на предприятии:

  • проверка систем внутреннего контроля для определения уровня эффективности работы подразделений;
  • разработка целостной системы управления рисками, анализ ее работы, а также создание мероприятий для их снижения;
  • контроль за соблюдением принципов корпоративного управления.

Необходимость внедрения внутреннего аудита

В последнее время в России наблюдается ориентация на разделение функций управления и владения бизнесом. Собственники внедряют одну общую стратегию развития организации и управляют основными направления, а для решения мелких и повседневных задач, как правило, нанимают топ-менеджеров. В таком случае на предприятии используется инструмент контроля состояния дел — внутренний или внешний аудит. Он позволяет собственникам получить полную и объективную оценку деятельности всей организации.

На внедрение внутреннего аудита в российских компаниях повлиял не меньше и Федеральный закон «О бухгалтерском учете» от 06.12.2011. Согласно статье 19, с начала 2013 года абсолютно все экономические субъекты должны проводить внутренний контроль хозяйственной деятельности.

Чек лист для внутреннего аудита

Контролирование бухгалтерского и управленческого учета, а также других областей хозяйствования должно происходить абсолютно на всех предприятиях. Однако важно знать об особенностях этой процедуры. Все процессы должны следовать друг за другом упорядоченно. Поскольку именно благодаря соответствию данному требованию можно избежать многих ошибок и проблем при проведении аудита контролирующими органами. Заполнение чек-листа во многом упрощает процесс. Его роль очень сложно преувеличить.

Что надо знать о чек-листе

Этот документ состоит из перечня подробных вопросов по проводимому аудиту. Определенно установленного в законодательстве формата чек-лист не имеет. Однако необходимо соблюдать некоторые правила при его составлении и заполнении. Именно это снизит вероятность проблем в процессе проведения аудита.

На самом деле с помощью чек-листа можно решить довольно большой ряд вопросов и задач не только во время аудита, но и во время постоянной деятельности предприятия. Этот документ могут использовать различные организации, контролирующие учреждения и их должностные лица.

С помощью чек-листа можно решить следующие задачи:

  • правильно спланировать проведение аудита в соответствии с законодательными нормами;
  • осуществлять промежуточный и выборочный контроль, вести эффективный тайм-менеджмент;
  • гарантирует отсутствие пропуска важных частей аудиторской проверки;
  • является одним из средств памяти;
  • упрощает проведение аудита;
  • с его помощью аудиторская проверка проходит комплексно, структурировано и целостно и др.

Законодательный акт, который регулирует составление данного документа, является Федеральный закон №307 от 30.12.2008 г. «Об аудиторской деятельности».

С примером чек-листа для внутреннего аудита можно ознакомиться здесь.

Внутренний аудит СМК

СМК — система менеджмента качества — одна из частей всей системы управления компанией, которая создана с целью обеспечения и контроля стабильности хозяйственной деятельности, высокого качества и минимизации затрат на производство продукции или оказания услуг.

Согласно СМК структура документации выглядит следующим образом:

  • требования качества (руководство по качеству);
  • цели и политика в сфере качества продукции, услуг;
  • необходимые документированные процессы;
  • регламенты процедур, рабочие инструкции;
  • записи по качеству.

Аудит систем менеджмента качества не регламентируется ни федеральным, ни международным законодательством. Поэтому отсутствуют обязательные законодательные нормы, которые определяют порядок и правила проведения аудиторской проверки систем качества на предприятии. Это объясняется добровольным желанием организации проводить сертификацию систем качества. И все работы, которые сопутствуют построению и внедрению системы качества также являются добровольной инициативой.

Следовательно организации, которые занимаются аудиторскими проверками СМК, могут осуществлять свою деятельность без дополнительных лицензий или других разрешительных документов. А для осуществления внутреннего аудита и подавно эти документы не нужны. Несмотря на это существуют специальные правила, которые регламентируют проведение аудиторских проверок СМК. Например, ИСО 19011:2011, который называется «Руководящие указания по проведению аудита систем менеджмента». Его можно использовать для внутреннего и внешнего аудита.

Приказ о проведении внутреннего аудита

Приказ о проведении внутреннего аудита — внутренний документ, который составляется руководителем компании и устанавливает:

  • даты проведения аудита;
  • группы внутренних аудиторов и специалистов, ответственных за его проведение;
  • предоставление условий для проведения внутреннего аудита;
  • контроль за проведение аудиторской проверки.

Как стать специалистом в области внутреннего аудита

С каждым днем спрос на специалистов, которые способны проводить внутренний контроль предприятия, растет. Но повышаются и требования к ним. Они должны обладать знаниями в финансовой сфере, разбираться во внутреннем контроле и корпоративном управлении, знать национальные и международные стандарты внутреннего аудита, а также понимать специфику деятельности, которую необходимо анализировать.

На помощь, всегда загруженным финансовым специалистам, приходит обучение через Интернет. Онлайн курсы позволяют обучаться без отрыва от основной деятельности, дома или на работе в удобных комфортных привычных условиях. Качество дистанционного обучения, не уступает, а зачастую и превышает очные аналоги, за счет привлечения высококлассных преподавателей, модульной системы курса, онлайн тестов и многого другого.

Дипломы и сертификаты по внутреннему аудиту

Для получения диплома, который подтверждает квалификацию в области внутреннего аудита, стоит выбрать международную программу иностранного института. На сегодняшний день российским специалистам доступны такие программы, как IPFM, IFA, ICFM и CIA.

Самый быстрый и эффективный способ освоить внутренний аудит — это дистанционный курс «Внутренний аудит» по программе британского Института профессиональных финансовых менеджеров (IPFM). Программа курса включает в себя понятия внутреннего контроля, обучение навыкам владения инструментарием внутреннего аудитора, идентификацию и управление рисками в СВА и другое.

«Дипломированный внутренний аудитор» (CIA) — самый ценный профессиональный международный сертификат (наряду с АССА, СIMA). Выдается он Международным Институтом внутренних аудиторов после успешной сдачи четырех экзаменов.

Читайте так же:  Оформление заявок на кредит на дому

«Внутренний аудит» от IPFM — залог успешного развития карьеры финансового специалиста.

Освоение внутреннего аудита сегодня обусловлено нормативными требованиями законодательства. Те, кто сегодня приобретают необходимые знания, уже завтра могут войти в состав отдела по внутреннему аудиту или возглавить его.

Источник: http://finacademy.net/materials/article/vnutrenniu-aydit-novue-perspektivu

Как сделать процесс внутренних аудитов эффективным

Согласно идеологии стандарта ISO 9001, внутренние аудиты должны быть одним из самых важных инструментов для оценивания функционирования системы управления качеством. С точки зрения высшего руководства внутренние аудиты должны быть независимым источником объективной информации о состоянии дел в процессах/структурных подразделениях. Свидетельством важности внутренних аудитов является то, что процедура их проведения входит в число обязательных документированных процедур. Кроме того, стандарт требует анализа результатов аудитов высшим руководством организации на том же уровне, что и данных о потребностях потребителей или результативности процессов. Все это требует от организаций отнестись к разработке методики внутренних аудитов максимально ответственно.

Еще одним негативным последствием преобладающей ориентации аудитов только на проверку выполнения требований стандарта ISO 9001 или других системных стандартов является формирование соответствующего восприятия персоналом самой системы. Если сотрудники видят, что их спрашивают исключительно о выполнении требований стандарта, а не о реальной эффективности системы, ее связи со стратегией, ее влиянии на результаты для разных заинтересованных сторон — они сделают логический вывод, что система создана только для того, чтобы обеспечить организации получение сертификата, а совсем не как рабочий инструмент. Соответствующим образом сотрудники и будут относиться к ней.

Такая методика может быть приемлемой в организациях с репрессивным менеджментом, для которых является нормальной ситуация, когда высшее руководство «ловит» сотрудников, а они прячут от него информацию. Но в организациях с демократическим стилем управления, где персонал привык работать вместе для достижения общих целей, подобная схема внутренних аудитов практически не использует важнейший ресурс — потенциал партнерских отношений между аудиторами и персоналом, деятельность которого проверяется. Ведь для внутренних аудитов остается верным общее правило: наилучший результат может быть достигнут, если все участники процесса работают совместно, открыто обмениваясь информацией и принимая согласованные решения.

Какие же действия могут осуществляться для устранения указанных недостатков традиционной схемы? Одним из возможных путей может быть повышение квалификации внутренних аудиторов, что позволит им задавать во время аудитов совсем другие вопросы, проверять действенность системы управления на другом уровне. Например, это могут быть вопросы о реальном использовании процессного подхода и функциях владельцев процессов, о мониторинге деятельности организации и результативности принимаемых решений по совершенствованию и т.д. Если внутренние аудиторы сумеют реально проверять соответствие системы на таком «глубинном» уровне, смысл аудитов может сохраниться надолго, а их результаты будут интересными для высшего руководства.

Но, независимо от квалификации аудиторов, уместно попробовать пересмотреть методику внутренних аудитов, сделать ее более инновативной, индивидуализированной под потребности организации. Ведь именно методика внутренних аудитов является одной из наиболее стандартных, «одинаковых» в разных организациях, независимо от их специфики, корпоративных ценностей, стратегии: везде разрабатываются подобные годовые графики аудиторов, определяются подобные квалификационные требования для аудиторов, составляются подобные программы и протоколы. Соответственно, редко когда можно сказать, что эффективная и глубокая система внутренних аудитов — это конкурентное преимущество организации, ее сильная сторона, которая выделяет ее из массы других. И именно на это могут быть направлены попытки внедрения новшеств и инноваций в проведении внутренних аудитов.

Основной философией поиска новых решений для внутренних аудитов (как и для любой другой деятельности) может быть их направленность на потребности потребителей, в данном случае — внутренних. Если считать, что главным результатом внутренних аудитов является информация о состоянии дел в структурном подразделении или процессе, то потребителями такой информации могут быть руководители объекта аудита и высшее руководство организации. Соответственно, можно попробовать найти ответы на два вопроса. Во-первых, какая именно информация из независимых источников о работе подразделения/процесса может быть интересна высшему руководству? Во-вторых, если подразделение или процесс изучит группа квалифицированных специалистов со свежим взглядом, чем именно она может быть полезна его руководителям? Ответы на эти вопросы могут быть разными, обе группы руководителей могут быть заинтересованы в информации относительно реализации стратегии, возможностей для усовершенствования, выявления потерь и многого другого. Но едва ли в числе их приоритетов будет получение информации о соответствии работы требованиям ISO 9001 или любого другого стандарта. А именно такую информацию им предлагают при традиционной схеме внутренних аудитов, игнорируя их реальные потребности.

Также надо заметить, что подобная схема выдвигает очень высокие требования к внутренним аудиторам. Они должны в совершенстве владеть техникой моделирования процессов, методами модерации, знать лучшую практику выполнения разных процессов, понимать стратегию и приоритеты организации.

Еще одним важным условием для обеспечения реальной полезности внутренних аудитов является их интеграция в общую систему обеспечения руководства информацией о деятельности организации. Ведь чаще всего схему проведения внутренних аудитов проектируют как что-то отдельное, не обращая внимания на существующие системы отчетности, мониторинга процессов и т.п. Целесообразным может быть рассмотреть потребности руководства в информации, существующие каналы его обеспечения такой информацией, и определить, чем может быть полезен еще один канал: внутренние аудиты. Ведь у него, по сравнению с традиционной отчетностью, есть два существенных отличия:

  • информация собирается и подается руководству независимыми подготовленными сотрудниками;
  • информация касается в большей мере не достигнутых результатов, а подходов, которые влияют на достигнутые результаты (возможность более глубокого анализа).

Исходя из этого, внутренние аудиты могут выполнять разные роли в системе информирования руководства, в частности:

  • получение новой информации, которая не поступает через традиционную систему отчетности;
  • дополнительная проверка точности и достоверности информации, поступившей через систему отчетности;
  • более глубокое изучение ситуации для лучшего понимания и интерпретации информации, поступившей через систему отчетности.

Но этот выбор должен быть осознан и подкреплен соответствующими процедурами внутреннего аудита. Например, если аудиты используются для того, чтобы глубже понять результаты деятельности подразделения, описанные в его отчетности, и причины их тенденций, аудиторы должны изучать и анализировать эту отчетность, учитывать ее при составлении плана аудита.

Нестандартные подходы к интеграции внутренних аудитов в систему отчетности применяются на одном из украинских пищевых предприятий — фирме «Панда». Там внутренние аудиты процессов проводятся в виде презентации и обсуждения результатов процесса его владельцем для команды высшего руководства. В роли аудиторов при этом выступают сами высшие руководители. А главным результатом аудита являются предложения и мероприятия по совершенствованию процесса.

Читайте так же:  Можно ли оформить кредит по копии паспорта разрушение мифов и разбор реальных фактов

Конечно, предложенный метод морфологических таблиц может быть применен в рамках системы управления для определения схем реализации разных процессов. В первую очередь он может применяться, если принято решение о полной перестройке процесса, о необходимости значительного повышения его эффективности.

Источник: http://www.cfin.ru/management/iso9000/qm/in_audit.shtml

Организация службы внутреннего аудита с нуля. Практический опыт

Автор: Велижанская Татьяна, руководитель службы внутреннего аудита АО «СТАТУС», член Ассоциации «Институт внутренних аудиторов»

В современных условиях все больше компаний принимают решение о формировании подразделений внутреннего аудита – это связано и с популяризацией функции, и возрастающими требованиями регулятора в части организации системы внутреннего контроля в соответствии с лучшими практиками и концепцией Трех линий защиты. В данной статье хотелось бы поделиться практическим опытом создания службы внутреннего аудита и обратить внимание на важные аспекты периода становления службы.

1. Регламентация деятельности внутреннего аудита

Очевидно, что при создании службы внутреннего аудита, первым делом, следует провести регламентацию её деятельности. Имеющиеся в открытом доступе документы и Международные основы профессиональной практики внутреннего аудита вполне достаточны для того, чтобы сформировать дееспособную регламентную базу с определением целей, полномочий, ответственности и подчинённости службы внутреннего аудита (далее СВА). Вопрос подотчетности СВА лучше зафиксировать в учредительных документах компании, в которых также должно быть определено, каким органом управления утверждается Положение о службе, которое будет являться основополагающим документом деятельности СВА.

Первое на что хотелось бы обратить внимание — это то, что при определении функций и задач СВА в Положении, следует, во-первых, четко понимать, как и какими ресурсами эти функции будут реализованы, а во-вторых – насколько они соответствуют целям и будут востребованы пользователями. К примеру, прописав функцию оценки эффективности системы внутреннего контроля по определенным направлениям деятельности, мы можем попасть в ситуацию, в которой берем на себя обязательства на постоянной основе оценивать систему внутреннего контроля по указанным направлениям деятельности. Может быть, нужна какая-то периодичность проведения оценки или она будет разовой при наступлении определённых обстоятельств? Поэтому, на мой взгляд, в Положении о СВА уместней описать верхнеуровневые задачи, такие как: оценка эффективности систем внутреннего контроля и управления рисками в целом, применение риск-ориентированного подхода при планировании. Также следует предусмотреть возможность внесения изменений в Положение на периодической основе в связи с меняющимся риск-профилем компании.

2. Планирование

Планирование работы на основе риск-ориентированного подхода 1 в соответствии со стандартами деятельности 2 должно основываться на формализованной оценке рисков. Риск-ориентированное планирование работы СВА в компании, в которой служба создается впервые, – это первый принятый вызов: требуется за очень короткий срок сформировать профессиональное суждение о состоянии системы внутреннего контроля, определить наличие проблем в бизнес-процессах. По сути, без вводных данных нужно оценить присущие риски и формализовать их. В нашем конкретном случае уровень зрелости контрольной среды оценивался СВА как низкий, в том числе и потому, что не все бизнес-процессы и процедуры внутреннего контроля были описаны, нормативная база требовала значительной переработки, оценка систем внутреннего контроля и управления рисками проводилась несистемно, информация о наличии рисков своевременно не доводилась до органов управления, мероприятия по их минимизации проводились не в полном объеме.

С чего-то надо было начинать. Учитывая то, что компания имеет разветвленную региональную сеть, использование «территориального метода» планирования проверок для формирования профессионального мнения о состоянии СВК и сбора данных о наличии проблем в процессах по принципу «снизу вверх» стало наиболее подходящим. В силу того, что штатной численности СВА было явно недостаточно 3 , первые проверки осуществлялись совместно с сотрудниками подразделений компании (бухгалтерия, подразделение по работе с региональной сетью, подразделение безопасности). По результатам проверок региональной сети были определены основные процессы, требующие повышенного внимания со стороны службы и оценки эффективности их функционирования. Отчет совету директоров за первый год функционирования СВА предоставлялся с данными о недостатках в процессах, оценкой рисков и системы внутреннего контроля, рекомендациями для принятия системных решений. План работы на следующий год уже был ориентирован на проведение процессных аудитов по принципу «сверху вниз» и продолжена работа по проверкам филиальной сети, результаты которых были наиболее востребованы исполнительным руководством.

3. Отчётность

Отдельно стоит рассказать о составе отчетности для совета директоров. Информирование совета директоров обо всех проведенных проверках, выявленных проблемах и рисках, о количестве рекомендаций, оставленных по результатам аудитов, неизбежно приводит к тому, что отчет содержит значительный объём информации, дается оценка системы внутреннего контроля по каждому направлению деятельности. Но для совета директоров наиболее важно предоставить целостную картину состояния дел в компании, дать оценку эффективности системы внутреннего контроля в целом, поэтому рекомендую отчет с этого и начинать. Для лучшего взаимопонимания и взаимодействия с советом директоров советую определить ключевые метрики и критерии оценки системы внутреннего контроля и системы управления рисками (например, утвердить Методику оценки эффективности систем внутреннего контроля и управления рисками), пороги существенности, формат отчетности и механизм информирования совета директоров о существенных нарушениях и реализованных рисках.

4. Взаимодействие с внутренними и внешними стейкхолдерами

Видео (кликните для воспроизведения).

И, пожалуй, самый важный аспект деятельности службы – это взаимодействие с подразделениями компании, внешним аудитом и регулятором.

При подготовке информации для внешнего аудитора нужно быть готовым к тому, что внешним аудитом будет осуществляться оценка того, насколько внутренним аудитом выполняются основные функции и задачи, эффективно ли выстроено взаимодействие с исполнительными органами, достаточно ли информации предоставляемой совету директоров для оценки состояния дел в компании. На основании вашей информации будут сделаны первые выводы об эффективности существующих систем внутреннего контроля и управления рисками и качестве корпоративного управления. Кроме того, внешними аудиторами запрашивается отчетность и методология СВА, и вот здесь будет уместно предоставить информацию о том, что Методика оценки эффективности систем внутреннего контроля и управления рисками утверждена советом директоров, а формат предоставляемой отчётности содержит всю необходимую информацию для объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками.

Особого внимания требует формат взаимодействия с регулятором. В рамках надзора сотрудники Банка России 4 вправе запросить внутренние нормативные документы, регламентирующие организацию внутреннего контроля и систему управления рисками, которые скрупулезно сопоставляются, запрашивается документальное подтверждение того, что прописанные мероприятия выполняются в полном объеме. От службы внутреннего аудита ожидается, что в рамках своей деятельности служба предоставляет объективные и периодические оценки состояния системы внутреннего контроля, обеспечивает контроль за выполнением планов мероприятий, направленных на улучшение системы внутреннего контроля. Особое внимание уделяется периодичности оценки эффективности функционирования системы управления рисками, порядку информирования совета директоров об идентификации существенных рисков и нарушениях процедур внутреннего контроля и управления рисками. В ходе выездных проверок деятельности компании сотрудники регулятора очень внимательно относятся к составу рабочей документации службы внутреннего аудита, сделанным выводам, описанию методов определения выборки, вплоть до того, что пересчитывают долю объектов аудита с нарушениями в общем объеме выборки.

Читайте так же:  Как получить кредит для ип без залога и поручителя

Следует отметить, что при возникновении разночтений по каким-либо вопросам, позиция регулятора, как правило, обоснована не только строго регламентированными правилами, но и документами, рекомендуемыми к использованию. Чтобы избежать каких-либо разногласий с Банком России, от компании потребуется аргументированная и документально подтвержденная позиция, сформированная на основании профессионального суждения и, если возможно, подкрепленная позицией регулятора, потому как на практике не исключены ситуации, когда мнение регулятора основано на документах, рекомендуемых к исполнению. Поэтому, невзирая на нехватку времени и ресурса, штудируем нормативные базы, регламентирующие деятельность компаний, не пропускаем ни одной рекомендации по организации системы внутреннего контроля, системы управления рисками. Своевременно реагируем на изменения и предлагаем на рассмотрение совету директоров и исполнительному руководству вопросы, касающиеся организации системы управления рисками и внутреннего контроля и формализуем все эти изменения.

В заключение хотелось бы отметить, что построение эффективно функционирующих систем внутреннего контроля и управления рисками – это все же результат совместной деятельности совета директоров, исполнительного руководства и службы внутреннего аудита. В данном процессе очень важна объективная и своевременная информация по оценке состояния дел со стороны службы внутреннего аудита, вовлеченность СВА в деятельность компании, а системный подход и проактивная позиция службы позволят реализовать функцию внутреннего аудита даже с минимальной численностью и в довольно в короткие сроки.

1 Применение риск-ориентированного подхода при планировании работы определено в Положении о СВА

2 Международные основы профессиональной практики внутреннего аудита, ст. 2010.А1

3 СВА представлена одним сотрудником

4 К организациям, поднадзорным ЦБ РФ, отнесены: кредитные организации, профессиональные участники рынка ценных бумаг, микрофинансовые организации, кредитные потребительские кооперативы, страховые организации, страховые брокеры, общества взаимного страхования, организаторы торговли, клиринговые организации, негосударственные пенсионные фонды, управляющие компании инвестиционного фонда, управляющие компании паевого инвестиционного фонда, управляющие компании негосударственного пенсионного фонда, специализированные депозитарии инвестиционного фонда, специализированные депозитарии паевого инвестиционного фонда, специализированные депозитарии негосударственного пенсионного фонда, ломбарды.

Источник: http://www.audit-it.ru/articles/audit/a105/985471.html

Как организовать в компании внутренний аудит?

Отлаженная система анализа и внутреннего аудита деятельности компании — это единственный способ обеспечения эффективной деятельности компании.


Внутренний аудитор, которым может быть назначен любой сотрудник, является независимым от интересов проверяемой стороны. Всегда важен и полезен взгляд со стороны.
Ключевые задачи аудитора: — Провести предварительный анализ имеющихся данных.
— Подготовить вопросы аудита и план его проведения.
— Вести всю установленную требованиями документацию.
— По результатам аудита подготовить отчет.

Может ли исполнитель самостоятельно контролировать процесс и результат?
Контролировать исполнитель может процесс, но результат — никогда. По факту контроля должно приниматься решение, а у исполнителей не всегда есть желание для этого, поэтому финальный контроль должен осуществлять другой стороной.

Можно ли контролировать все? Как этого добиться?
Во-первых, одному лицу не нужно добиваться тотального контроля над деятельностью всей компании. Во-вторых, необходимо оценивать и контролировать ключевые показатели. Но ведь их много, как быть? Многим кажется нереальным контролировать десятки определенных показателей одновременно. Но давайте вспомним, как мы учились водить автомобиль. Когда-то для каждого из нас было непонятным, как можно контролировать все дорожные параметры: наличие знаков, светофоров, да еще и зеркало заднего вида, при этом переключать скорости и крутить руль… но ведь потом мы еще и станции на автомагнитоле начали переключать, разговаривать с сидящими сзади пассажирами, курить, разговаривать по мобильному телефону… Таким образом, совмещать не один десяток параметров контроля можно, но для начала их необходимо определить и прописать.

Каков главный критерий контроля?
Заблуждение — считать, что можно контролировать только то, в чем разбираешься. Существует один из общепринятых критериев оценки — оценить можно то, что можно посчитать. Такой же критерий существует и для понятия «контроль». Контролировать можно то, что формализовано, регламентировано и определено. Контролировать что-либо можно только тогда, когда знаешь, какой результат должен получиться и какой путь является наиболее приемлемым для достижения обозначенного результата.

Какие существуют ошибки контроля?
Первой ошибкой является то, что после осуществления контроля мы забываем о его результатах. Необходимо перевести контроль из разряда формальности в разряд основы для существования системы планового развития компании. Не зафиксированные контрольные точки, отсутствие записей по результатам прохождения этапов контролируемой операции, а также не систематизированный и лишенный даты и времени контроль — это не более чем формальность.
Все что можете прописать и определить для самого себя в области осуществления контроля — определяйте и прописывайте. В этом и заключается вторая ошибка — бессистемный хаотичный контроль. Такой подход теряет свою актуальность.
Мы не задумываемся и еще над одним моментом — над тем, что мы контролируем и почему именно это. Как следствие — третья ошибка. Мы более пристально контролируем то, что любим. Признайте этот факт — вам это нравится. Намного приятнее контролировать там, где вы специалист, и вы попросту неосознанно уделяете конкретному сотруднику или такому отделу намного больше времени, хотя, скорее всего, это излишне. Покончите с такой практикой.

Почему вредны излишние проверки?
Считается, что чем больше контроля, тем больше исполнительности. Зачастую проверки излишние и чрезмерные, хотя проводя их, мы считаем что сможем добиться больших результатов. Необходимо помнить, что проверки стоят денег, поскольку занимают время как проверяющих, так и проверяемых.

Каковы основные принципы аудита?
— Аудит проводится согласно утвержденной программе
— Он основан на честности и объективности в представлении результатов аудита. Аудитор должен работать с фактами, а не с мнениями и доводами, не должен давать собственную оценку происходящего.
— Свидетельства, представленные аудитором, должны быть проверяемы и документально зафиксированы. Эти свидетельства могут также подтверждаться подписью проверяемых, иметь доказательства в виде фотографий, распечаток.
— Данные аудита должны быть рассмотрены. По результатам должно приниматься соответствующее решение, которое должно исполняться.

Читайте так же:  Размер базовой части трудовой пенсии

Какие основные проблемы аудита?
Первая — ограниченность во времени. Так как аудит проводится в течение ограниченного периода времени и с ограниченными ресурсами, он основан на выборе имеющейся информации и анализе текущих событий. Объем выборки тесно связан с достоверностью заключений по результатам аудита, поэтому к результатам аудита нужно относиться с определенной долей вероятности. После проведения аудита ответьте на вопрос: достаточно ли времени было затрачено на аудит выбранного отдела? Все ли удалось узнать за данный промежуток времени?
Вторая проблема — отсутствие понимания со стороны проверяемого подразделения. Отсутствие понимания, как правило, основано на страхе несоответствий. Недоброжелательный настрой при проведении проверки не позволяет аудитору выявить все возможные нарушения и несоответствия.

Что в первую очередь необходимо сделать перед аудитом?
Провести анализ документации. Глубина анализа определяется с учетом размера и типа проверяемого отдела или подразделения, а также целью аудита. Если документация неадекватна, необходимо принять решение о проведении или в отказе от проведения аудита, а также сообщить об этом руководителю проверяемого подразделения и другим заинтересованным сторонам, включая ведущего аудитора и генерального директора.

Как проводить аудит на местах?
Аудит на местах основан на выявлении того, кто, как и что делает, какие ресурсы при этом использует. Рассмотрим основные шаги.
— Предоставьте документальное основание на проведение проверки.
— Обозначьте проверяемую область.
— Снимите элемент неопределенности — кратко опишите методы, которые будут использоваться вами при проведении аудита.
— Обозначьте установленные область и критерии оценки.
— Сообщите о возможности получения результатов аудита по его итогам.
— Сообщите о возможности оспаривания выявленных несоответствий.
— Соберите информацию используя основные доступные методы: задавайте вопросы, наблюдайте за деятельностью проверяемых, просматривайте и анализируйте документацию.

Что является результатом аудита?
Свидетельства аудита должны быть оценены с точки зрения установленных критериев аудита.
Если считать, что результатом аудита является отчет, то он должен содержать следующие данные:
— Цели аудита.
— Область аудита.
— План аудита.
— Дата и место, где проводился аудит.
— Критерии аудита.
— Выявленные в результате аудита сведения.
— Заключения по результатам аудита.
В отчет не нужно включать:
— Личные впечатления.
— Аспекты, не входящие в область аудита.

Источник: http://shkolazhizni.ru/job/articles/2180/

Организация службы внутреннего аудита с нуля. Практический опыт

Автор: Велижанская Татьяна, руководитель службы внутреннего аудита АО «СТАТУС», член Ассоциации «Институт внутренних аудиторов»
Источник: Институт внутренних аудиторов
Опубликовано: 25 апреля 2019

В современных условиях все больше компаний принимают решение о формировании подразделений внутреннего аудита – это связано и с популяризацией функции, и возрастающими требованиями регулятора в части организации системы внутреннего контроля в соответствии с лучшими практиками и концепцией Трех линий защиты. В данной статье хотелось бы поделиться практическим опытом создания службы внутреннего аудита и обратить внимание на важные аспекты периода становления службы.

1. Регламентация деятельности внутреннего аудита

Очевидно, что при создании службы внутреннего аудита, первым делом, следует провести регламентацию ее деятельности. Имеющиеся в открытом доступе документы и Международные основы профессиональной практики внутреннего аудита вполне достаточны для того, чтобы сформировать дееспособную регламентную базу с определением целей, полномочий, ответственности и подчиненности службы внутреннего аудита (далее СВА). Вопрос подотчетности СВА лучше зафиксировать в учредительных документах компании, в которых также должно быть определено, каким органом управления утверждается Положение о службе, которое будет являться основополагающим документом деятельности СВА.

Первое на что хотелось бы обратить внимание — это то, что при определении функций и задач СВА в Положении, следует, во-первых, четко понимать, как и какими ресурсами эти функции будут реализованы, а во-вторых – насколько они соответствуют целям и будут востребованы пользователями. К примеру, прописав функцию оценки эффективности системы внутреннего контроля по определенным направлениям деятельности, мы можем попасть в ситуацию, в которой берем на себя обязательства на постоянной основе оценивать систему внутреннего контроля по указанным направлениям деятельности. Может быть, нужна какая-то периодичность проведения оценки или она будет разовой при наступлении определенных обстоятельств? Поэтому, на мой взгляд, в Положении о СВА уместней описать верхнеуровневые задачи, такие как: оценка эффективности систем внутреннего контроля и управления рисками в целом, применение риск-ориентированного подхода при планировании. Также следует предусмотреть возможность внесения изменений в Положение на периодической основе в связи с меняющимся риск-профилем компании.

2. Планирование

Планирование работы на основе риск-ориентированного подхода[1] в соответствии со стандартами деятельности[2] должно основываться на формализованной оценке рисков. Риск-ориентированное планирование работы СВА в компании, в которой служба создается впервые, – это первый принятый вызов: требуется за очень короткий срок сформировать профессиональное суждение о состоянии системы внутреннего контроля, определить наличие проблем в бизнес-процессах. По сути, без вводных данных нужно оценить присущие риски и формализовать их. В нашем конкретном случае уровень зрелости контрольной среды оценивался СВА как низкий, в том числе и потому, что не все бизнес-процессы и процедуры внутреннего контроля были описаны, нормативная база требовала значительной переработки, оценка систем внутреннего контроля и управления рисками проводилась несистемно, информация о наличии рисков своевременно не доводилась до органов управления, мероприятия по их минимизации проводились не в полном объеме.

С чего-то надо было начинать. Учитывая то, что компания имеет разветвленную региональную сеть, использование «территориального метода» планирования проверок для формирования профессионального мнения о состоянии СВК и сбора данных о наличии проблем в процессах по принципу «снизу вверх» стало наиболее подходящим. В силу того, что штатной численности СВА было явно недостаточно[3], первые проверки осуществлялись совместно с сотрудниками подразделений компании (бухгалтерия, подразделение по работе с региональной сетью, подразделение безопасности). По результатам проверок региональной сети были определены основные процессы, требующие повышенного внимания со стороны службы и оценки эффективности их функционирования. Отчет совету директоров за первый год функционирования СВА предоставлялся с данными о недостатках в процессах, оценкой рисков и системы внутреннего контроля, рекомендациями для принятия системных решений. План работы на следующий год уже был ориентирован на проведение процессных аудитов по принципу «сверху вниз» и продолжена работа по проверкам филиальной сети, результаты которых были наиболее востребованы исполнительным руководством.

Читайте так же:  Анкета для устройства на работу образец заполнения

Обращаю внимание на важный аспект планирования работы – это периодичность внесения изменений в план работы и резерв рабочего времени, который мы себе оставляем для проведения внеплановых заданий. Периодическое информирование совета директоров о состоянии дел компании, позволило совету реализовать свое право «заказа проверок» по интересующим вопросам и тематикам. На практике получилось, что резерв на проведение внеплановых заданий в размере 15% был исчерпан уже к середине года за счет «крупного заказа» по факту реализовавшихся рисков, последствия которых привели к потере клиентов, нарушениям законодательства в профессиональной деятельности. Увеличение резерва рабочего времени до 25% в плане следующего года также не позволило «избежать» внесения изменений в план работы и их согласование с советом директоров, потому как стремительно меняющаяся ситуация и участие СВА в служебном расследовании по признакам мошеннических действий персонала, вновь «съедает» весь резерв рабочего времени. Поэтому изменения в план работы целесообразнее вносить не менее 2 раз в год, меняя структуру плана таким образом, чтобы резерв времени на внеплановые мероприятия составлял оптимальные 10-15%, а задания совета и исполнительного руководства выполнялись в рамках плановых работ.

3. Отчетность

Отдельно стоит рассказать о составе отчетности для совета директоров. Информирование совета директоров обо всех проведенных проверках, выявленных проблемах и рисках, о количестве рекомендаций, оставленных по результатам аудитов, неизбежно приводит к тому, что отчет содержит значительный объем информации, дается оценка системы внутреннего контроля по каждому направлению деятельности. Но для совета директоров наиболее важно предоставить целостную картину состояния дел в компании, дать оценку эффективности системы внутреннего контроля в целом, поэтому рекомендую отчет с этого и начинать. Для лучшего взаимопонимания и взаимодействия с советом директоров советую определить ключевые метрики и критерии оценки системы внутреннего контроля и системы управления рисками (например, утвердить Методику оценки эффективности систем внутреннего контроля и управления рисками), пороги существенности, формат отчетности и механизм информирования совета директоров о существенных нарушениях и реализованных рисках.

4. Взаимодействие с внутренними и внешними стейкхолдерами

И, пожалуй, самый важный аспект деятельности службы – это взаимодействие с подразделениями компании, внешним аудитом и регулятором.

При подготовке информации для внешнего аудитора нужно быть готовым к тому, что внешним аудитом будет осуществляться оценка того, насколько внутренним аудитом выполняются основные функции и задачи, эффективно ли выстроено взаимодействие с исполнительными органами, достаточно ли информации предоставляемой совету директоров для оценки состояния дел в компании. На основании вашей информации будут сделаны первые выводы об эффективности существующих систем внутреннего контроля и управления рисками и качестве корпоративного управления. Кроме того, внешними аудиторами запрашивается отчетность и методология СВА, и вот здесь будет уместно предоставить информацию о том, что Методика оценки эффективности систем внутреннего контроля и управления рисками утверждена советом директоров, а формат предоставляемой отчетности содержит всю необходимую информацию для объективной оценки эффективности функционирования систем внутреннего контроля и управления рисками.

Особого внимания требует формат взаимодействия с регулятором. В рамках надзора сотрудники Банка России[4] вправе запросить внутренние нормативные документы, регламентирующие организацию внутреннего контроля и систему управления рисками, которые скрупулезно сопоставляются, запрашивается документальное подтверждение того, что прописанные мероприятия выполняются в полном объеме. От службы внутреннего аудита ожидается, что в рамках своей деятельности служба предоставляет объективные и периодические оценки состояния системы внутреннего контроля, обеспечивает контроль за выполнением планов мероприятий, направленных на улучшение системы внутреннего контроля. Особое внимание уделяется периодичности оценки эффективности функционирования системы управления рисками, порядку информирования совета директоров об идентификации существенных рисков и нарушениях процедур внутреннего контроля и управления рисками. В ходе выездных проверок деятельности компании сотрудники регулятора очень внимательно относятся к составу рабочей документации службы внутреннего аудита, сделанным выводам, описанию методов определения выборки, вплоть до того, что пересчитывают долю объектов аудита с нарушениями в общем объеме выборки.

Следует отметить, что при возникновении разночтений по каким-либо вопросам, позиция регулятора, как правило, обоснована не только строго регламентированными правилами, но и документами, рекомендуемыми к использованию. Чтобы избежать каких-либо разногласий с Банком России, от компании потребуется аргументированная и документально подтвержденная позиция, сформированная на основании профессионального суждения и, если возможно, подкрепленная позицией регулятора, потому как на практике не исключены ситуации, когда мнение регулятора основано на документах, рекомендуемых к исполнению. Поэтому, невзирая на нехватку времени и ресурса, штудируем нормативные базы, регламентирующие деятельность компаний, не пропускаем ни одной рекомендации по организации системы внутреннего контроля, системы управления рисками. Своевременно реагируем на изменения и предлагаем на рассмотрение совету директоров и исполнительному руководству вопросы, касающиеся организации системы управления рисками и внутреннего контроля и формализуем все эти изменения.

В заключение хотелось бы отметить, что построение эффективно функционирующих систем внутреннего контроля и управления рисками – это все же результат совместной деятельности совета директоров, исполнительного руководства и службы внутреннего аудита. В данном процессе очень важна объективная и своевременная информация по оценке состояния дел со стороны службы внутреннего аудита, вовлеченность СВА в деятельность компании, а системный подход и проактивная позиция службы позволят реализовать функцию внутреннего аудита даже с минимальной численностью и в довольно в короткие сроки.

[1] Применение риск-ориентированного подхода при планировании работы определено в Положении о СВА

[2] Международные основы профессиональной практики внутреннего аудита, ст. 2010.А1

[3] СВА представлена одним сотрудником

[4] К организациям, поднадзорным ЦБ РФ, отнесены: кредитные организации, профессиональные участники рынка ценных бумаг, микрофинансовые организации, кредитные потребительские кооперативы, страховые организации, страховые брокеры, общества взаимного страхования, организаторы торговли, клиринговые организации, негосударственные пенсионные фонды, управляющие компании инвестиционного фонда, управляющие компании паевого инвестиционного фонда, управляющие компании негосударственного пенсионного фонда, специализированные депозитарии инвестиционного фонда, специализированные депозитарии паевого инвестиционного фонда, специализированные депозитарии негосударственного пенсионного фонда, ломбарды

Автор: Велижанская Татьяна, руководитель службы внутреннего аудита АО «СТАТУС», член Ассоциации «Институт внутренних аудиторов»

Видео (кликните для воспроизведения).

Источник: http://gaap.ru/articles/Organizatsiya_sluzhby_vnutrennego_audita_s_nulya_Prakticheskiy_opyt/

Как организовать внутренний аудит на предприятии
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here