Что такое свк в аудите
Внутренний аудит на предприятии: система и стандарты внутреннего аудита в организации
Директор ООО «Радар-Консалтинг» Наталья Шибалкина на встрече с клиентом
Внутренний аудит на предприятии имеет несколько направлений. Например: операционный внутренний аудит, внутренний финансовый аудит, внутренний аудит соответствия нормам стандартов в компании, аудит IT на предприятии и даже криминальный внутренний аудит. В этой статье мы разберемся, что такое внутренний аудит на предприятии, как он помогает в развитии компании, и какие преимущества есть при передаче внутреннего аудита на аутсорсинг независимой аудиторской организации.
Если у вас возникнут вопросы по ходу прочтения материала, то задавайте их в комментариях. Наш квалифицированный аудитор обязательно ответит.
Что такое внутренний аудит? Зачем необходим внутренний аудит на предприятии?
Обязательный аудит организации и внутренний аудит — разные процедуры, хоть и обе регулируются 307-ФЗ и иными НПА, регламентирующими аудиторскую деятельность. Внутренний аудит не является обязательным, а проводится в интересах собственника и по его инициативе. Давайте дадим понятие внутреннему аудиту:
Внутренний аудит — это организованная в интересах собственника система контроля, которая дает оценку эффективности работы системы внутреннего контроля в организации (далее СВК), оценку действующей системы управления рисками (далее СУР), а также оценку эффективности корпоративного управления (далее КУ).
Но прежде чем, продолжить статью о внутреннем аудите, мы остановимся для того, чтобы для начала понять, а что такое СВК, СУР и КУ, потому что внутренний аудит согласно информационному письму ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143, как раз должен оценивать эффективность этих систем.
В настоящее время в стандартах внутреннего, да и внешнего аудита, пишут о так называемом «риск-ориентированном» подходе в аудите. Информационное письмо банка начинается с глоссария, разберемся сначала с терминологией.
Итак, что такое риск при осуществлении предпринимательской деятельности?
Риск при осуществлении предпринимательской деятельности — это влияние неопределенности на достижение поставленной цели, другими словами здесь работает система вероятности, а если совсем грубо пояснить, то может будет допущена ошибка в учете, а может нет, может отгрузят вовремя продукцию со склада, а может нет, может украдут со склада материалы, а может нет, главный бухгалтер может правильно заполнить налоговую декларацию, а может нет, и т.д. рисков бесконечное множество.
Есть еще интересный термин в письме ЦБ РФ «риск-аппетит» — это приемлемая величина риска, другими словами это виды и величина рисков, которые компания готова принять в процессе реализации своих целей. Понятно, что предугадать все события невозможно, но оценить степень риска наступления или не наступления события возможно.
СВК и СУР – это система мер, процедур, методик, норм корпоративной культуры, которые приняты в компании, чтобы достичь баланс между ростом стоимости компании, прибылью и рисками, в целях обеспечения эффективной финансово-хозяйственной деятельности, сохранности активов, соблюдения законодательства, а также в целях подготовки достоверной, управленческой, финансовой, бухгалтерской отчетности.
Так вот, прежде чем, перейти к организации внутреннего аудита на предприятии, рекомендуется сначала выявить, оценить и провести анализ рисков, которые могут повлиять на способность компании реализовать свою стратегию и достичь поставленных целей.
Для этого в компании рекомендуется проводить анализ видов рисков, приоритизировать риски по уровню их возможного влияния (существенности) с учетом установленного риск-аппетита, и на основе проведенной работы осуществить выбор стратегии и метода управления риском.
Главная цель внутреннего аудита выявлять риски и давать рекомендации по усовершенствованию внутренних процессов в компании.
Внутренний аудит должен решать следующие задачи:
Процедуры внутреннего аудита компания должна регламентировать самостоятельно, строгих требований в нормативных документах не содержится.
Направления в работе внутреннего аудита могут быть различные. Например, операционный внутренний аудит основан на внутреннем аудите бизнес-процессов. В рамках операционного аудита оценивается эффективность работы подразделений, соблюдение выполнения плановых заданий, эффективность управления подразделениями, обеспечение сохранности активов компании и др.
Внутренний финансовый аудит направлен на оценку эффективности работы учетных процессов в компании, достоверности управленческой, финансовой и бухгалтерской отчетности, на оценку эффективности управления финансовыми потоками, а также на оценку эффективности бизнес-планирования.
Внутренний аудит криминальный направлен на оценку рисков мошенничества, должностных преступлений, халатности, взяточничества, коррупцию, нарушений действующего законодательства.
Внутренний аудит соответствия направлена на проверку соблюдения нормативных правовых актов, внутрифирменных стандартов, а также корпоративной политики компании.
Внутренний аудит информационных систем, как одно из важных направлений во внутреннем аудите, обеспечивает контроль безопасности функционирования информационных систем, а также процессов управления в области IT- технологий.
Внутренний аудит на предприятии — что обеспечивает его эффективность?
Выдача аудиторского заключения по результатам проверки
Принцип независимости внутреннего аудитора одно из важных условий повышения эффективности результатов внутреннего аудита.
Вторым фактором эффективности является уровень квалификации специалистов, которые выполняют функции внутреннего аудита.
Привлечение специализированной аудиторской компании с опытом работы в системе проведения проверок по внутреннему аудиту существенно повышают эффективность внутреннего аудита в компании.
Если хотите узнать больше, то отправьте заявку на получение коммерческого предложения от нашей аудиторской компании ООО «Радар-Консалтинг»:
Также, мы предоставим бесплатную консультацию аудитора, который ответит на ваши вопросы.
Как проводится внутренний аудит на предприятии?
Первый этап. На этом этапе определяются цели и объекты аудита. Перед каждой проверкой составляется чек-лист или программа проверки, которая включает в себя список плановых аудиторских процедур, сроки выполнения работ, характер проверки и исполнителей.
В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур, которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки используется несколько видов аудиторских процедур (аналитические процедуры и процедуры тестирования).
Второй этап. Проведение проверки по внутреннему аудиту. В рамках второго этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки. Проведение проверки осуществляется в соответствии с утвержденной программой проверки.
В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.
Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств.
К аудиторским доказательствам могут относиться:
Третий этап. Подведение итогов и написание аудиторского отчёта. На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств.
В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами. На основе проведенных наблюдений и выводов внутренним аудитором формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита.
Внутренний аудит на предприятии — итоговый этап проверки
Заключительный этап самый важный, потому что выявить недостатки и нарушения в ходе внутреннего аудита недостаточно, их надо еще и устранить.
На основании рекомендаций, подготовленных внутренним аудитором, руководитель объекта аудита обязан составить План мероприятий по результатам внутреннего аудита, направленный на устранение выявленных нарушений и недостатков, а также реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля.
На этом этапе процесс внутреннего аудита не заканчивается, далее следует этап, на котором службой внутреннего аудита осуществляется контроль выполнения плановых мероприятий по устранению нарушений и недостатков.
Пример внутреннего аудита из практики нашей аудиторской компании ООО «Радар-Консалтинг»
Чтобы донести по руководства компаний и собственников бизнеса мысль о том, насколько важны для бизнеса СВК, СУР, корпоративная политика и система внутреннего аудита, мы хотим поделиться реальным примером из практики.
К нам в аудиторскую компанию поступила заявка на финансовый консалтинг. Суть вопроса заключалась в том, что руководство интернет-магазина имело подозрение в недобросовестных действиях своего бухгалтера в сговоре с менеджером по продажам.
По мнению руководства интернет-магазина, когда приходила заявка на покупку товара с сайта, менеджер под заявку клиента покупал товар, отгружал его клиенту, а потом в сговоре с бухгалтером эта заявка в интернет-магазине отменялась, как бы был возврат товара. Хотя на самом деле реализация товара была осуществлена, только не через кассу интернет-магазина, а мимо кассы, т.е. выручку делили между собой бухгалтер и менеджер.
Как решить эту проблему интернет-магазина?
Вот здесь как раз надо использовать риск-ориентированный подход к оценке бизнес-процесса работы интернет-магазина. Алгоритм решения проблемы основывается на использовании принципа модели COSO.
Главными принципами модели COSO являются оценка риска и управление им, это как раз то, о чем мы писали в начале статьи. Для успешного функционирования компании нужно заранее просчитать, в чем заключается главная опасность, и постараться повлиять на нее.
Модель внутреннего контроля, предложенная COSO, состоит из пяти взаимосвязанных компонентов:
Контрольная среда: Контрольная среда задает атмосферу в организации, влияя на контрольное сознание своего персонала. Она является основой для всех остальных компонентов внутреннего контроля, обеспечивая дисциплину и структуру.
Оценка рисков: каждая организация сталкивается с различными рисками от внешних и внутренних источников, которые должны быть оценены. Оценка риска является необходимым условием для определения того, как необходимо управлять рисками.
Средства контроля: Средства контроля представляют собой внутренние документы и процедуры, которые помогают менеджменту в реализации своих решений. Они включают в себя целый ряд мероприятий, таких как согласования, разрешения, проверки, сверки, отчеты по текущей деятельности, безопасности активов и разделению обязанностей.
Информация и коммуникация: Информационные системы играют ключевую роль в системах внутреннего контроля, поскольку они создают отчеты, включающие, финансовую информацию, а также информацию по операционной деятельности. Например, типовые процедуры для сообщения сотрудниками подозрений в мошенничестве.
Эффективная коммуникация, по вопросам, связанным с интересами компании, должна быть также обеспечена с внешними сторонами, например, клиентами, поставщиками, регулирующими органами и акционерами.
Мониторинг: Система внутреннего контроля, требует мониторинга. Недостатки внутреннего контроля, выявленные в ходе таких контрольных мероприятий следует доводить до сведения руководства и устранять для обеспечения непрерывного совершенствования системы.
Алгоритм решения проблемы интернет-магазина с использованием модели COSO, по-нашему мнению, такой:
В ней будет заявлено, что принципы работы в компании основаны на честности, добросовестности и защите интересов компании. Очень важно открыто заявить об этих принципах работы в компании и довести до сведения всех сотрудников, сотрудники в свою очередь должны поддерживать корпоративный дух в компании.
Возможно это описание будет в виде схемы бизнес-процесса от получения заявки до отгрузки товара и получения денежных средств. На каждом этапе бизнес-процесса по схеме надо оценить риски недобросовестных действий, нарушений, ошибок и злоупотреблений. Без оценки операционных рисков и понимания вида рисков нельзя будет научиться управлять этими рисками.
Это внутренние процедуры и внутрифирменные документы, которые предотвращают или существенно снижают риск недобросовестных действие и нарушений бизнес-процесса, например, регламентирование дополнительной, согласовательной подписи третьего лица на возврат товара клиенту или контроль третьего лица над денежными операциями по возврату денежных средств и др.
По продажам от менеджера, осуществлять информационное взаимодействие с поставщиками товаров. Например, ежедневное проведение сверки с поставщиками по отгрузке товаров через интернет-магазин. Производить контрольные звонки клиентам в целях проведения опроса по качеству товара и по обслуживанию, лицами, не задействованными в операционном бизнесе и др.
По всем выявленным недостаткам в системе внутреннего контроля непрерывно вводить новые средства контроля.
Применяемые в нашем примере средства контроля недобросовестных действий призваны снизить риск до уровня «риск-аппетита». То есть, до приемлемого риска руководством интернет-магазина для достижения поставленных целей, только после этого начинает в компании работать система внутреннего аудита, результатом которой является повышение эффективности СВК, СУР и корпоративного управления.
Внутренний аудит и преимущества передачи его на аутсорсинг
Аудиторы ООО «Радар-Консалтинг» работают в офисе клиента
Центральный банк Российской Федерации выпустил информационное письмо от 1 октября 2020 г. N ИН-06-28/143 «О РЕКОМЕНДАЦИЯХ ПО ОРГАНИЗАЦИИ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ, ВНУТРЕННЕГО АУДИТА, РАБОТЫ КОМИТЕТА СОВЕТА ДИРЕКТОРОВ (НАБЛЮДАТЕЛЬНОГО СОВЕТА) ПО АУДИТУ В ПУБЛИЧНЫХ АКЦИОНЕРНЫХ ОБЩЕСТВАХ».
После выхода этого письма ЦБ РФ для акционерных обществ в форме ПАО и ОАО, которые до настоящего времени не имели службы внутреннего аудита, встал вопрос об организации работы службы внутреннего аудита, а также вопросы разработки и утверждения организационных документов по внутреннему аудиту, в том числе Положения об осуществлении внутреннего аудита.
Именно вопросам организации системы внутреннего аудита пойдет речь далее. Мы расскажем о подготовке Положения по внутреннему аудиту с использованием специализированной аудиторской компании в системе внутреннего аудита (далее СВА), потому что для малых и средних по масштабам деятельности ОАО и ПАО передать выполнение функций внутреннего аудит на аутсорсинг аудиторской организации самое оптимальное решение.
Итак, Положение об осуществлении внутреннего аудита (далее Положение) должно включать в себя следующие основные разделы:
Внутренний аудит на предприятии и его основные функции
Основными функциями внутреннего аудита, которые должны быть указаны в Положении, должны быть следующие функции:
Внутренний аудит в организационной структуре компании
Мы рекомендуем функции внутреннего аудита реализовывать с привлечением сторонней профессиональной аудиторской организации (аутсорсинг), потому что этот важный объем работы правильнее доверить специалистам, имеющим соответствующую профессиональную подготовку.
Кроме этого, для небольших по масштабам деятельности ПАО и ОАО создание самостоятельной службы внутреннего аудита приведет к существенным финансовым потерям, а передача функций внутреннего аудита профессиональной аудиторской организации не только сократит финансовые потери, но и обеспечит высокое качество функционирования системы внутреннего аудита.
Получите наше коммерческое предложение и сможете оценить все преимущества для вашей компании в цифрах:
Административная подотчетность внутреннего аудита, как правило, единоличному исполнительному органу, рекомендуется, чтобы совет директоров в рамках регулярного подтверждения независимости внутреннего аудита рассматривал вопрос об административной подотчетности внутреннего аудита.
Порядок планирования деятельности внутреннего аудита
В случае передаче функций внутреннего аудита на аутсорсинг, руководитель привлеченной аудиторской организации разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе. План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель привлеченной аудиторской организации предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, ресурсный план и финансовый бюджет внутреннего аудита.
Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита.
Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:
Организация проверки, проводимой внутренним аудитом
Как правило, проверки осуществляются в три этапа и включают:
В рамках планирования проверки руководитель аудиторской организации определяет, каким образом, когда и кому (далее — уполномоченные представители) будут сообщаться результаты выполнения проверки, и информирует об этом решении руководителя объекта аудита в той степени, в которой он сочтет нужным.
Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур.
В объем и содержание проверки как минимум включаются:
Заключение (мнение) рабочей группы внутреннего аудита должно включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно эффективности:
По завершении проверки рабочая группа аудиторской компании подготавливает итоговый отчет. Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет как минимум следующие разделы:
По итогам проверки на основании выявленных недостатков и подготовленных аудиторской организацией рекомендаций руководитель объекта аудита обязан разработать и согласовать с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на устранение выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).
Контроль качества и оценка деятельности внутреннего аудита
На регулярной основе (как правило, один раз в год) руководитель аудиторской организации обязан проинформировать исполнительные органы и отчитаться перед советом директоров о деятельности в рамках программы оценки и повышения качества и ее результатах, в том числе довести информацию о результатах внутренних и внешних оценок.
Программа оценки и повышения качества включает:
Если в рамках непрерывного мониторинга или по результатам оценки (внутренней и внешней) качества выявляются недостатки в деятельности внутреннего аудита, руководитель аудиторской организации разрабатывает план по устранению таких недостатков и отслеживает эффективность и своевременность его выполнения.
Внешнюю оценку качества внутреннего аудита рекомендуется проводить не реже одного раза в пять лет. Внешняя оценка качества проводится с целью получения руководителем аудиторской организации и другими заинтересованными лицами независимого мнения о качестве функции внутреннего аудита.
Внешняя независимая оценка может проводиться чаще, чем раз в пять лет. Руководителю аудиторской организации рекомендуется обсудить с советом директоров (комитетом по аудиту) и исполнительными органами частоту проведения внешней независимой оценки.
В настоящее время нормами действующего законодательства усиливаются требования к системе внутреннего контроля и внутреннего аудита в акционерных обществах.
Далеко не в каждом акционерном обществе разработана методология проведения внутреннего аудита и система тестирования рисков. Поэтому мы рекомендуем в таких случаях передавать выполнение функций по внутреннему аудиту на аутсорсинг профессиональной аудиторской компании.
Преимущества аутсорсинга функций внутреннего аудита очевидны:
На содержании собственной службы внутреннего аудита. Так как ежемесячно внутреннему аудитору надо платить заработную плату. Средняя заработная плата компетентного внутреннего аудитора не менее 100 тыс.руб. в месяц, плюс дополнительные расходы на налоги и отчисления во внебюджетные фонды.
Стоимость внутреннего аудита по договору аутсорсинга с нашей аудиторской компании от 50 тыс.руб. за одну проверку по внутреннему аудиту. Количество проверок по внутреннему аудиту согласовывается в плане проверок по внутреннему аудиту с клиентом на срок не менее одного года.
Так как для выполнения функций внутреннего аудита привлекаются профессиональные аттестованные аудиторы, которые смогут подготовить все необходимые документы по результатам выполненной работы для совета директоров, исполнительных органов и других заинтересованных лиц.
В нашей аудиторской компании уже разработана методология проведения внутреннего аудита, а также система тестирования для оценки рисков, что обеспечивает качество выполненных заданий по внутреннему аудиту.
Принцип независимости позволяет более объективно проводить внутренний аудит в ПАО и ОАО, а также в любой другой компании.
В заключении статьи мы рекомендуем, всем ПАО и ОАО, которые до настоящего времени не организовали в своей структуре службу внутреннего аудита, рассмотреть вопрос передачи на аутсорсинг выполнение функций внутреннего аудита аудиторской организации.
Тем более, что в информационном письме ЦБ РФ от 1 октября 2020 г. N ИН-06-28/143 даны такие рекомендации для малых и средних по масштабам деятельности акционерных обществ.
Чтобы вы смогли оценить наш опыт и компетенцию, рекомендуем ознакомиться с результатами проведенных нами аудиторских проверок и отзывами наших клиентов:
Создание службы внутреннего контроля и аудита с нуля
Автор: Михаил Поляков, CIA, директор по внутреннему контролю и аудиту, практический опыт во внутреннем аудите более 15 лет, член Ассоциации «Институт внутренних аудиторов»
Предпосылки и ожидания акционеров
Расскажу про личный опыт создания службы внутреннего контроля и аудита с нуля, уверен, что эта тема будет интересна как собственникам бизнеса, которые уже задумывались о создании такой службы, но по каким-то причинам откладывают такое решение, так и внутренним аудиторам, которые могут столкнуться в своей карьере с такими вызовами.
Хочу сразу отметить, что в компании, о которой пойдет речь, никогда не было ни функции внутреннего аудита, ни функции контроля. Когда меня пригласили на интервью с акционерами компании и мы начали обсуждать цель создания службы, я понял, что акционерам нужна прежде всего независимая оценка того, что же происходит с их бизнесом на самом деле, насколько достоверны те отчеты – по продажам, исполнению бюджета, инвестициям, – которые им предоставляет операционный менеджмент.
Компания на тот момент как раз находилась в стадии роста, и для того, чтобы поддерживать его и не перейти в стадию зрелости, компании был нужен новый импульс – кардинальные изменения как в реструктуризации процессов, так и в привлечении новых инвестиций. Одним из таких импульсов и должна была стать служба внутреннего контроля и аудита (далее СВКиА). Основная задача, стоявшая передо мной, – выстроить в компании функцию внутреннего аудита и систему внутреннего контроля (далее СВК).
Международный Институт внутренних аудиторов (IIA) дает следующее определение внутреннего аудита:
Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
СOSO IC
Внутренний контроль — это процесс, осуществляемый советом директоров, менеджментом и сотрудниками, направленный на обеспечение разумной уверенности в достижении целей компании, связанных с операционной деятельностью, подготовкой отчетности и соблюдением законодательства и нормативных актов.
По сути, была поставлена задача создать в рамках одного подразделения две конфликтующие между собой функции (контроль и аудит).
Чтобы минимизировать этот конфликт, было принято решение о разделении функции внутри службы на ВА и ВК: внутренние аудиторы не могут учувствовать в осуществлении контрольных процедур, а специалисты по внутреннему контролю не могут проводить аудиторские проверки. По мере зрелости СВК данная функция перейдет во вторую линию защиты. Этот подход был утвержден советом директоров.
Стандарт 1100 – Независимость и объективность
Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
Объективность аудитора считается нарушенной, если аудитор разрабатывает, внедряет, проектирует контрольные процедуры для систем или управляет такими системами.
Первые шаги
На этапе зарождения функции внутреннего аудита важно строго руководствоваться Международными профессиональными стандартами внутреннего аудита и применять лучшие практики в области управления функцией внутреннего аудита, доводить их важность и значимость до акционеров и высшего руководства. Был случай, когда на очередной встрече с высшим руководством мне было предложено взять в подчинение операционную функцию, т.е. подразделение, которое непосредственно занимается операционной деятельностью. И здесь было важно довести до руководства свою принципиальную позицию о том, что если внутренний аудит будет руководить операционной функцией, тогда объективность и независимость внутреннего аудита подвергнутся отрицательному воздействию, а внутренние аудиторы не смогут выполнять свои обязанности объективно и независимо в отношении этого подразделения.
Практическое указание 1130.A2-1: Ответственность внутр
Соответствующий исходный Стандарт 1130.A2 – Выполнение аудиторских заданий по предоставлению гарантий в тех областях, за которые отвечает руководитель внутреннего аудита, должно осуществляться под надзором стороны, независимой по отношению к внутреннему аудиту.
Внутренние аудиторы не должны брать на себя ответственность за неаудиторские функции или обязанности, которые подлежат периодическим оценкам внутреннего аудита. Если на них лежит такая ответственность, они не работают как внутренние аудиторы.
Итак, первыми шагами для создания СВКиА стали следующие действия:
В течение первых трех месяцев были проведены мероприятия, закрепляющие статус и независимость службы и заложен фундамент для дальнейшей эффективной работы:
Проведены установочные встречи с высшим руководством и советом директоров, на которых были сформулированы ожидания от СВКиА и определены задачи и меры поддержки.
Подготовлены и утверждены советом директоров и генеральным директором основополагающие документы (положение о СВКиА, методика проведения внутренних аудитов).
Стандарт 1000: Цели, полномочия и ответственность
Цели, полномочия и ответственность подразделения внутреннего аудита должны быть определены во внутреннем документе организации (Положение о внутреннем аудите), соответствующем определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.
Для понимания уровня зрелости компании в области внутреннего контроля и управления рисками, а также для формирования перечня бизнес-процессов наиболее подверженных рискам, были проведены интервью со всеми ключевыми владельцами бизнес-процессов. По результатам интервью была сформирована карта корпоративных рисков компании, которая легла в основу формирования риск-ориентированного годового плана аудита; был разработан перечень бизнес-процессов в детализации до 3-х уровней (корпоративный, операционный, транзакционный) как основа для формирования СВК.
Параллельно была проведена работа по созданию и утверждению организационной структуры службы. Для обоснования и расчета количества сотрудников структуры были использованы инструменты из ранее полученного практического опыта: количество плановых аудитов за год в соотношении времени, затрачиваемого на выполнение одного аудита, а также аналогичный расчет в отношении отработки одного бизнес-процесса специалистом в единицу времени.
Для усиления позиции и придания уверенности в достижении цели создания СВК, был разработан Устав проекта по созданию СВК, где основными заказчиками выступили акционеры. Устав был согласован с менеджментом и утвержден СЕО; документ был проработан до мелочей: были прописаны все риски, с которыми могла столкнуться команда, и меры их снижения; обозначены все роли, ответственные; формы и правила коммуникации с менеджментом; сроки и контрольные точки по этапам проекта были прописаны в план-графике.
По истечении 3-х месяцев была разработана и утверждена на совете директоров стратегия создания и развития функции ВК и ВА на краткосрочный (1 год) и долгосрочный (3 года) периоды, утверждено положение о СВКиА, план аудитов на год, структура и бюджет СВКиА, методика проведения внутренних аудитов, устав создания СВК, положение о владельцах бизнес-процессов. Осталось главное – сформировать команду, которая смогла бы достичь поставленной цели.
СOSO IC
Система внутреннего контроля — это комплекс мер, принимаемых руководством компании для своевременного выявления рисков и управления ими.
Команда – основной ресурс для достижения любой цели
Сразу скажу, что на формирование полноценной команды ушло около полугода. Команда формировалась постепенно, не было цели сразу набрать полный штат высококлассных специалистов, поскольку, во-первых, это могло оказаться неоправданной нагрузкой на бизнес (с точки зрения как дополнительных расходов на ФОТ, так и нерационального распределения задач ввиду неготовности менеджмента к резким изменениям, что могло бы привести к скрытому бойкоту создания функций). Во-вторых, что крайне важно, нужно было начать работу небольшим составом, чтобы на первых шагах понять, какие ошибки могут возникнуть на начальной стадии и сколько фактически времени уходит на выполнение одного аудиторского задания или обработку одного процесса; и только после этого определиться с количеством членов команды. В-третьих, специалистов подобного уровня очень трудно найти на рынке по причине узкой специализации.
Подбор команды осуществлялся, как правило, мною лично совместно функцией HR. Были заранее проработаны профили кандидатов с необходимым набором качеств и компетенций, основные – это коммуникабельность, проактивность, клиентоориентированность и настойчивость, компетенции и опыт во внутреннем контроле или аудите, понимание структуры бизнес-процессов и главное – желание создавать что-то новое и совершенствоваться. Кандидатов искали внешних, поскольку нужны были независимая оценка и взгляд со стороны, а с новыми людьми, как правило, приходят и новые идеи.
Итак, в течение полугода с момента утверждения структуры СВКиА команда была полностью сформирована. Здесь важно отметить, что при создании функции ВА и/или СВК, особенно на начальных этапах, необходимо привлекать профессионалов высокого уровня или специалистов с очень хорошим базовым образованием. В нашем случае именно из таких людей и сформировалась команда; если брать в пропорции, то примерно 50/50.
Не буду дальше вдаваться в детали осуществления проекта СВК и становления функции внутреннего аудита (оставлю эту тему для следующей статьи), скажу лишь, что проект по созданию СВК был успешно реализован в течение 1,5 лет и передан в бизнес-подразделения компании, а становление функции внутреннего аудита было реализовано в течение 3 месяцев с момента моего прихода в компанию и до начала первой аудиторской проверки.
Основные трудности, с которыми пришлось столкнуться, и пути решения
В процессе создания СВКиА ожидаемо возникли трудности и проблемы, в основном лежащие в плоскостях организации процесса и недопонимания операционным менеджментом роли внутреннего контроля и аудита в организации. В компании, в которой никогда не было подобных функций, менеджмент реагировал по-разному: те, кто ранее сталкивались с аудитом или контролем, понимали, что эти функции нацелены на помощь акционерам и менеджменту в достижении основных целей компании, и сразу включались в процессы; некоторые же не видели смысла в новом подразделении, думая, что компания хорошо развивалась и без этих функций.
Основные пути решения этих трудностей заключаются в качественном подборе команды внутренних аудиторов и специалистов по внутреннему контролю, высокой частоте коммуникаций на всех уровнях взаимодействия между сотрудниками СВКиА и операционным менеджментом с целью объяснения пользы от совместной работы и демонстрации результатов службы высшему руководству и акционерам.
Трудности
Пути решения
Сложности в формировании команды аудиторов и специалистов по внутреннему контролю в СВКиА
Подбор специалистов с хорошим опытом работы в сфере аудита и контроля и хорошим базовым образованием
Непонимание менеджментом целей и задач СВКиА
Проведение постоянных встреч и тренингов для объяснения пользы внутреннего аудита и контроля
Закрытость менеджмента и сотрудников, недоверие к внутренним аудиторам при первых проверках
Объяснение и демонстрация менеджменту и сотрудникам, что аудиторские проверки нацелены на помощь бизнесу в совершенствовании процессов и улучшении деятельности компании, а не с целью выявления и наказания виновных
Непонимание менеджментом своей роли в управлении контрольными процедурами в своих процессах
Проведение встреч с менеджментом, выпуск статей в корпоративном журнале с разъяснениями управления контрольными процедурами
Непринятие менеджментом изменений, связанных с внедрением СВК
Формирование тона сверху у руководителей всех уровней
Основные факторы успешного создания службы внутреннего контроля и аудита
В заключение хотел бы сказать, что основными факторами для успешного создания функций внутреннего контроля и аудита, на мой взгляд, являются:
1. Наверное, самый важный фактор – желание и поддержка акционеров и высшего руководства на всех этапах создания и развития функций. Здесь многое может зависеть от ваших презентационных навыков, поскольку акционеры и высшее руководство могли ранее не сталкиваться с подобными функциями, и важно убедить их в полезности ВА и ВК для бизнеса.
2. Планирование создания и развития функции в строгом соответствии с Международными профессиональными стандартами внутреннего аудита на 3-хлетний период, детальное – на 1 год.
3. Команда, которая не подведет и достигнет результата.
4. Проактивная, последовательная и настойчивая реализация плана по созданию и развитию функций.
5. Создание атмосферы взаимопонимания и поддержки внутри коллектива, мотивированного на получение результата.
Результатом синергии этих пяти основных факторов стала успешная реализации проекта по созданию службы внутреннего контроля и аудита.
1 В 2020 году Модель Трех линии защиты была переименована в Модель трех линий.