Полная версияПолная версия:
Внутренний аудит. Третья линия защиты, или Последний рубеж
– предупредительности, согласно которому аудитор должен предложить конкретные способы и методы устранения выявленных нарушений, дать полезные Рекомендации.
Как правило, уже по итогам проведенной проверки, но еще до окончательной сшивки финального Аудиторского Отчета, черновой вариант Отчета в электронном виде направляется на согласование владельцам риска (лицам ответственным за проверенный участок: бизнес-процесс, строки управленческой отчетности и пр.), либо руководителям отделов второй Линии защиты. Черновой вариант Отчета состоит из двух основных частей:
1. Текст отчета, включающий в себя, обзор нарушений и замечаний, оцифровку рисков, Выводы и Рекомендации по устранению рисков;
2. Приложения к Отчету в виде документов, их копий, подтверждающих текст самого отчета.
Вместе с черновым вариантом Отчета владельцам рисков направляется форма для предоставления пояснений, в случае не согласия с описанными в Отчете обстоятельствами и выводами аудиторов. Пояснения даются в письменном виде за подписью владельца риска, либо в электронном формате, направленного с почтового ящика данного лица. Данные пояснения подшиваются к финальному отчету.
После этого, финальный отчет проходит Контроль Качества. Проводит его руководитель или соответствующая должность в структуре департамента (отдела) внутреннего аудита. Цель данной процедуры – определение степени эффективности работы аудиторов, соблюдение Положения по аудиту и четкое следование Программе проверки.
По результатам прохождения Контроля Качества отчета, аудитор готовит Краткую справку по выявленным нарушениям. Данный документ вместе с финальным Отчетом предоставляется членам Комитета по аудиту (собственникам компании) и, если это допустимо, по мнению, учредителей и акционеров, то и членам Совета директоров.
В справке в обязательном порядке должны содержаться следующие сведения:
– наименование организации;
– аудируемый объект;
– тема аудиторской проверки (цель аудита);
– период проверки;
– срок проверки;
– должностные лица ответственные за аудируемый объект (бизнес-процесс или показатели управленческой отчетности). Это, как правило, менеджеры высшего звена (руководители отделов, департаментов), директора;
– аудитор или команда аудиторов, участвовавших в проверке по вверенным участкам;
– краткое описание нарушения (замечания, недочета): несоответствие бизнес-процесса регламентам или расхождения показателей управленческой отчетности, иные факты;
– оцифровка риска по фактически выявленным обстоятельствам, в рамках выборки, включающей в себя: период выборки, существенность выборки, иные показатели выборки;
– оцифровка риска с допущением о наличии такой ошибки, в течение всего проверяемого периода, рассчитанная с применением метода экстраполяции;
– оценка степени бизнес-риска (низкая, средняя, высокая) – определяется аудитором самостоятельно, согласно его профессиональному суждению (ориентироваться можно на Карту рисков, составленную до начала проверки).
Также в Справке должны содержаться краткие Выводы по выявленным нарушениям и Рекомендации по их устранению.
Для лучшего зрительного восприятия, данная Справка может быть оформлена в виде таблицы.
Ниже приведенных в Справке сведений, следует перечислить приложения к Отчету:
– чек-листы (опросные анкеты);
– пояснения должностных лиц, ответственных за объект аудита;
– документы подтверждающие, выводы аудитора.
– иные сведения на усмотрение аудитора.
Из личного опыта могу сказать, что прикладывать их к Справке не обязательно, так как вся необходимая информация (детали и нюансы проверки) содержатся в финальном аудиторском Отчете, к которому можно всегда обратиться.
2.4.3. Пост-аудит
На базе проведенного внутреннего аудита, а именно, по завершению трех перечисленных выше этапов, возможно проведение дополнительных контрольных мероприятий. Эти мероприятия известны в профессиональном сообществе, как Пост-аудит.
По мнению некоторых экспертов в области внутреннего аудита, Пост-аудит (мониторинг исполнения рекомендаций аудитора) является неотъемлемой частью всего процесса проверки, т. к. в противном случае, ценность от аудита далеко не полная.
Со своей стороны хочу отметить следующее. Безусловно, что после проведения Пост-аудита, у аудиторов и, соответственно, заинтересованных лиц возникает понимание факта исполнения владельцами рисков ранее представленных аудиторских рекомендаций.
Однако, по-моему мнению, Пост-аудит не является обязательным для проведения вместе с основными этапами внутреннего аудита. При этом данный вид аудита может проводиться, как самостоятельная независимая проверка и при этом являться одним из элементов СВА.
Тем не менее, Пост-аудит может быть проведен исключительно по результатам проведенного ранее внутреннего аудита.
Такое положение Пост-аудита в Системе Внутреннего Аудита объясняется отличием его целей от целей внутреннего аудита.
Главной целью внутреннего аудита является обнаружение и устранение рисков. А что касается Пост-аудита, то его основной целью является контроль за исполнением ответственными лицами рекомендаций аудиторов, предоставленных в отношении ранее проведенных внутренних проверок.
Таким образом, Пост-аудит может проводиться двумя способами:
• отдельно от процедур внутреннего аудита, как самостоятельная проверка;
• совместно с процедурами внутреннего аудита, по существу, являясь его составной частью.
В последнем случае пост-аудит проводится на основании ранее проведенной проверки до начала процедур текущего внутреннего аудита.
Именно такая последовательность действий: сначала пост-аудит, с целью проверки исполнения ранее представленных рекомендаций, а далее сам текущий внутренний аудит, позволяет обнаружить в проверяемом периоде ошибки, не устраненные владельцами рисков по итогам ранее проведенных проверок.
Результаты пост-аудита можно оформить в виде таблицы, составленной на основании Краткой справки по ранее проведенной проверке.
Учитывая, что Пост-аудит проводится с целью контроля за исполнением рекомендаций, то табличную часть Краткой справки, можно дополнить графами, содержащими сведения об исполнении каждой предоставленной рекомендации и при необходимости внести примечания.
Также важно оценить: носит ли фактическое исполнение рекомендации формальный характер и привело ли оно к устранению риска или нет. Далее, ориентируясь на эти знания, можно приступать к реализации основных этапов внутреннего аудита, представленных выше.
Раздел 2.4. «Переоценка» степени бизнес-риска. Обновленная Карта рисков: 2.0
Как было отмечено ранее, оценка степени бизнес-риска определяется аудитором, на основании его профессионального суждения. При этом он вправе ориентироваться на Карту рисков, подготовленную еще до начала самой проверки.
По итогам аудиторской проверки риска, который был отражен на Карте рисков еще до начала проверки, можно уточнить его местоположение на ней.
Иначе говоря: после окончания аудита, можно откорректировать предварительные сведения Карты рисков, внеся в нее фактические данные, в отношении рисков и уже по их местоположению на уточненной Карте определить степени этих рисков:
• низкая степень риска – риски в зеленой зоне уточненной Карты рисков;
• средняя степень риска – риски в желтой зоне уточненной Карты рисков;
• высокая степень риска – риски в красной зоне уточненной Карты рисков.
К примеру, по предварительным данным, отраженным на Карте рисков, операционный риск № 5, связанный с вероятностью не возврата работником подотчетных средств, на текущий момент находится в зеленой зоне. Напоминаем, что это зона рисков с наименьшим средним соотношением стоимости риска и вероятности его возникновения.
Не исключено, что после проведения аудита данного риска выясниться, что работник не намерен возвращать подотчетные средства, в результате чего данный риск перейдет в желтую зону рисков. А это уже зона рисков с увеличенным средним соотношением стоимости риска и вероятности его возникновения.
Таким образом, после проведенного аудита, операционный риск № 5 изменит свое местоположение на уточненной Карте рисков и фактическая степень данного риска возрастет.
Как видно, на практике может быть две Карты рисков:
– прогнозная Карта рисков с предварительными данными, сформированными до проведения аудита;
– фактическая Карта рисков с уточненными данными, сформированными уже после проведенного аудита.
Отмечу, что уточнять Карту рисков после каждой проверки не обязательно. Тем не менее, корректировка местоположения рисков является желательной. Дело в том, что уточненная (обновленная) или, другими словами, фактическая Карта рисков дает руководству компании и, прежде всего, ее собственникам наиболее полную и, самое главное, точную картину в отношении обнаруженных рисков и их влияния на бизнес.
Именно, по этой причине внесение уточнений в уже существующую Карту рисков играет важнейшую роль в управлении рисками в компании.
После того, как аудитор обновит Карту рисков «круг замыкается» и можно говорить о завершении процедур внутреннего аудита. Пора готовиться к новой проверке!
Раздел 2.5. Оценка эффективности внутреннего аудита
Отдельного внимания заслуживает вопрос эффективности внутреннего аудита. Ведь проведение аудиторских проверок и любых других мероприятий внутреннего контроля, является таким же бизнес-процессом, как и закупка сырья, производство продукции, реализация товаров, логистика и т. д.
Поэтому для контроля за деятельностью внутренних аудиторов и с целью оценки эффективности используемых аудиторских процедур, в компании должны быть разработаны соответствующие критерии такой оценки.
Они могут быть подготовлены, на основе такого документа, как, например, Инструкция Института внутренних аудиторов (далее по тексту – ИВА) по оценке качества деятельности внутреннего аудита (Quality Assessment Manual).
Рекомендуем использовать именно этот документ для разработки системы оценки деятельности внутреннего аудита, т. к. он в достаточной степени соответствует целям этой оценки, содержит понятийные и технические аспекты ее проведения. При этом в целях наиболее приближенного практического применения с учетом всех особенностей вашей компании вы вправе самостоятельно дополнять и вносить любые необходимые с вашей точки зрения изменения в этот документ. Есть один нюанс – сама Инструкция составлена на английском языке и для ее применения необходим адаптированный перевод. Если у вас «не очень» с английским или нет возможности получить ее перевод, вы вполне может придумать свои собственные критерии оценки, либо составить опросные листы, базирующиеся на основе четырех компонентов оценки функционирования внутреннего аудита, представленных в Инструкции.
Так, согласно данной Инструкции, оценка эффективности внутреннего аудита рассматривается в разрезе четырех компонентов, представленных на рисунке 13:
Рисунок 13. Компоненты эффективности ВА
Как следует из Инструкции ИВА, каждая компонента имеет свой собственный набор ключевых показателей, который соотносится с целями деятельности подразделения внутреннего аудита.
Так, показатели первой компоненты отражают уровень удовлетворенности Комитета по аудиту работой внутреннего аудита и, соответственно, степень достижения аудиторами целей, установленных Комитетом по аудиту.
Показатели второй компоненты отражают уровень удовлетворенности руководства и топ-менеджмента компании работой внутреннего аудита и степень достижения аудиторами целей, установленных руководством.
Показатели компоненты «Операционная деятельность», отражают качество текущей деятельности внутреннего аудита, в том числе, качество проводимых аудиторских проверок и процедур Пост-аудита по контролю устранения замечаний, выявленных по результатам ранее проведенных проверок.
Показатели, соответствующие компоненте «Инфраструктура внутреннего аудита», отражают уровень технического и информационного оснащения внутренних аудиторов, степень использования этих ресурсов в течение всей аудиторской проверки, а также качество и профессионализм внутренних аудиторов.
Отмечу, что анализ выполнения показателей, относящихся к двум вышеперечисленным компонентам, позволяет получить представление о репутации внутреннего аудита в компании и ответить на два важных вопроса:
– считают ли Аудиторский комитет и руководство компании, что результаты аудита являются достаточными для принятия на их основе управленческих бизнес-решений?
– насколько высоко Аудиторский комитет и руководство компании оценивают качество деятельности внутреннего аудита и является ли функция внутреннего аудита ценной для компании?
Таким образом, применение показателей оценки внутреннего аудита позволит заинтересованным сторонам определиться с тем, насколько эффективными и экономичными являются для компании мероприятия внутреннего аудита.
При этом как мы отмечали выше, качество внутреннего аудита в компании напрямую зависит от разработанных Стандартов, определяющих его деятельность. Если эти Стандарты отсутствуют, либо не соблюдаются, то деятельность внутреннего аудита в компании не будет эффективной. Данное обстоятельство еще раз подтверждает важность разработки Стандартов аудиторских проверок и их точного исполнения.
Глава 3. Из практики внутреннего аудита…
Теперь, как я обещал в предисловии, несколько ситуаций из практики и заданий к ним для самостоятельного решения.
Авторская заметка!
Забавно, что если поменять существительные на этой картинке на термины из сферы внутреннего аудита, то в результате можно получить что-то вроде:
«АУДИТОРЫ, защищайте КОМПАНИЮ!
Выслеживайте МОШЕННИКОВ, сообщайте СОБСТВЕННИКАМ!».
Мне кажется, что использованная картинка достаточно символична и сполна передает характер деятельности внутренних аудиторов, хотя и применена здесь, разумеется, в шуточной форме.
Раздел. 3.1. Ситуация № 1. Рост дебиторской задолженности
В крупном торговом холдинге проводилась внутренняя аудиторская проверка. Объектом аудита выступала просроченная дебиторская задолженность компании.
Целями проверки являлись:
1. Выявление причин роста дебиторской задолженности на фоне работы штатных юристов по ее взысканию;
2. Предоставление рекомендаций по сокращению роста дебиторской задолженности и повышению ее собираемости.
Было установлено, что «рамочные» договоры поставки содержат условия об отсрочке 100-процентной оплаты от 35 до 60 дней с даты отгрузки. Условий о запрете отгрузок без оплаты предыдущих отгрузок в этих договорах не содержалось. Лимиты на объемы отгрузок в договоре также отсутствовали. За время отсрочки покупатели набирали значительные объемы продукции без ее оплаты.
По рекомендациям внутренних аудиторов с покупателями были заключены дополнительные соглашения об ограничении объема поставок без погашения дебиторской задолженности за предыдущие поставки. В результате рост задолженности несущественно сократился. Некоторые клиенты-должники не захотели подписывать такое соглашение, и им перестали отгружать продукцию. Другие, более «предприимчивые» должники, чтобы избежать таких ограничений, стали заключать договоры с поставщиком через свои аффилированные компании. Проверка контрагентов до заключения с ними договоров не проводилась, покупатели не анализировались на аффилированность с должниками. Можно сказать, что поставщик не проявлял должной осмотрительности при выборе своих покупателей.
В результате поставщик получил рост объема продаж, за выполнение которого продавцы премировались, а рост дебиторской задолженности снова продолжился.
Явной взаимозависимости и сговора между работниками компании-поставщика и компании-покупателя установлено не было (да и доказать это достаточно не просто, хотя обнаружить такие первичные признаки вполне возможно). Несмотря на то, что работники обеих компаний находились в выгодных партнерских отношениях, данные отношения были обусловлены характером их должностного функционала и сложились в период их работы у своих работодателей. Каких-либо фактов, подтверждающих наличие «дружеских» отношений, сложившихся еще до трудоустройства к их работодателям или возникших во время такой работы с целью злоупотреблений должностными полномочиями аудиторами и службой безопасности не обнаружено.
Было также установлено, что цены поставщиков-конкурентов на те же самые или аналогичные товары значительно ниже. Однако покупатели предпочитали заключать договоры именно с рассматриваемым поставщиком. Выгода покупателей заключалась в том, что условия договоров предоставляли им существенный временной интервал для реализации приобретенной продукции и ее последующей оплаты, но в действительности более 80 процентов объема всех долгов так и не были оплачены. «Сверхлояльные» условия поставщиков по оплате покупателями не выполнялись.
Что касается работы юристов рассматриваемого поставщика по взысканию задолженности, то практически все случаи, доходившие до суда, выигрывались. Судебными приставами проводились процедуры сбора долгов, но большинство компаний-должников не имели денежных средств на расчетных счетах и, как правило, у них отсутствовало имущество, за счет которого могли быть оплачены долги.
В результате, за выигранные в суде дела юристы поставщика получали премии, но средства (долги) так и не поступали на счета истца. Компания несла убытки.
Казалось, что руководство компании сознательно идет на такие действия, понимая и принимая все последствия.
Отмечу, что служебное расследование на наличие сговора и аффилированности между единоличными исполнительными органами поставщика и покупателей не производилось. Проверка на наличие в действиях руководства поставщика умысла в накоплении дебиторской задолженности не осуществлялась.
Забегая вперед, скажу, что в итоге компания-поставщик обанкротилась. Его учредители не подали иск в суд на директора о взыскании субсидиарной ответственности.
При этом аудиторы на протяжении полутора лет предоставляли руководству и собственникам информацию в отношении складывающихся обстоятельств и рекомендации по улучшению ситуации. Однако рекомендации в должной мере не выполнялись: финансовое состояние в компании быстро ухудшалось, что и привело, в результате, к «летальному исходу».
3.1.1. Задание к ситуации № 1:
Тем не менее, принимая данный факт, как уже произошедший, давайте попробуем ответить вместе: что с вашей точки зрения помогло бы компании справиться с ростом дебиторской задолженности и повысить ее собираемость. Какие рекомендации вы бы предоставили в качестве внутреннего аудитора? Предоставьте минимум три рекомендации (их может быть больше).
В качестве помощи, предлагаю вам:
1. Обозначить проблемы в компании;
2. Определить причины возникновения проблем;
3. Ориентируясь на цели проверки, сформулировать рекомендации по устранению этих причин.
Запишите ваши рекомендации ниже и сравните их с предложениями внутренних аудиторов, представленными на следующей странице:
1. ____________________________________________________________________
______________________________________________________________________;
2. ____________________________________________________________________
______________________________________________________________________;
3. ____________________________________________________________________
______________________________________________________________________;
4. ____________________________________________________________________
______________________________________________________________________;
5. ____________________________________________________________________
______________________________________________________________________.
3.1.2. Рекомендации внутренних аудиторов к ситуации № 1:
В качестве рекомендаций аудиторы предлагали:
1. Пересмотреть порядок формирования цен реализации продукции для конкуренции с другими поставщиками: найти альтернативных поставщиков с более низкой ценой закупа.
2. При заключении новых договоров проверять контрагентов на платежеспособность, благонадежность и признаки банкротства: не заключать договоры с лицами, имеющими признаки неблагонадежности и банкротства.
3. Запретить отгрузку покупателям до полной оплаты предыдущей партии товара (исключение – если крупные покупатели частично, но постоянно гасят долги и у них не наблюдается рост задолженности).
4. Оформлять залог под поставку товара.
5. Пересмотреть в договорах условие об отсрочке платежа:
– при отгрузке крупным надежным покупателям сократить отсрочку 100-процентной оплаты до приемлемых 10 дней;
– для остальных покупателей внести условие о 30-процентной предоплате;
– при заключении новых договоров предусмотреть условие о 60-процентной предоплате (исключение – заключать новые договоры с отсрочкой платежа только с покупателями, у которых достаточно имущества в счет погашения товара, оформив залог).
Такими были основные рекомендации внутренних аудиторов.
Раздел 3.2. Ситуация № 2. «Аутсорсинг» вместо штатных работников
В том же самом оптово-розничном холдинге проводилась очередная внутренняя аудиторская проверка. Объектом аудита являлся рост объемов брака товарных остатков на складах и в магазинах сети.
Целями проверки являлись:
1. Выявление причин увеличения объемов бракованного товара по итогам «отчетного периода»;
2. Предоставление рекомендаций по сокращению объемов бракованного товара.
Было установлено, что по итогам одного из отчетных периодов произошло четырехкратное увеличение объемов брака. При этом объемы продаж по сравнению с прошлым отчетным периодом возросли незначительно и пропорционального увеличения объемов продаж к объемам бракованного товара не произошло. Соответственно, незначительный рост продаж нельзя рассматривать в качестве главной причины четырехкратного увеличения объемов брака.
По результатам аудиторы выяснили, что в конце «предыдущего отчетного периода» произошла массовая смена штатного торгового (магазинного и складского) персонала организации на привлеченных со стороны «специалистов» аутсорсинговых компаний. Отмечу, что штатные сотрудники, при приеме их на работу проходили обязательное корпоративное обучение по обращению с товарными остатками и допускались к работе с товаром (на склады и в магазины) только после прохождения экзамена.
«Аутсорсеры» изначально не обладали знаниями по обращению с товарными остатками. Обучение они также не проходили. То есть знаний по надлежащему обращению с товаром у них не было, что, по сути, и привело к увеличению брака за короткий срок.
Так, например, корпоративный Стандарт «Сохранности товарного вида продукции и недопущения товарного брака, а также порядка складирования товара и выкладки в магазинах сети» предусматривал следующее:
1. Мешки с цементом могут быть уложены друг на друга вертикально в количестве не более пяти штук и должны быть опалечены, либо обернуты пленкой;
2. Для свободного передвижения посетителей магазинов, расстояние между ними должно быть не менее 90 сантиметров;
3. Хранение мешков в магазинах и на складах осуществляется на специально оборудованных стеллажах.
