І.Краснова "Методика проведення внутрішньої аудиторської перевірки ефективності системи внутрішнього контролю бізнес-процесів"
- Краснова І.А., заступник начальника Відділу внутрішнього аудиту ВАТ «УМЗ», член Інституту внутрішніх...
- 2. Організація внутрішньої аудиторської перевірки ефективності СВК бізнес-процесів компанії
- 2.1. Планування аудиторської перевірки ефективності СВК бізнес-процесів компанії
- 2.2. Проведення аудиторських процедур
- 2.3. Формування результатів аудиту
- 2.4. Робота СВА з матеріалами аудиту після затвердження остаточної редакції «Аудиторського звіту»
- Робота СВА з менеджментом компанії з побудови та оптимізації СВК бізнес-процесів
- Робота СВА з матеріалами аудиту для задоволення власних потреб служби
- Оцінка дизайну контролю бізнес-процесу «Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва»...
Краснова І.А., заступник начальника Відділу внутрішнього аудиту ВАТ «УМЗ», член Інституту внутрішніх аудиторів
У цій статті автор детально розкриває методику проведення аудиторської перевірки ефективності системи внутрішнього контролю бізнес-процесів компанії, успішно апробовану на практиці Службами внутрішнього аудиту ряду великих російських промислових холдингів. Результати даних внутрішніх аудиторських перевірок, організованих відповідно до поданої методикою, можуть надати істотну допомогу менеджменту при побудові надійної системи внутрішнього контролю компанії.
Матеріал, представлений в даній статті, призначений для співробітників Служб внутрішнього аудиту, менеджерів різного рівня, членів комітетів з аудиту і Рад директорів і, на думку автора, може бути цікавий більш широкому колу читачів.
1. Загальні поняття про систему внутрішнього контролю в компанії
При дослідженні питань, що стосуються системи внутрішнього контролю (далі - СВК), автор зіткнувся з досить парадоксальною ситуацією, що склалася в даний час. З одного боку, можна констатувати наявність підвищеного інтересу до даної економічної категорії на протязі останніх десяти-п'ятнадцяти років. З іншого боку, загальновизнаного однозначного визначення СВК до сих пір не існує.
Проте, в рамках цієї статті автор трактує поняття СВК як сукупність організаційної структури управління, заходів, методик і процедур, прийнятих і постійно здійснюваних Радою директорів, виконавчими і контрольними органами, посадовими особами та іншими працівниками компанії, спрямованих на:
- вдосконалення діяльності компанії і органів його управління;
- забезпечення результативності та ефективності фінансово-господарської діяльності компанії;
- збереження активів;
- запобігання внутрішніх і зовнішніх ризиків;
- забезпечення надійності та достовірності всіх видів звітності Товариства;
- дотримання вимог законодавства та внутрішніх документів і регламентів Товариства.
Надійна СВК є ключовим елементом корпоративного управління компанією, який дозволяє менеджменту приймати адекватні рішення, спрямовані на:
- вдосконалення організації бізнесу,
- оперативне виявлення, запобігання і обмеження операційних, фінансових та інших видів ризиків, і
- забезпечити розумну впевненість в досягненні стратегічних цілей компанії та її акціонерів.
Сучасні системи побудови внутрішнього контролю, що формуються відповідно до вимог як російських, так і зарубіжних принципів корпоративного управління 1 , Акцентують відповідальність вищого керівництва компанії за формування надійної СВК і підтримання належного її функціонування. При цьому багато компаній в даний час мають в своїй структурі Службу внутрішнього аудиту (далі - СВА). Внутрішній аудит, будучи одним з незамінних інструментом власників компанії і Ради директорів при організації корпоративного управління і контролю, являє собою найбільш розвинену форму внутрішнього контролю в компанії.
Основними завданнями, що стоять перед СВА, є:
- забезпечення відповідності принципам корпоративного управління;
- оцінка надійності та ефективності СВК в компанії, а так само надання консультаційної підтримки менеджменту компанії на етапі розробки систем і процедур СВК;
- оцінка системи управління ризиками;
- оцінка ефективності та економічності управління бізнес-процесами.
Схема взаємодії Ради директорів, СВА і менеджменту компанії в рамках організації СВК представлена на малюнку 1.
Рис.1. Схема взаємодії СВА і менеджменту компанії
Необхідно відзначити, що в чинному законодавстві і сучасної методичної літератури з питань організації внутрішнього контролю та аудиту не визначена методика проведення внутрішніх аудиторських перевірок ефективності СВК компанії, результатами яких і повинні бути об'єктивна оцінка і пропозиції щодо оптимізації діючої СВК компанії.
У наступному розділі статті автор пропонує до розгляду методику організації даних перевірок, успішно використовувану Службами внутрішнього аудиту деяких великих промислових компаній 2 , Що реалізують процесний ризик-орієнтований метод управління діяльністю. Особлива увага приділяється розкриттю технології та порядку проведення перевірок; детально представлені основні інструменти і документи, що використовуються аудиторами; а також позначені ключові організаційні заходи при поводженні внутрішньої аудиторської перевірки.
2. Організація внутрішньої аудиторської перевірки ефективності СВК бізнес-процесів компанії
Слід визначити, що аудиторська перевірка в контексті даної статті є захід, що полягає в зборі, оцінці і аналізі аудиторських доказів, що стосуються СВК бізнес-процесу, що підлягає аудиту, і має своїм результатом вираження думки аудитора про ступінь надійності СВК цього бізнес-процесу.
Проведення внутрішньої аудиторської перевірки ініціюється Керівником СВА компанії на основі раннє затвердженого плану роботи СВА або за окремим позапланового дорученням уповноваженої особи 3 .
Процес проведення внутрішньої аудиторської перевірки СВК бізнес-процесів компанії включає в себе кілька етапів (рис.2.), А саме:
- планування аудиторської перевірки, в тому числі проведення попереднього обстеження;
- проведення аудиторських процедур:
- оцінка дизайну контролю,
- оцінка виконання контрольних процедур (тестування),
- аналіз елементів СВК (в тому числі оцінка контрольної середовища),
- загальна оцінка ефективності СВК;
- формування результатів аудиторської перевірки;
- робота СВА з матеріалами аудиту після затвердження остаточної редакції «Аудиторського звіту», в тому числі моніторинг виконання рекомендацій СВА.
Рис.2. Етапи проведення внутрішньої аудиторської перевірки ефективності СВК бізнес-процесів компанії
Ключові етапи проведення аудиторської перевірки ефективності системи внутрішнього контролю проілюстровані на прикладі внутрішньої аудиторської перевірки бізнес-процесу «Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва».
2.1. Планування аудиторської перевірки ефективності СВК бізнес-процесів компанії
Планування аудиторської перевірки сприяє тому, щоб важливих областей в ході аудиту було приділено необхідну увагу, щоб були виявлені потенційні проблеми і робота була виконана з оптимальними витратами, якісно і своєчасно. Планування дозволяє ефективно розподіляти роботу між членами аудиторської групи, які беруть участь в аудиторській перевірці, а також координувати таку роботу.
Для ефективного планування майбутньої аудиторської перевірки слід проводити попереднє обстеження аудируемого об'єкта (бізнес-процесу). Завданням даного обстеження є вивчення фактичних цілей аудируемого бізнес-процесу, його структури або змін до нього, що відбулися з часу минулої перевірки. Також належну увагу варто приділити оцінці рівня матеріальності аудируемого бізнес-процесу, що дозволить об'єктивно говорити про суттєвості наслідків неефективної організації СВК даного процесу для компанії в цілому.
Аудитори на етапі попереднього обстеження:
- проводять аналіз внутрішньої нормативної документації (далі - ВНД), яка регламентує організацію аудируемого процесу;
- проводять ознайомлення з базами даних і програмним забезпеченням, які обслуговують даний бізнес-процес;
- аналізують результати минулих аудиторських перевірок даного бізнес-процесу (в разі їх наявності);
- ідентифікують і опитують власника та інших учасників процесу з питань організації процесу;
- аналізують фактичні мети процесу на предмет їх відповідності стратегії розвитку компанії і принципам визначення мети (конкретизація, вимірність, узгодженість, релевантність, тимчасова обмеженість досягнення);
- формують фактичну схему організації даного бізнес-процесу, із зазначенням існуючих контрольних процедур;
- аналізують результати оцінки ризиків, що проводиться менеджментом компанії (в разі її наявності);
- аналізують систему оцінки і показників, які використовуються для визначення ефективності та економічності процесу.
За підсумками аналізу отриманої інформації про даному бізнес-процесі та формування адекватного розуміння його фактичного функціонування керівник служби повинен прийняти:
- рішення про подальше проведення аудиту або
- рішення про відмову від проведення перевірки.
При цьому рішення про відмову від проведення перевірки в даний час і причини даного рішення повинні бути доведені до особи, яка ініціювала дану перевірку. Зазвичай рішення про відмову від проведення перевірки в даний час приймається в разі якщо:
- оцінка дизайну контролю і обмежене тестування на етапі проведення попереднього обстеження дають позитивний результат про прийнятну надійності СВК;
- за результатами попереднього обстеження встановлено, що ризики бізнес-процесу несуттєві або сам процес нематеріальний;
- в ході проведення попереднього обстеження стало відомо, що в даний час істотно змінюється структура досліджуваного бізнес-процесу.
У разі прийняття позитивного рішення про проведення перевірки ефективності СВК бізнес-процесу в даний час за підсумками попереднього обстеження аудитор повинен точно визначити ключові аспекти (в тому числі терміни і обсяги) майбутнього аудиту та поінформувати про них аудіруемое особа. Як інструмент для досягнення поставленої мети рекомендується використовувати робочий документ «Завдання на аудит».
Аудитор повинен чітко розуміти сам і вміти пояснити аудируемом особі мету майбутньої перевірки. Точне визначення меж аудиту знижує ризик ненавмисного зміщення уваги аудитора в ході проведення перевірки на суміжні і найменш проблемні області. Дані аспекти відображаються в розділі 1 «Обгрунтування перевірки» «Завдання на аудит».
За підсумками вивчення внутрішніх нормативних документів по аналізованому бізнес-процесу і інтерв'ю з власником та іншими учасниками процесу аудитор повинен оцінити наскільки цілі, формалізовані в регламентах, політиків та ін. Або позначені власником процесу, відповідають стратегії розвитку компанії і загальними правилами визначення мети. Крім цього аудитор повинен оцінити критерії, які використовуються менеджментом для визначення ефективності та економічності бізнес-процесів. Особливу увагу аудитору слід приділити тому, як діюча система мотивації власника і учасників процесу співвідноситься з певними цілями процесу. У разі якщо цілі бізнес-процесу не формалізовані і власник процесу також ускладнюється їх чітко сформулювати, аудитор повинен на основі власних теоретичних і практичних знань і навичок (в тому числі на основі бенчмаркінгу) запропонувати цілі для даного процесу і показники для їх вимірювання і узгодити їх з власником процесу. Дані аспекти відображаються в розділі 2 «Оцінка цілей процесу» «Завдання на аудит».
Одним з ключових результатів грамотно проведеного попереднього обстеження є адекватне розуміння аудитором фактичної організації аналізованого бізнес-процесу (послідовність процедур, відповідальні за виконання, фактичні терміни виконання) і об'єктивна оцінка рівня його регламентації. Дані аспекти відображаються в розділі 3 «Опис процесу» «Завдання на аудит».
Результати обстеження та оцінки ризиків, що проводяться СВА при річному ризик-орієнтованому плануванні; матеріали минулих аудиторських перевірок; результати оцінки ризиків, що проводиться менеджментом (аналіз Карт ризиків) є основою для формування переліку ризиків досліджуваного бізнес-процесу.
Оцінка ризиків в ході попереднього обстеження проводиться аудитором експертно за двома показниками - ймовірність реалізації і значимість наслідків від реалізації даних ризиків.
Схематично результати оцінки ідентифікованих ризиків 4 можна уявити в Карту ризиків бізнес-процесу. При цьому для наочності використовується метод колірної зональності ризиків:
- червоний колір - високі ризики, що вимагають негайного управління і запобігання;
- жовтий колір - середні ризики, що вимагають постійного моніторингу;
- зелений колір - низькі ризики, які не потребують посиленого контролю.
Дані аспекти відображаються в розділі 4 «Оцінка бізнес-ризиків процесу» «Завдання на аудит».
З метою досягнення спільної думки про фактичну організації аудируемого процесу, його цілей і цілей майбутньої аудиторської перевірки керівнику аудиторської групи слід узгодити ці питання з представником (-ами) аудиторського підприємства / підрозділу (як правило, власником процесу). Дані аспекти відображаються в розділі 5 «Думка представників аудируемого підприємства / підрозділу» «Завдання на аудит».
Необхідно відзначити, що «Завдання на аудит» формується керівником аудиторської групи і після узгодження з представником аудируемого особи обов'язково затверджується Керівником СВА компанії. Будь-які подальші коригування даного документа можливі тільки при узгодженні з Керівником СВА з поясненням причин необхідності даних коригувань і за умови інформування власника процесу.
На цьому попередній етап аудиторської перевірки завершено. Далі, починається так званий етап «Робота в поле», коли аудитор для формування адекватних висновків про фактичну СВК отримує аудиторські докази шляхом виконання відповідних процедур (тестів).
2.2. Проведення аудиторських процедур
Проведення аудиторських процедур призначене для збору достатніх належних доказів з метою формулювання обгрунтованих висновків, на яких грунтується думка аудиторів про ефективність СВК, виражене в «Аудиторському звіті» і підкріплене відповідними робочими документами.
Однією з основних аудиторських процедур, спрямованих на отримання адекватних висновків про надійність і ефективність функціонування СВК бізнес-процесу, є тестування фактичних процедур управління ризиками, властивих аналізованому процесу.
Тестування надійності СВК направлено на визначення аудитором ймовірності досягнення мети контрольної процедури, за допомогою якої власник аналізованого ризику може ефективно управляти даним ризиком. При цьому мета контрольної процедури визначається аудитором або на основі аналізу ВНД по процесу, інтерв'ю з власником процесу, або самостійно на основі «кращих практик» організації даних процесів в аналогічних компаніях.
Як правило, тестування проводиться аудитором вибірковим методом. Обсяг вибірки повинен забезпечувати достатню впевненість аудитора в тому, що висновки, зроблені на основі аналізу вибіркових даних будуть прийнятні для всього обсягу даних (генеральної сукупності), з якого зроблена вибірка. Обсяг вибірки може визначатися із застосуванням спеціальних формул, отриманих на основі теорії ймовірності та математичної статистики, або визначатися на основі професійного судження аудитора.
При проведенні тестування аудитор має досить широким спектром інструментів - процедур, виконання яких дозволить сформувати об'єктивні висновки про ефективність СВК, як то: порівняння / зіставлення, аналіз даних і ін.
За результатами тестування аудитор повинен дати оцінку надійності діючої СВК бізнес-процесу в частині управління аналізованих ризиком, із зазначенням можливих наслідків від реалізації даного ризику (з урахуванням екстраполяції результатів перевірки вибіркових даних на всю генеральну сукупність). У разі необхідності аудитор формує рекомендації з побудови або оптимізації діючої СВК для досягнення цілей бізнес-процесу.
Як інструмент для відображення процедури тестування СВК рекомендується використовувати робочий документ «Аудиторський тест».
После проведення попередня обстеження и тестування Фактично процедур управління ризико, властівіх аналізованому бізнес-процесу, аудитор повинен Сформувати спільну мнение про Надійність и ефективність діючої СВК досліджуваного процесса. Як інструмент для досягнення поставленої мети рекомендується використовувати робочий документ «Оцінка дизайну контролю».
Необхідно конкретизувати, що дизайн внутрішнього контролю бізнес-процесу являє собою фактичний зміст і місце розташування контрольних процедур в структурі процесу.
В ході проведення оцінки дизайну контролю аудитор використовує такі прийоми, результати яких відображає в вищевказаному робочому документі:
- формування ідеальної схеми бізнес-процесу ( «як повинно бути»). Схема ідеального процесу формується таким чином, щоб гарантувати досягнення цілей даного процесу.
- порівняння фактичної схеми бізнес-процесу ( «як є») з ідеальною;
- аналіз наявності та ефективності контрольних процедур 5 , Передбачених в регламентуючих і розпорядницьких документах по аудируемом процесу;
- аналіз наявності, якості виконання та ефективності контрольних процедур, фактично властивих процесу;
- порівняння змісту і якості виконання фактичних процедур контролю з вимогами ВНД по бізнес-процесу;
- оцінка ефективності процедури за допомогою статистичного аналізу подій за тривалий період (3-5 років);
- бенчмаркінг і пошук «кращої практики» для оптимізації контрольних процедур.
Крім того, оцінка дизайну контролю повинна проводитися з урахуванням вартості як окремої контрольної процедури, так і витрат на створення і підтримку всієї СВК. Рекомендації по створенню і оптимізації діючої СВК повинна бути обгрунтована з точки зору вартісного аналізу «вигоди - витрати». У разі функціонування декількох контрольних процедур, спрямованих на управління одним ризиком або залежними ризиками, слід провести оцінку різних варіантів використання контрольних процедур для виключення зайвих (дублюючих) процедур.
Аудитор на основі результатів оцінки дизайну контролю бізнес-процесу повинен спільно з менеджментом компанії виробити рекомендації щодо побудови та оптимізації діючої системи внутрішнього контролю аналізованого процесу. Рекомендації аудитора, в основному, спрямовані на:
- підвищення якості виконання контрольної процедури, формалізованої в ВНД компанії, в тому числі і за рахунок побудови ефективної системи мотивації співробітників-виконавців даної контрольної процедури (в разі якщо формалізована контрольна процедура ефективна, але є відхилення при її фактичному виконанні);
- легалізацію фактично виконуваної контрольної процедури (в разі якщо фактично реалізована контрольна процедура ефективна, але не передбачена вимогами ВНД);
- розробку і формалізацію контрольної процедури і контролю за її належним виконанням (у разі якщо контрольна процедура не передбачена ВНД і фактичні дії співробітників не дозволяють ефективно управляти ризиком).
Після проведення всіх необхідних аудиторських процедур і формування спільної думки про надійність СВК досліджуваного бізнес-процесу на основі отриманих аудиторських доказів аудитор приступає до узагальнення отриманих результатів і формування «Аудиторського звіту».
2.3. Формування результатів аудиту
Думка СВА про надійність діючої СВК досліджуваного бізнес-процесу, виражене в письмовій формі, видається аудитором в «Аудиторському звіті».
Для формування об'єктивного остаточної думки про діючу СВК процесу і зниження ризику помилок аудитора при проведенні перевірки рекомендується попередньо формувати «Проект аудиторського звіту». Даний документ використовується як попередній чорновий варіант «Аудиторського звіту», який надається на узгодження власнику і учасникам аудируемого бізнес-процесу, які:
- в разі наявності аргументованих документально підтверджених заперечень і зауважень надають в СВА «Протокол розбіжностей за результатами аудиту»;
- в разі згоди з викладеними аудитором інформацією і висновками надають в СВА «План коригувальних заходів за результатами аудиту», який повинен передбачати опис заходів, відповідальних, терміни виконання.
«Кращою практикою» при узгодженні матеріалів аудиту є процедура проведення завершального наради між аудиторами та представниками аудируемого особи з уточнення остаточних думок і позицій сторін по предмету перевірки.
Стандартна форма «Аудиторського звіту» законодавчо не визначена. Тому даний робочий документ СВА формується аудитором за формою, розробленою безпосередньо в самій компанії, але повинен відповідати вимогам об'єктивності, ясності, лаконічності, конструктивності та своєчасності.
Слід зазначити, що позитивно зарекомендувало себе на практиці виділення в «Аудиторському звіті» окремих тематичних блоків - вступної та описової частин.
У вступній частині «Аудиторського звіту» аудитор представляє загальну інформацію про перевірку, як то:
- мета, об'єкт і предмет перевірки;
- склад аудиторської групи, строки проведення перевірки.
Описова частина «Аудиторського звіту» є найбільш об'ємним і інформативним блоком, що містить всі результати аудиту.
Для залучення уваги вищого керівництва компанії до найбільш важливих аспектів, виявлених при аудиті, а також для спрощення процесу формування звітності СВА про діяльність служби рекомендується відокремити:
- найбільш істотні висновки про недоліки організації аналізованого бізнес-процесу і системи внутрішнього контролю;
- рекомендації аудитора щодо усунення причин і зниження наслідків найбільш високих ризиків, властивих даному процесу і роблять негативний вплив на досягнення цілей компанії.
Для зручності сприйняття зацікавленими користувачами результатів аудиту доцільно дотримуватися такої схеми подання інформації:
- опис предмета перевірки (подпроцесса);
- опис та оцінка ризиків, властивих даному підпроцесу;
- опис і оцінка фактично використовуваного впливу на ризики;
- результати фактично використовуваного впливу на ризик (за результатами аудиторського тестування);
- опис причин, що зумовили реалізацію ризиків;
- опис та оцінка наслідків від реалізації ризиків;
- рекомендації аудитора з управління даними ризиками за рахунок побудови та оптимізації СВК даного подпроцесса.
Необхідно відзначити, що якщо в ході узгодження «Проекту аудиторського звіту» досягти єдиної думки з аудіруемим не вдалося, в остаточному «Аудиторському звіті» слід також вказати думка аудируемого з поясненням, чому його заперечення не були прийняті аудитором.
При формуванні «досьє аудиту» 6 необхідно до «Аудиторського звіту» докладати «Протокол розбіжностей за результатами аудиту» і «План коригувальних заходів за результатами аудиту».
Порядок підписання «Проекту аудиторського звіту» і «Аудиторського звіту» та доведення даних документів до зацікавлених користувачів повинен бути регламентований в ВНД, що регулюють організацію функції внутрішнього аудиту в компанії. Як правило, дані робочі документи по перевірці авторизуйтесь керівником СВА, який і приймає рішення про направлення цих документів зацікавленим користувачам.
Зазвичай остаточна версія «Аудиторського звіту» надається:
- замовнику аудиту - особі, який ініціював цю перевірку;
- власнику аудируемого бізнес-процесу;
- іншим зацікавленим користувачам на розсуд керівника СВА компанії.
Слід зазначити, що напрямок СВА остаточної редакції «Аудиторського звіту» зацікавленим користувачем є лише проміжним етапом проведення аудиторської перевірки ефективності СВК бізнес-процесів. Тільки подальша спільна робота СВА і менеджменту компанії може забезпечити належне формування і впровадження надійної СВК бізнес-процесів, що забезпечує розумну впевненість в досягненні стратегічних цілей компанії та її акціонерів.
2.4. Робота СВА з матеріалами аудиту після затвердження остаточної редакції «Аудиторського звіту»
Роботу СВА з матеріалами аудиту після затвердження і доведення остаточної редакції «Аудиторського звіту» зацікавленим користувачам можна розділити на два типи:
- робота СВА з менеджментом компанії з побудови та оптимізації СВК бізнес-процесів;
- робота СВА з матеріалами аудиту для задоволення власних потреб служби.
Робота СВА з менеджментом компанії з побудови та оптимізації СВК бізнес-процесів
Основний напрямок спільної роботи СВА з менеджментом компанії з побудови та оптимізації СВК бізнес-процесів пов'язано з контролем виконання плану коригувальних заходів, необхідність яких була виявлена за результатами аудиту. Контроль може здійснюватися за допомогою:
- аналізу звітів аудируемого об'єкта про виконання запланованих коригувальних заходів;
- проведення перевірок об'єкта.
За результатами здійснення контрольних дій СВА формує «Звіт про виконання коригувальних заходів» по конкретній перевірці із зазначенням виконання заходів, їх достатності, своєчасності та ефективності, який доводиться до тих же осіб, кому прямував раніше сам «Аудиторський звіт».
Інший напрямок спільної роботи СВА з менеджментом компанії пов'язане з наданням консалтингової підтримки менеджменту. Як уже було відзначено вище, відповідальним за формування надійної СВК і підтримання належного її функціонування, згідно як російським, так і зарубіжним принципам корпоративного управління, є вище керівництво компанії. Проте, як показує практика, менеджменту компаній зазвичай потрібні додаткові спеціальні знання і допомогу в таких областях управління, як внутрішній контроль і управління ризиками. У зв'язку з цим СВА може залучатися в якості консультанта з питань тестування вводяться процедур внутрішнього контролю, оцінки дизайну контролю, перевірки виконання процедур внутрішнього контролю, а також забезпечити методологічну підтримку при організації процесів внутрішнього контролю та управління ризиками.
Робота СВА з матеріалами аудиту для задоволення власних потреб служби
Інформація, отримана в ході проведення аудиторської перевірки і подальшого контролю виконання коригувальних заходів за результатами аудиту, є основою для вирішення завдань, поставлених безпосередньо перед самою СВА, як то:
- своєчасне формування і надання звітності про результати аудиторської діяльності, істотні ризики, проблеми контролю та корпоративного управління в компанії особі (особам), якому підзвітна СВА в компанії відповідно до ВНД по організації внутрішнього аудиту (як правило, Комітет з аудиту при Раді директорів, Генеральний директор і ін.);
- планування подальшої діяльності СВА.
Підводячи підсумки, можна констатувати наступне.
Побудова надійної СВК, що сприяє підвищенню ефективності бізнесу і захисту інтересів акціонерів, є зоною відповідальності менеджменту компанії. Але навіть добре вибудувана і організована СВК потребує оцінки своєї ефективності як з точки зору досягнення поставлених цілей, так і з точки зору економічності. Найбільш незалежно і професійно оцінити надійність і ефективність існуючої СВК бізнес-процесів компанії, а так само запропонувати рекомендації щодо її удосконалення може СВА.
Представлена в статті методика проведення внутрішніх аудиторських перевірок, по суті, є посібником з побудови процесу оцінки СВК. При цьому для організації ефективного практичного застосування даної методики потрібно легалізація у внутрішніх регламентуючих документах компанії як порядку і інструментів проведення перевірки, так і схеми взаємин СВА і аудируемой підприємствами / підрозділами.
- В ході написання статті були проаналізовані положення Internal control Guidance for Directors on the Combined Code (The Institute of Chartered Accountants, in England & Wales); Кодексу корпоративного поведінки ФКЦБ, Посібники з корпоративного управління МФК, Міжнародних професійних стандартів внутрішнього аудиту, кодексів корпоративного управління різних компаній.
- Наприклад, в ВАТ «УМЗ» - підприємстві, що входить до складу ВАТ «Концерн ППО« Алмаз-Антей », найбільшого військово-орієнтованого підприємства РФ; ВАТ «Полаір» - найбільшому в Росії і Європі підприємстві-виробнику торгового холодильного обладнання і ін.
- Перелік уповноважених осіб, за рішенням яких СВА проводить аудиторські перевірки, як правило, закріплений в «Положенні про СВА компанії» і залежить від рівня підпорядкованості СВА (в основному це Комітет з аудиту при Раді Директорів, Ревізійна комісія, Генеральний директор або Фінансовий директор компанії) .
- Оцінка ризиків визначається як добуток коефіцієнтів ймовірності реалізації ризику і значущості наслідків від його реалізації.
- Аналіз ефективності контрольної процедури проводиться на предмет забезпечення розумної гарантії досягнення відповідних цілей досліджуваного бізнес-процесу.
- Досьє аудиту - повний пакет робочих документів, аудиторських доказів та ін. Документації аудитора по конкретної внутрішньої аудиторської перевірки.
Додаток 1.
Оцінка дизайну контролю бізнес-процесу «Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва»
СВА ВАТ "Найменування компанії"
Назва аудитуАудит закупівель ТМЦ для основного виробництваКод бізнес-процесуОП-3
(з затвердженого в компанії класифікатора бізнес-процесів) № аудиту 2006/01
№
Бізнес-мета подпроцесса або операції
№
Ризик, що перешкоджає досягненню мети
Мета контролю даного ризику
тест 1 1
Контрольна процедура (з ВНД)
тест 2
Контрольна процедура (факт)
тест 3
тест 4
тест 5
оцінка СВК
1
2
3
4
5
6
7
8
9
10
11
12
13
1
Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва.
1.1
Потенційний постачальник не знає про те, що компанія має потребу в постачанні ТМЦ, за наявними документами. Переконатися в тому, що інформація про закуповуваних ресурсах (їх кількості, номенклатурі, терміни поставки та ін.) Відома максимально широкому колу постачальників.
немає
Процедура оповіщення потенційних постачальників про потреби компанії в ТМЦ для основного виробництва не формалізована в чинному Регламенті «Вибір постачальника продукції і послуг виробничого призначення».
да
Спеціаліст із закупівель відправляє заявки (оферти) всім потенційним постачальникам необхідних ТМЦ з бази даних, відзначаючи в електронному документі номер відправленої заявки кожному постачальнику.
немає
немає
немає
Ненадійна 1.2 Розглянуті не підсумки комерційні пропозиції потенційних постачальників. Переконатися в тому, що всі відповіді постачальників прийняті до розгляду
да
Спеціаліст із закупівель в термін закінчення прийому відповідей проводить звірку прийнятих оферт зі списком спрямованих (п.2.1 Регламенту «Вибір постачальника продукції і послуг виробничого призначення»)
да
Спеціаліст із закупівель в термін закінчення прийому відповідей проводить звірку прийнятих оферт зі списком спрямованих.
да
да
да
Надійна 1.3 У зведену таблицю оцінки постачальників внесено не повна або перекручена інформація про потенційних постачальників необхідних ТМЦ. Переконатися в тому, що отримано достатньої інформації про постачальника та умов роботи з ним.
немає
Процедура акумулювання достовірної інформації про потенційних постачальників ТМЦ для основного виробництва не формалізована в чинному Регламенті «Вибір постачальника продукції і послуг виробничого призначення».
немає
Фактично управління даним ризиком відсутня.
немає
немає
немає
ненадійна
- Тест 1 - переконатися в тому, що в ВНД передбачена контрольна процедура, за допомогою якої ризик управляється і мета контролю даного ризику буде досягнута.
Тест 2 - переконатися в тому, що фактично існує контрольна процедура, за допомогою якої ризик управляється і мета контролю даного ризику буде досягнута.
Тест 3 - переконатися в тому, що контрольні процедури з ВНД і фактично виконується ідентичні.
Тест 4 - переконатися в тому, що регламентована контрольна процедура забезпечує розумну гарантію досягнення відповідної бізнес-мети.
Тест 5 - переконатися в тому, що фактично виконується контрольна процедура забезпечує розумну гарантію досягнення відповідної бізнес-мети (тест за наслідками).