для чего аудитором проводится оценка системы внутреннего контроля аудируемого лица
Аудит системы внутреннего контроля
В рамках выполнения аудита системы внутреннего контроля в программе IT Audit документируется выполнение следующих аудиторских процедур:
По результатам рассмотрения системы внутреннего контроля производится расчет риска средств контроля.
Данные документы расположены в разделе Аудит системы внутреннего контроля аудируемого лица. По результатам заполнения данных документов аудитор оценивает риск средств контроля (производится качественная оценка)
Выявленные при заполнении документа риски существенного искажения вносятся в общий список рисков (Карта рисков) по разделу «Аудит бухгалтерской отчетности».
4. Оценка риска существенного искажения и аудиторского риска на уровне отчетности
В документ Оценка риска существенного искажения и аудиторского риска на уровне отчетности переносятся результирующие данные из рабочих документов по оценке рисков:
Рабочие документы по рискам автоматически заполняется переменными
При создании рабочего документа программа автоматически заполняет переменные (наименование клиента, наименование проекта, руководитель задания, логотип аудиторской компании и т.д.), выделенные серым цветом
В столбце «Содержание ответа» выбирается необходимый вариант или вносится собственный. При необходимости документ изменяется в текстовом редакторе.
Порядок заполнения документа переменными приведен на странице Справки:
Оценка выявленных рисков
Документирование выявленных рисков и их оценка производится в модуле Риски программы IT Audit:
Анализ данных и оценка службы внутреннего аудита
Вопрос о пользе внедрения СВА в компании периодически волнует многих руководителей. Особенно, если она не обязательна в сфере работы организации. А руководство тех компаний, где служба уже существует, после каждого отчета решает, насколько доверять рекомендациям аудиторов и какие из них внедрять.
Как внутренним аудиторам повысить уровень доверия к СВА при помощи правильного анализа данных, а также, как поддерживать имидж отдела, который сам всех проверяет, рассказываем в статье.
Анализ результатов внутреннего аудита
План согласовали, аудит организовали и результаты собрали. Пора переходить к этапу, ради которого все начинали — к анализу результатов и выводам, что дальше делать, чтобы прибыль росла, продуктивность сотрудников не снижалась, а строгие проверки не находили нарушений. И тут оказывается, что данных для обработки хватит на месяц, а начальство отчет требует через 3 дня: скорость реакции и принятия решений нынче в приоритете.
На помощь приходит автоматизация данных. Она не просто повышает эффективность работы внутренних аудиторов, а способствует более глубокому пониманию бизнеса и изменению подходов к мониторингу. Главное условие — автоматизация не отдельных процедур (анализ данных, например), а всего жизненного цикла внутреннего аудита. Исследование об популярности аналитики больших данных и работы в специализированных системах провели на pwc.ru.
Специалисты Deloitte уточняют, что такой анализ приносит наилучшие результаты при работе аудиторов вместе с профильными специалистами и специалистами по интеллектуальному анализу данных. Перечислим преимущества командной работы и автоматизации аналитических функций.
Показатели эффективности сотрудников СВА
Отчет с выводами и рекомендациями оформили и отдали начальству. Руководитель СВА готовит презентацию для собственников компании и должен быть уверен в качестве результатов, полученных от аудитора.
Убедиться в профессионализме подчиненных можно с помощью ключевых показателей эффективности (КПЭ). Разрабатывает показатели и проводит оценку сотрудников на соответствие этим критериям руководитель службы внутреннего аудита. Он же определяет периодичность проверки сотрудников.
Мы перечислили примерные варианты КПЭ, которые можно адаптировать под задачи компании.
| Название | Шкала | Признак выполнения КПЭ | Примечания |
| Внутренняя оценка качества деятельности | от 1 до 5 баллов | от 3 до 5 баллов | руководитель может разработать свою шкалу и критерии соответствия |
| Соответствие кодексу этики | да/нет | да | |
| Нет замечаний по выполняемым обязанностям | 0–100 % | не менее 90% | |
| Достаточность доказательств и обоснованность выводов | 0–100 % | не менее 90% | |
| Выполнение плана аудиторских проверок | 0–100 % (отношение выполненных проверок к запланированным за определенный период) | 100 % | Руководитель может снижать признак выполнения в зависимости от специфики работы |
| Выполнение плана повышения квалификации | пройдены все запланированные курсы | При условии, что компания выделила финансирование | |
| Замечания внешнего аудитора по учету и отчетности | нет замечаний |
Оценка системы внутреннего аудита
Всех сотрудников отдела по отдельности оценили и в рейтинг по заслугам выстроили. Доложили результаты проделанной работы. Однако у руководства компании может возникнуть справедливый вопрос: насколько компетентна СВА в целом и стоит ли внедрять рекомендации. Как проконтролировать проверяющих?
Строгих предписаний по оценке деятельности службы внутреннего аудита не существует. Следовательно, в каждой компании критерии качества работы службы устанавливают самостоятельно.
Приведем в пример несколько классификаций показателей работы СВА.
Еще раз уточним, что эти критерии для оценки деятельности службы внутреннего аудита приведены для примера. Руководители компании могут адаптировать их к своим задачам или считать, что какие-то из представленных вариантов не показывают релевантную картину работы службы.
Например, не все согласны с тем, что надо ориентироваться на число нарушений, выявленных СВА. Если служба функционирует в компании не первый год, то с течением времени количество нарушений снижается. Это тоже может быть показателем хорошей работы в долговременной перспективе.
Для чего аудитором проводится оценка системы внутреннего контроля аудируемого лица
Процедуры оценки рисков и источники информации
о деятельности аудируемого лица и среде, в которой
она осуществляется, включая систему внутреннего контроля
5. Приобретение знаний о деятельности аудируемого лица и среде, в которой она осуществляется, включая систему внутреннего контроля, является непрерывным динамичным процессом сбора, обновления и анализа информации на всех стадиях аудита. Аудиторские процедуры, осуществляемые с целью приобретения знаний о деятельности аудируемого лица, относятся к процедурам оценки рисков, потому что определенная информация, полученная путем выполнения таких процедур, может быть использована аудитором в качестве аудиторских доказательств при оценке рисков существенного искажения финансовой (бухгалтерской) отчетности. Кроме того, выполняя процедуры оценки рисков, аудитор может получить аудиторские доказательства в отношении групп однотипных хозяйственных операций, остатков по счетам бухгалтерского учета и раскрытия информации и связанных с ними предпосылок подготовки финансовой (бухгалтерской) отчетности, а также об операционной эффективности средств контроля, даже если такие аудиторские процедуры не были специально запланированы в качестве процедур проверки по существу или тестов средств контроля. Аудитор имеет право также запланировать выполнение процедур проверки по существу или тестов средств контроля параллельно с процедурами оценки рисков, если посчитает такой подход эффективным.
6. Аудитор должен выполнять следующие процедуры оценки рисков в целях ознакомления с деятельностью аудируемого лица и со средой, в которой она осуществляется, включая систему внутреннего контроля:
запросы в адрес руководства или других сотрудников аудируемого лица;
наблюдение и инспектирование.
Аудитор не обязан выполнять все указанные процедуры оценки рисков в отношении каждой проблемы, указанной в пункте 19 настоящего правила (стандарта). Однако все процедуры оценки рисков выполняются аудитором в ходе достижения необходимого объема знаний о деятельности аудируемого лица.
7. Кроме процедур оценки рисков, предусмотренных пунктом 6 настоящего правила (стандарта), аудитор выполняет прочие аудиторские процедуры, позволяющие получить информацию, которая может оказаться полезной при выявлении рисков существенного искажения. Например, аудитор может рассмотреть целесообразность направления запросов в адрес организаций, оказывающих аудируемому лицу юридические услуги или услуги по оценочной деятельности. Просмотр информации, полученной из внешних источников, в частности аналитических отчетов, отчетов, подготовленных банками или органами статистики, экономических и профессиональных газет и журналов или официальных правовых и финансовых изданий, может быть полезным при ознакомлении с деятельностью аудируемого лица.
8. Несмотря на то, что большая часть информации, которую аудитор получает путем запросов, может быть получена от руководства аудируемого лица и тех, кто отвечает за составление финансовой (бухгалтерской) отчетности, запросы, направленные сотрудникам аудируемого лица, в частности производственному персоналу, внутренним аудиторам и другим сотрудникам с различными административными функциями, могут быть полезными в обеспечении аудитора различными точками зрения при выявлении рисков существенного искажения информации.
Определяя сотрудников аудируемого лица, которым могут быть направлены запросы, а также количество таких запросов, аудитор учитывает, какого рода информация может быть получена, чтобы помочь аудитору выявить риски существенного искажения информации.
Ответы на запросы, направленные представителям собственника, могут помочь аудитору понять обстановку, в которой готовится финансовая (бухгалтерская) отчетность.
Ответы на запросы, направленные внутренним аудиторам, могут иметь отношение к их деятельности, касающейся организации и функционирования системы внутреннего контроля аудируемого лица, и дать представление о том, насколько удовлетворительно реагировало руководство аудируемого лица на результаты этой деятельности.
Ответы на запросы в адрес сотрудников, участвующих в инициировании, выполнении или отражении в бухгалтерском учете сложных или необычных операций, могут помочь аудитору в оценке уместности выбора и применения аудируемым лицом определенных правил учета.
Ответы на запросы, направленные сотрудникам юридической службы аудируемого лица, могут иметь отношение к таким вопросам, как судебные дела и претензионные споры, в которых участвует аудируемое лицо, соблюдение аудируемым лицом нормативных правовых актов, знание фактов недобросовестных действий или обстоятельств, указывающих на возможность недобросовестных действий, гарантии, обязательства, соглашения (в частности о совместной деятельности) с контрагентами и содержание договорных условий.
Ответы на запросы, направленные персоналу, занимающемуся маркетингом или продажами, могут касаться вопросов изменений в стратегиях маркетинга аудируемого лица, тенденциях продаж или контрактных соглашениях с покупателями и заказчиками.
9. Аналитические процедуры могут помочь выявить необычные операции или события, а также показатели, коэффициенты и тенденции, которые могут свидетельствовать о возможных проблемах, имеющих значение для финансовой (бухгалтерской) отчетности и аудита.
При выполнении аналитических процедур в качестве процедур оценки рисков аудитор приблизительно оценивает показатели ожидаемых результатов деятельности и вероятные соотношения. В случае если сопоставление этих показателей ожидаемых результатов деятельности с учтенными суммами или коэффициентами, рассчитанными на основе учтенных сумм, приводит к необычным или неожиданным соотношениям, аудитор учитывает эти результаты при выявлении рисков существенного искажения информации.
В случае если в таких аналитических процедурах используются данные, обобщенные на достаточно высоком уровне, то результаты таких аналитических процедур могут служить только первичным индикатором наличия существенного искажения. Аудитор рассматривает результаты таких аналитических процедур наряду с другой информацией, собранной при выявлении рисков существенного искажения.
10. Наблюдение и инспектирование могут стать как основой для направления запросов руководству и другим сотрудникам аудируемого лица, так и источником информации о деятельности аудируемого лица и среде, в которой она осуществляется. Такие аудиторские процедуры обычно включают:
а) наблюдение за различными областями деятельности и операциями аудируемого лица;
б) инспектирование документов (таких, как бизнес-планы и стратегии развития), учетных записей и регламентов системы внутреннего контроля;
в) изучение отчетов, подготовленных руководством (таких, как квартальные отчеты руководства и промежуточная финансовая (бухгалтерская) отчетность), отчетов представителей собственника (например, протоколы заседаний совета директоров);
г) посещение административных зданий и производственных помещений аудируемого лица;
д) прослеживание отражения хозяйственных операций в информационных системах, формирующих данные для финансовой (бухгалтерской) отчетности (сквозные проверки).
11. В случае если аудитор намеревается использовать информацию о деятельности аудируемого лица и его среде, собранную в предыдущие периоды, аудитор должен определить, не произошли ли изменения, которые могут оказать влияние на актуальность такой информации для текущего аудита. При повторяющихся аудитах опыт, полученный в ходе предыдущего аудита, способствует лучшему пониманию деятельности аудируемого лица.
В частности, аудиторские процедуры, выполненные в ходе предыдущих аудитов, обычно позволяют получить аудиторские доказательства в отношении организационной структуры и средств контроля аудируемого лица, а также информацию об имевших место в прошлом искажениях и о том, были ли они своевременно исправлены. Все это помогает аудитору при оценке рисков существенного искажения во время текущего аудита. Однако такая информация может стать неуместной для текущего аудита вследствие изменений, произошедших в деятельности аудируемого лица и его среде. Поэтому аудитор должен направить соответствующие запросы и выполнить прочие уместные аудиторские процедуры, в том числе сквозные проверки, с целью выявления возможных изменений, способных оказать влияние на актуальность такой информации.
12. Аудитором принимается во внимание и прочая информация, если она уместна для текущего аудита, в частности та, которая была собрана при решении вопроса о заключении договора с аудируемым лицом или продолжении сотрудничества с ним, или информация, полученная из опыта оказания других аудиторских услуг для аудируемого лица, в частности работ по обзорной проверке промежуточной финансовой информации.
13. Участники аудиторской группы должны обсудить подверженность финансовой (бухгалтерской) отчетности аудируемого лица существенным искажениям.
14. Цель такого обсуждения состоит в том, чтобы участники аудиторской группы достигли большего понимания возможности существенных искажений финансовой (бухгалтерской) отчетности вследствие недобросовестных действий или ошибок, которые могут иметь место в определенных областях, являющихся объектом порученных им заданий, и поняли, каким образом результаты аудиторских процедур, которые выполняют участники аудиторской группы, могут повлиять на другие аспекты аудита, включая решения о характере, сроках и об объеме дальнейших аудиторских процедур.
15. Обсуждение подверженности финансовой (бухгалтерской) отчетности аудируемого лица существенным искажениям дает возможность более квалифицированным участникам аудиторской группы, включая руководителя аудиторской проверки, поделиться своими знаниями о деятельности аудируемого лица, а также обменяться информацией о возможных рисках хозяйственной деятельности аудируемого лица с другими участниками и о том, каким образом и где финансовая (бухгалтерская) отчетность, возможно, подвержена существенным искажениям. Особое внимание уделяется подверженности финансовой (бухгалтерской) отчетности аудируемого лица существенным искажениям вследствие недобросовестных действий. Также должен быть обсужден порядок применения установленных принципов составления финансовой (бухгалтерской) отчетности к конкретным условиям и фактам хозяйственной деятельности аудируемого лица.
(в ред. Постановления Правительства РФ от 27.01.2011 N 30)
(см. текст в предыдущей редакции)
16. Решение, кого из участников аудиторской группы привлекать к обсуждению подверженности финансовой (бухгалтерской) отчетности аудируемого лица существенным искажениям, каким образом, где и в какой форме проводить такое обсуждение, является предметом профессионального суждения. В обсуждении обычно участвуют ведущие сотрудники аудиторской группы, так как всем участникам аудиторской группы необязательно иметь исчерпывающее представление обо всех аспектах аудиторской проверки. Форма обсуждения зависит от выполняемых участниками аудиторской группы функций, их опыта и информационных потребностей.
Например, при аудите, охватывающем несколько объектов аудита, может иметь место несколько обсуждений, участниками каждого из которых будут ведущие участники аудиторских групп каждого наиболее важного объекта аудита.
При планировании обсуждений следует решить, приглашать ли для участия в них экспертов, включенных в аудиторскую группу. Руководитель аудиторской проверки может решить, что включение в число участников обсуждения эксперта, владеющего знаниями в области информационных систем или какими-либо другими навыками, является необходимым.
17. В соответствии с правилом (стандартом) N 1 аудитор в ходе планирования и проведения аудита должен проявлять профессиональный скептицизм. На обсуждениях, проводимых для участников аудиторской группы, следует подчеркивать необходимость проявления профессионального скептицизма в течение всего периода выполнения аудиторского задания, чтобы не пропустить информацию или иные обстоятельства, указывающие на возможность наличия существенных искажений вследствие недобросовестных действий или ошибок.
18. Возможно проведение и иных обсуждений, способствующих обмену между участниками аудиторской группы информацией относительно подверженности финансовой (бухгалтерской) отчетности аудируемого лица существенным искажениям. Целью в этом случае является общение участников аудиторской группы и обмен информацией, полученной в ходе аудита, которая может оказать влияние как на оценку рисков существенного искажения вследствие недобросовестных действий или ошибок, так и на аудиторские процедуры, выполняемые в отношении рисков.
Внутренний аудитор в единственном лице. Особенности организации и развития функции внутреннего аудита
Автор: Наталья Зюскина, внутренний аудитор, член Ассоциации «Институт внутренних аудиторов» 1
Все больше компаний принимает решение о формировании подразделения внутреннего аудита. Кого-то к этому решению приводят возрастающие требования регулятора, кого-то – знания. Институт внутренних аудиторов активно популяризирует возможности и ценность внутреннего аудита для бизнеса. Но не все готовы сразу формировать полноценное подразделение. Причин неготовности может быть много: финансовое положение компании; отсутствие четкого понимания функционала и возможностей внутреннего аудита; неготовность собственника/ акционеров; сопротивление менеджмента. В итоге принимается решение вместо подразделения внутреннего аудита включить в организационно-штатную структуру должность внутреннего аудитора («попробуем, а там будет видно»).
Как построить полноценную функцию с нуля в условиях жестких ограничений ресурсов? Возможно ли это? Сложно, но можно.
Опыт показывает, что полноценная функция внутреннего аудита в компании формируется в течение 3-х лет. Начиная с 4-го года идет оптимизация и повышение эффективности.
Итак, с чего начинать, куда и как двигаться, если вам необходимо создать подразделение численностью в одного работника.
Алгоритм действий первого года включает в себя:
1. Определение требований
2. Подбор сотрудника
3. Регламентация деятельности
4. Планирование деятельности и планирование проведения проверок
5. Выполнение планов
7. План-фактный анализ результатов
8. Внесение корректировок.
1. Определение требований к функции внутреннего аудита и места внутреннего аудита в структуре компании
Ответственный и достаточно сложный момент. Это фундамент выстраивания функции. Именно на этом этапе определятся (должны определиться):
место внутреннего аудита в организационно-штатной структуре;
«внутренний продукт», который будет создавать внутренний аудитор;
пользователь/заказчик «внутреннего продукта» (кто и как будет использовать результаты деятельности внутреннего аудитора).
Ошибочно полагать, что все руководители и акционеры достаточно хорошо знают и понимают, что такое внутренний аудит, каким должен быть внутренний продукт и что с этим продуктом потом делать. А если внутренний аудит — это не осознанная потребность бизнеса, а изменение требований регулятора, то в этом случае заказ от бизнеса вообще не определен.
При формировании внутреннего аудита с нуля на первом этапе этим вопросом в компании обычно занимаются главный бухгалтер, заместитель/ директор по экономике и финансам или заместитель/ директор по управлению персоналом. Надо помнить, что все эти работники – люди очень занятые, им некогда глубоко вникать в то, что такое «внутренний аудит», чем он отличается от внешнего. Эти работники привыкли к тому, что это они осуществляют контроль. Очень велик соблазн забрать новый вид контроля под себя, и возникает полное непринятие того, что кто-то может и должен будет проверять и оценивать результат их деятельности.
При определении требований к внутреннему аудиту в целом, определяется требование к профилю должности, требования к кандидату на должность и стоимость услуг внутреннего аудитора.
Формируется бюджет на организацию внутреннего аудита.
На этом этапе закладываются «подводные мины», которые впоследствии будет необходимо убирать внутреннему аудитору.
Наиболее часто встречающиеся проблемы («подводные мины»):
неверно сформирована штатная структура: внутренний аудитор находится в административном и функциональном подчинении у одного из топ-менеджеров (нарушение принципа независимости);
неверно определены требования к профилю должности (нарушение принципа профессионализма);
занижена стоимость услуг внутреннего аудитора: затягивается процесс поиска сотрудника или вакансия закрывается тем, кто подходит по цене (нарушение принципа профессионализма);
в бюджете учтены только расходы на оплату труда.
Сформировали требования, определили место в структуре компании, настало время подбора нужного сотрудника.
2. Подбор сотрудника
Так кто же он такой – внутренний аудитор в единственном лице?
Профессиональный стандарт «Внутренний аудитор» (Приказ Министерства труда и социальной защиты РФ от 24.06.2015 г. №398н) определяет цель внутреннего аудита и пять основных функций:
А. Проведение внутренней аудиторской проверки и/ или выполнение консультационного проекта в составе группы;
B. Проведение внутренней аудиторской проверки и/ или выполнение консультационного проекта самостоятельно или в составе группы;
C. Методическое сопровождение деятельности службы внутреннего аудита;
D. Руководство выполнением плана работы службы внутреннего аудита;
E. Управление (руководство) службой внутреннего аудита.
Международными профессиональными стандартами внутреннего аудита (МПСВА) определены требования к профессионализму (Стандарт 1210):
Внутренние аудиторы должны обладать знаниями, навыками и другими компетенциями, необходимыми для выполнения своих должностных обязанностей. Для выполнения стоящих перед подразделением внутреннего аудита задач, сотрудники подразделения должны коллективно(!) обладать необходимыми знаниями, навыками и другими компетенциями или получить их.
При подборе работника возможны два варианта развития событий:
1) работника находят на внешнем рынке труда (открывается вакансия);
2) работника находят на внутреннем рынке (работник назначается из числа уже имеющихся: главный бухгалтер, бухгалтер, экономист, ревизор, юрист, работник СБ, пр.).
При подборе работника необходимо помнить, что нужен сотрудник, обладающий «коллективными необходимыми знаниями». Задача: либо найти многофункционального (5 базовых функций) специалиста, либо обучать специалиста в «полевых условиях».
Как определиться с кандидатурой на закрытие вакансии?
Если открыта вакансия и организация ищет нужного работника на внешнем рынке труда, то в этом случае наиболее подходящей кандидатурой будет работник с опытом руководства подразделением внутреннего аудита. При этом обращаю внимание на тот факт, что это не просто освобожденный руководитель, а «играющий тренер». Такой кандидат на замещение вакансии сталкивался с организацией, планированием, контролем, методическим обеспечением, но и не утратил навыка оперативной работы в поле. Правда жизни в том, что такие работники обычно стоят гораздо дороже, чем кандидат просто с опытом работы во внутреннем аудите (разница от стоимости услуг начинается от 50% и выше). И такие работники ищут вакансию именно руководителя подразделения внутреннего аудита.
Плюсы закрытия вакансии внешним работником с опытом работы заключаются в том, что не надо тратить время и деньги на обучение на этапе становления функции. Работник знает, что, как, в какой последовательности надо делать.
Минусы — работник не знает бизнеса (вообще новая отрасль, особенности ведения бизнеса, особенности имеющихся коммуникаций, особенности корпоративной культуры); стоит гораздо дороже, чем заложили в бюджете.
Если на вакансию внутреннего аудитора переводят уже имеющегося работника, то в этом случае наилучшим решением будет работник, который хорошо знает организацию и экономику бизнеса и при этом сталкивался хоть в какой-то мере с учетом (бухгалтерский, управленческий).
Дополнительно на первом этапе для собственного работника будет необходимо сформировать долгосрочную программу обучения, не менее, чем на 2 года. Но здесь компания опять сталкивается с проблемой — нет компетентных сотрудников, которые знают в каком направлении, в какой последовательности и чему обучать новоиспеченного внутреннего аудитора.
В обоих случаях – будет ли вакансия закрыта внешним или внутренним кандидатом – возникнут сложности, связанные с коммуникацией.
У внутреннего кандидата свои этапы становления и выхода на уровень партнерства и доверия. Работник знает бизнес (по крайней мере, с точки зрения подразделения, в котором ранее работал), но не в полной мере знает и/или понимает логику взаимосвязи сквозных бизнес-процессов. У работника появляются сложности в коммуникациях (психологический барьер при проверке топ-персонала высшего звена работником среднего звена или бывшим рядовым работником). Возможен конфликт интересов в случае, когда вакансия закрыта бывшим топ-руководителем (например, главный бухгалтер назначен на должность внутреннего аудитора).
Кроме профессиональных требований есть еще один нюанс, который необходимо учитывать при подборе работника. И это нюанс – личность кандидата. Чтобы как Федор Конюхов в одиночку плыть через океан, надо быть зрелой и сильной личностью. И зрелость личности не всегда завязана только на возраст.
Наиболее часто встречающиеся проблемы («подводные мины»):
заложена база для конфликта интересов (работник не вправе в течение 1 года проверять те направления, в которых работал ранее);
заложена база для конфликта (принцип непредвзятости) при проверке бывшего «своего» структурного подразделения по истечении 1 года;
обученный работник, соответствующий требованиям рынка, может уйти (и уйдет!) из организации в случае, если его мотивация не будет меняться вместе с уровнем его компетенции и профессиональных навыков (пактически не сталкивалась с ситуацией, когда комитет по аудиту или совет директоров делал запрос на соответствие уровня оплаты внутреннего аудитора уровню рынка труда).
На этапе трудоустройства может возникнуть проблема, связанная с согласованием кандидата на замещение вакансии. Необходимо делать допуск на тот факт, что подразделение, отвечающее за управление персоналом, может об этом просто не знать. До момента подписания трудового договора необходимо ознакомиться с документами, в которых может быть оговорено это условие (Положение о совете директоров, Положение о комитете по аудиту, Положение/ регламент взаимодействия с подразделением внутреннего аудита материнской компании, пр.). Не создайте почву для трудового спора в случае, когда трудовой договор заключен, а кандидатура не согласована или согласована с оговорками!
3. Регламентация деятельности
Базовый набор документов, которые необходимо разработать, утвердить и ввести в действие в течение первого года:
Положение об организации внутреннего аудита в компании
базовые стандарты внутреннего аудита (5 базовых стандартов: общие требования и положения; планирование; организация и проведение; отчетность; мониторинг)
Программа обеспечения и повышения качества (+ Методика оценки качества).
В Положении об организации внутреннего аудита в компании определяются цели, задачи, функции, статус, порядок организации, полномочия, ответственность, лица (работники, подразделения), на которых распространяется действие документа, подчиненность, подотчетность, правила приема и увольнения, правила взаимодействия с генеральным директором, комитетом по аудиту и советом директоров, правила урегулирования спорных (конфликтных) ситуаций.
Есть два момента, которые нужно иметь в виду, регламентируя деятельность. Первое: вполне возможен вариант, когда в организации нет комитета по аудиту и совета директоров. Просто учредитель в единственном лице, он же и генеральный директор, принял решение о необходимости формирования современной системы контроля. Второе: обращаю внимание на то, что положение о подразделении не создается. Все, что определяет этот документ, в нашем случае (аудитор в единственном лице) закладывается в должностную инструкцию.
В случае, если внутренний аудитор в единственном лице принят на работу в дочернее зависимое общество (в компаниях с холдинговой структурой), то необходимо через корпоративного секретаря получить все корпоративные нормативные документы и решения совета директоров (выкопировки из протоколов заседаний в отношении каждого документа), касающиеся внутреннего аудита.
Здесь важно учесть некоторые нюансы.
Документы, в отношении которых принято решение «принять к исполнению», обычно не требуют переработки. Эти документы исполняются.
согласованный проект документа рассматривает комитет по аудиту и утверждает совет директоров.
Не всегда нормативные документы с резолюцией «принять к руководству» возможны к исполнению так, как они этого требуют, так, как написано. Чтобы не организовать «итальянскую забастовку» целесообразно проанализировать, есть ли сложности с исполнением и необходимо ли документ адаптировать под свою компанию (Общество).
По всем вопросам, связанным с исполнением или адаптацией внутренних нормативных документов, внутренний аудитор должен руководствоваться разъяснениями соответствующего структурного подразделения внутреннего аудита в управляющей компании холдинга.
Обращаю внимание, что период становления внутреннего аудита в компаниях холдингового типа может затянуться не на один год. За это время в ДЗО может поменяться не один корпоративный секретарь. Опыт показывает, что, делая запрос корпоративному секретарю, необходимо указать, что реестры протоколов заседания комитета по аудиту и совета директоров нужно просмотреть как за текущий год, так и за 2-3 предшествующих года. Также следует обратиться к секретарю (офис-менеджер, канцелярия) с просьбой поднять переписку с подразделением внутреннего аудита материнской компании.
Кроме базовых документов, регламентирующих деятельность внутреннего аудитора, рекомендую составить программу стажировки. Этот документ не относится к обязательным, установленным требованиями МПСВА или требованиями регулятора в Российской Федерации, но это тот документ, который поможет внутреннему аудитору наиболее быстрым и эффективным образом вникнуть в суть бизнеса, суть взаимосвязи структурных подразделений и бизнес-процессов (учредители и генеральный директор ждут результат от внутреннего аудитора со сроком выполнения «вчера»). Если в компании разработаны и действуют программы адаптации и ввода в должность новых работников, то действовать нужно по установленным правилам. Если такая деловая практика не применяется, то программу стажировки разрабатывает внутренний аудитор самостоятельно.
Программу стажировки рекомендую утвердить приказом генерального директора и обязательно назначить руководителя стажировки. Программа представляет собой письменную форму договоренности между внутренним аудитором и генеральным директором о том, что и как должно быть сделано в период прохождения испытательного срока. При наличии комитета по аудиту стажировку рекомендую проходить под патронажем комитета.
Программа стажировки формируется на 3 месяца. Если внутренний аудитор уже имеет опыт работы, то программа стажировки — это первая программа первой внутренней аудиторской проверки и эту программу он формирует самостоятельно. Если работник не имеет опыта работы во внутреннем аудите, то программа стажировки должна стать введением в профессию.
У сотрудника без опыта работы во внутреннем аудите до прохождения стажировки должно быть организовано и проведено обучение: Внутренний аудит – 2 модуля, Управление рисками – 2 модуля.
4. Планирование
В первый год работы рекомендую внутреннему аудитору осуществлять свою деятельность на основании следующих базовых планов:
план проведения внутреннего аудита
План деятельности включает в себя план проведения внутреннего аудита. В план деятельности также включают мониторинг, методологическое обеспечение деятельности, повышение квалификации (обучение), взаимодействие с комитетом по аудиту и советом директоров (в том числе по вопросам планирования и отчетности), взаимодействие с внешним аудитором и контрольно-ревизионной комиссией (при наличии таковых), взаимодействие в рамках системы управления рисками и внутреннего контроля, СУРиВК; консультирование. План трудозатрат позволяет распределить задачи в соответствии с имеющейся нормой рабочего времени.
Программа стажировки, о которой упоминалось выше, на этапе становления внутреннего аудита с нуля может послужить базой для формирования этих планов.
Тестовое задание по завершении стажировки – создание пакета согласованных и утвержденных документов:
Модель внутреннего аудита
План деятельности внутреннего аудитора
План проведения внутреннего аудита.
Программа стажировки, о которой пойдет речь ниже, протестирована на трех различных компаниях (фуд-ритейл; оптовые продажи бензомоторной техники; DIY-сеть магазинов строительных материалов) и применялась как на этапе становления внутреннего аудита с нуля, так и при адаптации новых сотрудников подразделения внутреннего аудита. Перед началом необходимо приказом утвердить руководителя стажировки.
1-й месяц:
1. Изучение, анализ документов: учредительные документы; Положения о совете директоров и профильных комитетах; организационно-штатная структура; Кодекс деловой этики; корпоративная культура; положения об отделах; учетная политика; Политики (управление рисками, безопасности, антикоррупционная, пр.).
2. Стажировка по 1-2 дня в каждом отделе (с предварительным изучением должностных инструкций).
3. Изучение и анализ: экономика отрасли; нормативно-законодательная база.
4. Изучение и анализ внутренних нормативных документов: регламенты, стандарты, корпоративные стандарты и регламенты (ДЗО).
По завершении этапа руководитель стажировки оценивает результат. У стажера должно быть сформировано понимание системы организации, управления, регулирования и контроля бизнеса.
2-й месяц:
1. Анализ основных бизнес-процессов (на базе стажировки в отделах и изучения регламентов, стандартов).
2. Изучение карты рисков, анализ СУРиВК.
3. Анализ финансовой отчетности, отчетов ревизионной комиссии и внешнего аудитора (за период от 3 до 5 лет).
4. Анализ актов проверок внешних контролеров за период от 3 до 5 лет (ФНС, трудовая комиссия, Роспотребнадзор, МЧС и пр.).
По завершении этапа руководитель стажировки оценивает результат. На этом этапе должен быть сформирован перечень объектов аудита. Проведено ранжирование объектов аудита. Определены владельцы объектов аудита. У стажера имеется четкое понимание о СУРиВК, имеется понимание основных рисков.
3-й месяц:
1. Сформирована модель внутреннего аудита. Проведено ранжирование объектов.
2. Сформирован план деятельности внутреннего аудита.
3. Сформирован план проведения внутреннего аудита.
4. Сформирован план трудозатрат.
Результат стажировки: планы согласованы и утверждены.
Параллельно с изучением бизнеса и формированием планов должны быть разработаны документы, регламентирующие деятельность внутреннего аудита.
При формировании плана проведения внутреннего аудита в первый год работы необходимо сделать упор на те направления, в которых внутренний аудитор обладает необходимым уровнем компетенции (сделать первый срез).
При формировании плана деятельности и плана трудозатрат внутренний аудитор должен учесть обучение по тем направлениям, в которых у него нет необходимых знаний и навыков, но по которым объект аудита при ранжировании признан высокорискованным (тема и направление обучения на полгода-год должны опережать направление проверки).
При формировании плана трудозатрат внутреннему аудитору необходимо выделить время на внеплановые проверки, административно-хозяйственные операции (учет рабочего времени; организация командировок; организация обучения; обучение и аттестация по охране труда; прочие обучения, аттестации, допуски в соответствии с требованиями отрасли и т.д. и т.п.); взаимодействие с аудитором компании при обязательном или инициативном аудите финансовой отчетности; на взаимодействие с контрольно-ревизионной комиссией (при наличии таковой).
При наличии достаточного финансирования часть объектов аудита, которые при ранжировании признаны наиболее рискованными, стоит передать на аутсорсинг (внешний исполнитель), либо сформировать рабочую группу из числа работников компании для проведения аудита.
Для эффективного управления собственным рабочим временем хорошо зарекомендовала себя практика цветовой визуализации плана трудозатрат на календаре (календарь на планируемый год).
5. План-факт анализ
Это еще один инструмент, позволяющий внутреннему аудитору в единственном лице эффективно выполнять возложенные на него функции. По итогам каждого месяца и каждой внутренней аудиторской проверки необходимо проводить анализ причин отклонений.
Все системные причины, на которые внутренний аудитор не может оказывать влияния, должны быть учтены при планировании на второй год работы. Например, при планировании не были учтены планы внешних проверок: бизнес подлежит системному внешнему контролю, и этот контроль проводится в определенные сроки и в определенный период (технические ревизии и технические аудиты в системе менеджмента безопасности движения); компания включена в план проверок МЧС, Прокуратуры, Роспотребнадзора и т.д.
При формировании плана проверок на первый год работы внутренний аудитор обычно не учитывает время отсутствия руководителя объекта аудита (отпуск, обучение, аттестация и пр.), что впоследствии не позволяет своевременно завершить проверку, либо влечет изменение очередности проверок.
Завершая тему, хочу отметить, что выполнение своей функции внутренним аудитором в единственном лице на должном уровне в соответствии с требованиями профессионального стандарта и МПСВА вполне возможно. Да, надо признать, что на внутреннего аудитора в единственном лице приходится гораздо больше нагрузок, больше стресс-факторов. Он один в поле воин. И этот воин должен быть сильным, смелым и коммуникабельным.