Внутренний аудит. Третья линия защиты, или Последний рубеж

Раздел 1.2. Взаимосвязь и взаимозаменяемость элементов СВА

Практика применения различных видов аудита, в зависимости от складывающихся обстоятельств, показывает, что в каждом из элементов СВА есть те или иные черты, которые четко прослеживаются в других смежных элементах.

Например, стратегический аудит, в общем его смысле, затрагивает в том числе и вопросы влияния смены ЕИО и ключевых должностей на изменение основных показателей компании, предопределяющих ее финансовую устойчивость и, соответственно, обуславливающих эффективность действующего руководства. Аналогичные вопросы подлежат исследованию также и в рамках процедур внутрикорпоративного, кадрового управления, которые присущи корпоративному и правовому внутренним аудитам.

В свою очередь, оценка и результаты влияния бизнес-процессов (проектов, хозяйственных операций, их совокупности) на показатели итоговой финансовой отчетности могут быть получены как при проведении соответствующих процедур операционного аудита, так и аудита финансовой отчетности.

Ну а вопросы, касающиеся соблюдения локальных актов (инструкций, методик, регламентов, стандартов), могут быть рассмотрены при проведении процедур операционного и правового аудитов.

Как видно, все виды (элементы) внутреннего аудита тесным образом связаны между собой, образуя единую Систему Внутреннего Аудита. При этом они могут быть частично заменены друг другом по смежным вопросам.

Следует обратить внимание, что интересной особенностью и отличительной чертой внутреннего аудита от, например, внешнего аудита, является, то обстоятельство, что процедуры внутреннего аудита могут проводиться в любое время, как до, так и после представления финансовой (управленческой/бухгалтерской) отчетности заинтересованным лицам, в том числе, и внешним пользователям (банкам, ИФНС, инвесторам). Процедуры же внешнего аудита, в классическом его понимании, осуществляются ретроспективно, т. е. уже по факту совершения хозяйственных операций, но об этом виде аудита, относящемуся ко второй линии защиты (согласно Модели трех линий защиты), мы поговорим в другой книге.

Раздел 1.3. Нормативное регулирование

На сегодняшний день в российском законодательстве отсутствуют нормы, обязывающие компании проводить внутренний аудит, и регулирующие порядок осуществления соответствующих процедур.

Единственное упоминание об обязанности экономического субъекта в организации и осуществлении внутреннего контроля всех фактов хозяйственной жизни, содержится в ст.19 Федерального закона от 06.12.2011 № 402-ФЗ «О бухгалтерском учете» (далее по тексту – Закон о бухучете). Более подробно об этом сказано в информационном документе Минфина РФ №ПЗ-11/2013, доведенным до налогоплательщиков письмом того же ведомства от 25.12.2013 № 07–04–15/57289. Данный документ содержит рекомендации Минфина РФ об организации и осуществлении внутреннего контроля в компании.

Однако, как известно, письма различных ведомств не являются нормативно-правовыми актами законодательства РФ и необязательны к исполнению. Как говорил в подобных случаях Эраст Фандорин – главный герой шпионских детективов Бориса Акунина, перечисляя факты: «Это раз».

Ответственности за неосуществление требований статьи 19 Закона о бухучете не предусмотрено. Это два.

Также следует принять во внимание, что организация и осуществление внутреннего контроля подразумевает несение компанией дополнительных затрат (поиск и подбор квалифицированных специалистов для формирования Команды (службы внутреннего контроля), их зарплата, налоги и накладные расходы, в том числе, командировки в филиалы и пр.). Это три.

Совокупность этих обстоятельств, а именно: не обязательность исполнения информационных документов и писем ведомств исполнительной власти РФ; отсутствие ответственности и нежелание нести дополнительные расходы являются основной причиной, по которой многие компании не заботятся об исполнении требований статьи 19 Закона о бухучете. Ну а если, все-таки, и исполняют их, то достаточно формально, обходясь наличием локального акта, содержащего весьма общие правила проведения внутреннего контроля.

При этом, как вы успели заметить, рекомендации ведомства касаются организации и осуществления именно внутреннего контроля в компании, а не внутреннего аудита. То есть, по сути, Минфин РФ в своих рекомендациях говорит о том, что компании, подлежащие обязательному (внешнему) аудиту, должны выстроить внутренний контроль, эффективность которого и предстоит оценить внешним аудиторам. Поэтому в контексте рассматриваемого вопроса, считаю необходимым уделить немного внимания порядку организации внутреннего контроля в компании.

Итак, в небольших компаниях, собственники все обо всем и обо всех знают и могут управлять фирмой без помощи «специально обученного» специалиста и уж тем более целого отдела.

В больших компаниях ситуация иная. Необходимость создания отдела внутреннего контроля или приема в штат специалиста может быть обусловлена расположением филиалов или дочерних юридических лиц в регионах отличных от местонахождения собственников, и в принципе, этого уже достаточно.

Дополнительными обстоятельствами для формирования системы внутреннего контроля могут также являться:

– подозрения собственников о наличии внутри компании мошеннических действий;

– специфичность деятельности (МФО, ВЭД, ИТ);

– сложность выполнения хозяйственных операций (участие в тендерах, аукционах; исполнение госконтрактов);

– разногласия собственников по вопросам управления компанией и т. д.

С этой целью, компания самостоятельно разрабатывает локально-нормативное положение по внутреннему контролю (далее по тексту – Положение), на которое и будет опираться в своей работе служба внутреннего контроля.

Данное Положение должно включать в себя необходимые условия, при соблюдении которых компания добьется снижения корпоративных рисков и предотвращения мошенничества внутри нее. Это Положение должно описывать следующие моменты:

– элементы СВК и соответствующие им методики и процедуры;

– ответственных лиц за осуществление контроля;

– подчиненность и место службы внутреннего контроля в структуре компании;

– функционал и ответственность специалистов внутреннего контроля их руководителя;

– вопросы этики специалистов внутреннего контроля и порядок взаимодействия с другими отделами компании.

Далее, как правило, издается Приказ руководителя организации об утверждении данного документа. Отмечу, что и сам руководитель организации, согласно данному документу, является лицом, в отношении которого могут быть проведены контрольные мероприятия.

По-хорошему, такое Положение утверждается Советом директоров, членами которого, зачастую, могут являться собственники компании. После этого, Положение «спускается» вниз по корпоративной лестнице, в целях уведомления о его утверждении исполнительное руководство компании, службу внутреннего контроля и всех заинтересованных лиц и, таким образом, запускается в работу. Не следует путать Положение по организации внутреннего контроля с Положение по внутреннему аудиту, которое, в свою очередь, утверждается Комитетом по аудиту, членам которого также могут быть собственники компании.

Положение по организации внутреннего контроля и будет являться для персонала нормативным актом, регулирующим процесс проведения внутреннего контроля, непосредственно в этой компании. При этом в целях его соблюдения всеми сотрудниками необходимо получить их подписи об ознакомлении с этим документом.

Образец Приказа об утверждении Положения по организации внутреннего контроля представлен ниже на рисунке 3.

Рисунок. 3. Приказ об утверждении Положения по организации внутреннего контроля.

Обращаю ваше внимание, что при разработке Положения по внутреннему контролю, вполне разумно руководствоваться упомянутыми выше рекомендациями Минфина РФ по организации и осуществлению внутреннего контроля №ПЗ-11/2013. Тем более, что в основу этих рекомендаций заложены принципы системы (модели) внутреннего контроля, разработанного COSO (комитета организаций – спонсоров комиссии Тредуэя)[1].

Данные рекомендации и принципы модели внутреннего контроля, разработанные COSO, могут быть использованы также и при подготовке Положения по внутреннему аудиту.

COSO разработал общую модель внутреннего контроля, согласно которой компании, в том числе банки, могут оценить собственные системы управления,

Согласно модели COSO, внутренний контроль представляет собой процесс, осуществляемый высшим органом предприятия, определяющим его политику (например, Советом директоров, который представляет владельцев компании), его управленческим персоналом высшего уровня (менеджментом) и всеми другими сотрудниками, в достаточной и оправданной мере обеспечивающий достижение предприятием трех основных целей:

– целесообразность и финансовая эффективность деятельности (включая сохранность активов);

– достоверность финансовой отчетности;

– соблюдение применимого законодательства и требований регулирующих органов.

Как мы видим, модель COSO остается актуальной до сих пор, т. к. в ней сделан акцент на ответственности руководства организации за состояние контроля.

В основу научного понимания и практического применения модели COSO заложены четыре базовых принципа:

1. Внутренний контроль является средством достижения определенной цели, но не целью;

2. Внутренний контроль обеспечивает достижение поставленной цели, или нескольких целей в смежных областях деятельности;

3. Внутренний контроль осуществляется персоналом компании. Поэтому в целях его организации и осуществления, именно персонал на всех иерархических уровнях наиболее важен, чем правила, нормы и процедуры;

4. Система внутреннего контроля не может гарантировать собственникам и руководству безошибочный результат ее работы. СВК может гарантировать только достижение обоснованного уровня поставленных перед ней целей, путем выполнения определенных задач.

Исходя из этих базовых принципов, можно сформулировать ключевые компоненты системы внутреннего контроля, которые также приведены и в рекомендациях Минфина РФ №ПЗ-11/2013:

– контрольная среда и нравственный климат;

– оценка риска;

– мероприятия контроля;

– сбор и анализ информации и передача ее по назначению;

– мониторинг и исправление ошибок.

Подробное описание всех пяти компонентов приведено в тексте рекомендаций Минфина РФ №ПЗ-11/2013. Мы не будем акцентировать на них внимание, т. к. при необходимости, вы самостоятельно можете с ними ознакомиться, например, на официальном сайте справочно-правовой системы КонсультантПлюс: www.consultant.ru.

Сформулированная более 25 лет назад модель COSO остается работоспособной и доказывает это каждый день на практике. Поэтому ее использование в качестве основы для разработки Положения о системе внутреннего контроля более чем обоснованно.

Как мы видим, все сказанное выше касается организации внутреннего контроля в компании, т. е. созданию второй линии защиты на пути рисков. Однако, именно, эту регламентирующую документацию можно использовать для разработки Положения по внутреннему аудиту и организации соответствующего подразделения.

Образец Приказа об утверждении Положения по внутреннему аудиту представлен ниже на рисунке 4.

Рисунок. 4. Приказ об утверждении Положения по внутреннему аудиту.

Раздел 1.4. Принципы внутреннего аудита и их толкование

Документом, служащим основой для изучения и понимания принципов внутреннего аудита являются Международные Стандарты Внутреннего Аудита (далее по тексту – МСВА), разработанные Институтом Внутренних Аудиторов (Institute of Internal Auditors).

Представленные в этом документе МСВА применяются внутренними аудиторами по всему миру и часто «перекочевывают» в локальные положения по внутреннему аудиту, правда, с некоторыми уточнениями их трактовок и определений.

Также, в качестве ориентира, могут быть использованы принципы внешнего (обязательного) аудита, приведенные в Правиле (Стандарте) № 1 «Цель и основные принципы аудита финансовой (бухгалтерской) отчетности, утвержденном Постановлением Правительства РФ от 23.09.2002 № 696»[2].

Принципы внутреннего аудита являются для внутренних аудиторов… неким сводом правил или даже заповедями, которым эти специалисты должны следовать, осуществляя проверку.

Однако часто приходится убеждаться, что в понимании основных принципов организации и проведения внутреннего аудита у практикующих специалистов нет единого мнения.

Трактовки и определения этих принципов, которые представлены в различных профессиональных источниках, хотя и имеют общие и схожие черты и характеристики, фактически отличаются по своей природе и в конечном итоге имеют различные значения и применяются на практике по-разному.

В данной книге мне не хочется углубляться в научную природу и теоретическую суть принципов внутреннего аудита. Также мы не будем оспаривать мнения профессионалов своего дела, представленные в иных изданиях. Вместо этого я постараюсь сформулировать принципы организации и проведения внутреннего аудита, которых я сам придерживаюсь на практике. Причем первое время своей деятельности некоторыми из принципов я пренебрегал. Наивно полагая, что «все эти» принципы играют второстепенную роль, я считал, что главное – сами процедуры, но я ошибался!

Уже сейчас, имея за плечами опыт организации СВА и проведения процедур внутреннего аудита, могу с уверенностью сказать:

«Следование принципам, сформулированным ниже в тех значениях, которые сформировались у меня на практике, играет ключевую роль для достижения высокого качества результатов проверки, формирования достоверных выводов по ее итогам и принятию объективных и взвешенных решений, в целях устранения негативного влияния».

Фактически, данные принципы стары как мир. Это все те же избитые истины. Я лишь постараюсь представить свое видение и изложить понимание и толкование этих принципов, к которым привел меня мой личный опыт.

У вас, коллеги, может быть свое собственное видение тех или иных принципов внутреннего аудита, и соответствующее им толкование. И я уважаю ваше мнение. Ведь, как говориться: не бывает двух одинаковых опытов. Возможно, с течением времени, мое представление об этих принципах изменится. Возможно, я пойму что-то еще: что-то более важное, чем то, что есть сейчас. Поживем – увидим.

Итак, принципы внутреннего аудита:

1. Системность или внеочередность аудита.

Данный принцип означает, что аудит может проводиться как по заранее согласованному графику, так и по мере необходимости. При этом системность подразумевает комплексное и планомерное проведения аудита в рамках всей компании на согласованном участке.

2. Объективность и единообразие аудита.

Этот принцип внутреннего аудита означает, что требования внутреннего аудита одинаковы и распространяются на все подразделения организации без исключения.

3. Документированность.

Принцип документированности означает, что каждый выявленный факт нарушения или замечание должны подтверждаться документами.

4. Открытость.

Принцип открытости внутреннего аудита означает, что информация, полученная аудитором при проведении проверки, не скрывается от органов управления и в полном объеме предоставляется им для анализа и принятия управленческих решений.

5. Независимость.

Принцип независимости внутреннего аудита декларирует, прежде всего, тот факт, что внутренний аудитор – это независимая должность.

Независимость предполагает исключение конфликта интересов при принятии аудиторами решения в отношении выводов в рамках своей деятельности. Принцип независимости тесно связан с принципом объективности. Только независимый внутренний аудитор может делать объективные выводы о состоянии дел внутри компании.

Таким образом, аудиторы не должны:

– находиться в конкурентных взаимоотношениях с представителями аудируемой стороны;

– зависеть от решений представителей аудируемой стороны;

– находиться под влиянием третьей стороны.

При этом с целью сохранности независимости выводов, представляемых собственникам по результатам проверки, внутренние аудиторы не должны вмешиваться в процессы хозяйственной деятельности, которые они проверяют и оценивают, а также они не должны нести непосредственную ответственность за их проектирование, создание и исполнение.

6. Предупредительность.

Данный принцип означает, что в отношении каждого обнаруженного несоответствия, расхождения или замечания, аудитором должно быть высказано предложение, предоставлена аудиторская рекомендация по их эффективному устранению и профилактике в дальнейшем. Т. е. аудитор должен предложить конкретные способы и методы устранения выявленных нарушений.

Глава 2. Организация и проведение внутреннего аудита. Проверка. Документальное оформление

В настоящей главе, как следует из ее названия, мы рассмотрим отдельные этапы внутренней проверки и разберемся с нюансами составления основополагающих аудиторских документов. Но сначала несколько слов о рисках, которые, так или иначе, тесно связаны с самой проверкой.

Дело в том, что понимание этого вопроса даст нам более полное представление о целях аудита, которые необходимо достичь и рисках, с которыми неизбежно сталкивается аудитор на каждом из этапов этой самой проверки.

Раздел 2.1. Виды рисков

На практике существует множество различных понятий и видов рисков, сопутствующих аудиту. Мы остановимся на двух, по моему мнению, базовых понятиях: риске необнаружения и бизнес-риске.

Сразу отмечу, что сравнивать между собой данные риски, просто-напросто, не имеет смысла. Дело в том, что предметы, объекты и субъекты этих рисков различны. И хотя среда их возникновения едина – это всегда аудиторская проверка, они имеют разную природу и разные причины своего происхождения.

Существуют целые научные подходы к анализу и расчету этих рисков. Мы не будем их затрагивать. Я просто обозначу основные элементы этих двух рисков и разграничу природу их появления. Сделаю я это для общего представления и понимания сути происходящего.

2.1.1. Риск необнаружения

Итак, первый риск, на который я хотел бы обратить ваше внимание, и с которым в первую очередь имеет дело аудитор, это риск необнаружения. Данный вид риска является разновидностью аудиторского риска в его широком понимании и толковании. В состав понятия аудиторского риска, включены также и иные разновидности рисков, в том числе:

– риск существенного искажения;

– внутренний риск;

– риск контроля.

Риск необнаружения возникает в ходе аудиторской проверки, с самого ее начала. Природа его возникновения заключается в том, что приступая к проверке, аудитор, в любом случае сталкивается с вероятностью невыявления искажений или ошибок, которые могут оказаться существенными для формирования аудиторского мнения. Так, аудиторское мнение может оказаться недостоверным, например, в случае непопадании существенных искажений в аудиторскую выборку, а также, в случае сокрытия информации от аудитора или в результате предоставления ему ложных сведений, то есть при наличии риска существенных искажений и т. д.

И хотя при должном подходе к проверке такого, как правило, не происходит, перечисленные выше случаи могут иметь место на практике.

Степени риска необнаружения каждый аудитор определяет самостоятельно. Значение степеней может выражаться числовыми показателями или уровнями, обозначаемыми как «высокий», «средний» и «низкий». Безусловно, что оценка степени риска носит субъективный характер, но она позволяет рассчитать риск и применить против него «противоядие». «Противоядием» является набор дополнительных мероприятий и процедур, которыми аудитор усиливает план аудиторской проверки перед ее началом. Здесь важно помнить, что избежать его полностью, невозможно. Главное довести этот вид риска до приемлемых значений.

Данные мероприятия и процедуры могут являться частью, так называемого риск-ориентированного подхода к процессу проведения аудита. Целью данного подхода является достижение уверенности в том, что полученная информация и отчетность компании не содержат существенных искажений и ошибок. Достигается эта цель, как сказано выше, путем снижения аудиторского риска, в особенности риска необнаружения, до допустимых пределов. Как правило, риск-ориентированный подход к аудиту, находит свое письменное отражение в отдельном локально-нормативном акте или же в Положении по аудиту.

Прежде чем обозначить предмет, объект и субъект риска, определимся с этими понятиями.

Итак, объект риска – это то, что может породить рисковую ситуацию, а также то, на что направлено воздействие субъекта при принятии решения. Предмет риска – то к чему такая рисковая ситуация может привести и субъект риска – физическое или юридическое лицо, выполняющее функции управления риском.

Таким образом, объектом риска необнаружения является неизбежная вероятность невыявления существенных искажений и ошибок. Формирование ложного аудиторского мнения – это его предмет. Ну, а субъектом является сам аудитор.

2.1.2. Бизнес-риск

Второй вид риска, с которым я хотел бы вас познакомить – это бизнес-риск, в самом широком его понимании.

Суть его заключается в том, что уже само предприятие, в качестве субъекта, несет всевозможные риски, в том числе, риски потери капитала, неполучения прибыли, мошеннических действий, коррупционные, репутационные риски и т. д. и т. п.

Объектом бизнес-риска является аудируемый бизнес-процесс, показатели отчетности, то есть объект аудита. Предметом риска выступает, как правило, негативное последствие, либо воздействие на экономическое, репутационное положение компании на рынке, в связи с вероятностью ухудшения ее финансового положения.

Отмечу, что бизнес-риски можно разделить на две категории: внутренние и внешние. Также их можно разграничить и по другим критериям, например, краткосрочные и постоянные; приемлемые и критические (катастрофические); производственные, коммерческие и финансовые.

Разрешается даже соотнести их с представленными выше, видами внутреннего аудита, являющимися элементами системы внутреннего контроля, и представить в виде риска искажения отчетности, стратегического, корпоративного, операционного и правового рисков.

По данным опроса[3], проведенного консалтинговой компанией KPMG «ТОП-10 рисков для внутреннего аудита в 2015 г.» выглядит следующим образом (рис. 5):

Рисунок 5. ТОП-10 рисков для внутреннего аудита в 2015 году