аудит. Современные системы внутреннего контроля
Скачать 4.06 Mb.
|
Тема 5. Организация службы внутреннего аудита План семинара 5.1. Требования к системам внутреннего контроля и аудита 5.2. Принципы внутреннего аудита 5.3. Формы организации службы внутреннего аудита 5.4. Этапы создания службы внутреннего аудита в организации 5.5. Международные профессиональные стандарты внутреннего аудита. 5.6. Нормативное регулирование внутреннего аудита 5.7. Кадровое обеспечение службы внутреннего аудита 5.8. Положение о структурном подразделении внутреннего аудита 5.9. Должностные инструкции работников службы внутреннего аудита 5.10. Взаимосвязь внутреннего аудита с другими службами и подразделениями организации 5.1. Требования к системам внутреннего контроля и аудита В компаниях, наряду с внутренним аудитом, могут работать различные контролирующие подразделения, основной задачей которых является осу- ществление тех или иных видов контроля, в тех или иных областях, на тех или иных уровнях иерархии управления: ревизионная комиссия, департамент управления рисками, контрольно-ревизионная служба, служба безопасности и др. И конкуренция в сфере осуществления контрольных функций в компании может быть высока. Множественность контролирующих подразделений, сформированных по принципу «чтобы контроль был надежным, контролеров должно быть много и разных», приводит к неэффективности использования ресурсов компании. Про- сто потому, что вроде бы разноориентированные контролирующие подразделе- ния начинают в значительной степени дублировать работу друг друга. В то же время некоторые важные области/вопросы остаются вовсе не охваченными («у семи нянек дитя без глазу»). 123 Кроме того, существует риск возникновения нездоровой конкуренции между контролирующими подразделениями (кто раскроет больше «темных дел» и быстрее доведет «интересную» информацию до сведения высшего руко- водства). Не стоит забывать, что в работе контролирующих подразделений дух сотрудничества приносит больше плодов, чем дух конкуренции. Высшее руководство компании должно принять решение, какая структу- ра органов контроля является для компании оптимальной. Поэтому для внут- реннего аудита является архиважным, чтобы заказчики понимали, в чем заклю- чаются принципиальные отличия внутреннего аудита от других контролиру- ющих подразделений компании и что делает внутренний аудит незаменимым помощником в вопросах управления рисками и осуществления внутреннего контроля. Популярная в последнее время концепция «трех линий обороны» помога- ет ответить на этот вопрос (рисунок 5.1). Рисунок 5.1 – «Три линии обороны» компании Менеджмент компании (1-я линия обороны) несет ответственность перед советом директоров за выстраивание систем и процессов в компании, в том числе системы управления рисками и системы внутреннего контроля, и обеспе- чение их эффективного функционирования. В этих вопросах менеджмент опи- рается на специально созданные контролирующие подразделения, основной 124 функцией которых является осуществление соответствующих контрольных действий в тех или иных областях (2-я линия обороны). И, наконец, 3-я линия обороны - внутренний аудит, проводя независимые проверки «на прочность», позволяет как менеджменту, так и совету директоров быть уверенными в том, что системы управления рисками и внутреннего контроля (ответственность 1-й и 2-й линий обороны) являются надежными и эффективными. Отметим, что на практике весьма часто границы между второй и третьей линиями обороны бывают не такими четкими и внутренний аудит действует в качестве составляющей второй линии обороны. Как бы ни назывались линии обороны, для высшего руководства компа- нии важно, чтобы в компании была выстроена эффективная система управле- ния и контроля, компания достигала поставленных целей наиболее эф- фективным образом, своевременно выявляла риски и предпринимала соответ- ствующие действия. Именно такую уверенность и может дать высшему руко- водству внутренний аудит. Внутренний аудит, проводя независимую оценку систем и процессов в компании, является инструментом «обратной связи», который позволяет как менеджменту, так и совету директоров быть уверенными в том, что проблем- ные вопросы своевременно выявляются и эффективно решаются. При этом внутренний аудит не только выявляет факты, например, убыточность и величи- ну потерь компании от конкретного инвестиционного проекта после его реали- зации, а показывает системные проблемы, например, на стадии проведения ин- вестиционного анализа и принятия инвестиционного решения или же систем- ные недостатки в управлении проектом на стадии его реализации. Это позволя- ет компании избежать неэффективности и возможных потерь в будущих инве- стиционных проектах. Конечно, при этом внутренние аудиторы должны фоку- сироваться на наиболее значимых с точки зрения рисков вопросах деятельности компании. Но внутренний аудит не останавливается на анализе текущего положения вещей и выявлении слабых мест и недостатков. Внутренний аудит также пред- лагает решения, направленные на улучшения систем и процессов. Более того, задача внутреннего аудита - удостовериться в том, что компания пред- принимает необходимые действия по внесению соответствующих изменений в системы и процессы 23 23 Сонин А.М. Внутренний аудит: правило трех «В» // Акционерное общество: вопросы кор- поративного управления. - 2014. - № 2. 125 Рассмотрим, в первую очередь, основные требования к подразделению внутреннего контроля. 1) Подконтрольность каждого субъекта внутреннего контроля, рабо- тающего в организации. В должностных инструкциях необходимо предусмат- ривать, чтобы качество выполнения контрольных функций каждого субъекта могло быть проверено другим субъектом внутреннего контроля (без какого бы то ни было дублирования). В надлежащем исполнении контрольных функций ряда субъектов внутреннего контроля (председатель правления, президент, ви- це - президент, главный исполнительный директор, неисполнительный дирек- тор, главный аудитор, главный контролер, председатель ревизионной комис- сии) заинтересованы прежде всего владельцы организации. Поэтому деятель- ность таких субъектов должна контролироваться собственниками организации посредством услуг независимых экспертов различного профиля, в том числе внешних аудиторов. 2) Ущемление интересов. Необходимо создавать специальные условия, при которых те или иные отклонения ставят какого-либо работника (подразде- ление) организации в невыгодное положение и побуждают их к регулированию «узких мест». 3) Недопущение концентрации прав первичного контроля в руках од- ного лица. Сосредоточение первичного контроля в одних руках может приве- сти к злоупотреблениям. 4) Заинтересованность администрации. Функционирование системы внутреннего контроля не может быть эффективным без честности, должной за- интересованности и участия должностных лиц управления. 5) Компетентность, добросовестность и честность субъектов внут- реннего контроля. Если персонал организации, в служебные функции которо- го входит осуществление контроля, не обладает этими характеристиками, то даже идеально организованная система внутреннего контроля не сможет быть эффективной. 6) Приемлемость (пригодность) методологии внутреннего контроля. Ставящиеся перед центрами ответственности контрольные цели и задачи долж- ны быть рациональными. Распределение контрольных функций, программы внутреннего контроля и применяемые методы должны быть целесообразными. 7) Приоритетность. Абсолютный контроль над обычными незначи- тельными операциями (например, мелкими расходами) не имеет смысла и толь- ко отвлекает силы от более важных задач. В областях же, имеющих стратегиче- 126 ское значение, должен быть налажен контроль, даже если эта область с трудом поддается измерению по принципу «затраты – эффект». Отдельной контрольной функцией главного бухгалтера является кон- троль осуществляемых хозяйственных операций на предмет их соответствия законодательству Российской Федерации. Он же должен нести ответствен- ность за недоведение до руководства информации о нарушениях. Контрольная функция внутреннего аудитора в этом случае - осуществление проверки на предмет качества исполнения бухгалтером своей контрольной функции. Ауди- тор оценивает и законность отраженных операций, но ответственность он должен нести за необнаружение нарушений в бухгалтерском учете. Данное требование не распространяется на ситуации, когда во избежание ошибок или / и злоупотреблений отдельных должностных лиц (центров ответственности) принимается коллегиальное решение (например, по сбытовой политике). 8) Оптимальная централизация (или адекватность оргструктуры). Ди- намичность, устойчивость, непрерывность функционирования системы внут- реннего контроля обусловливаются единством и оптимальным уровнем центра- лизации оргструктуры организации. Оргструктура должна соответствовать раз- мерам и степени сложности организации. Конечно, у каждого типа оргструктур есть свои недостатки, например медленное движение информации и принятие решений в линейно - функциональной структуре или несовпадение интересов «верхов» и «низов» в многоуровневой иерархии дивизиональной структуры. Необходимо оценивать сильные и слабые стороны каждого варианта. 9) Единичная ответственность. Каждая контрольная функция должна быть закреплена только за одним центром ответственности. Во избежание без- ответственности не следует закреплять отдельную функцию за двумя или не- сколькими центрами ответственности. Но закрепление нескольких контроль- ных функций за одним центром ответственности вполне допустимо. 10) Потенциальное функциональное замещение. Временное выбытие отдельных субъектов внутреннего контроля не должно прерывать контрольные процедуры. Для этого каждый работник (субъект внутреннего контроля) дол- жен уметь выполнять контрольную работу вышестоящего, нижестоящего и од- ного - двух работников своего уровня во избежание потери адекватной связи с объектом контроля за время их выбытия. Данный принцип распространяется и на центры ответственности. 127 11) Регламентация. Эффективность функционирования системы внут- реннего контроля прямо связана с тем, насколько подчинена регламенту кон- трольная деятельность в организации. Конечно, все предусмотреть невозможно, тем более что часто приходится принимать решения в условиях неопределен- ности. Но там, где это возможно, необходимо формально установить правила, регулирующие порядок деятельности. 12) Взаимодействие и координация. Контроль должен осуществляться на основе четкого взаимодействия всех подразделений и служб организации. 13) Предотвращение несанкционированного доступа к активам и файлам. Необходимы следующие меры, препятствующие несанкционирован- ному доступу, в том числе контроль: - за несанкционированным проникновением в помещения (охрана, про- пускной режим, сигнализация, технические средства наблюдения и т.п.); - за несанкционированным доступом к компьютерной и некомпьютерной информационной базе (система компьютерных паролей, инициирование изме- нений в файлах, сейфах), мероприятия по блокированию несанкционированно- го получения информации с помощью технических средств (защита от наблю- дения и фотографирования, от подслушивания, от перехвата и т.д.); - за допуском сотрудников к ознакомлению и работе с документами и бездокументарными носителями информации конфиденциального характера с целью исключения возможности ознакомления со сведениями, не относящими- ся к выполняемой ими работе, и разглашения коммерческой тайны организа- ции. Такая система должна включать: схему выдачи разрешений на доступ со- трудников к сведениям, составляющим коммерческую тайну; оформление обя- зательств о неразглашении сведений, составляющих коммерческую тайну; формальное установление порядка работы с документами с грифом "КТ" (ком- мерческая тайна); контроль и ведение досье на сотрудников, допущенных к ра- боте с документами и материалами, составляющими коммерческую тайну; учет и анализ нарушений режима работы с документами, содержащими коммерче- скую тайну, а также различного рода попыток несанкционированного доступа к конфиденциальным документам традиционного и автоматизированного испол- нения (базы данных и др.). 14) Безопасность активов и файлов. На случай стихийных бедствий следует хранить копии важных документов в несгораемых сейфах и в других помещениях, иметь огнетушители, инструкции, определяющие порядок дей- ствий. На случай перебоев в электроснабжении, умышленных повреждений, 128 выхода из строя аппаратных средств и программного обеспечения следует хра- нить копии банка данных и важных файлов на магнитных носителях, преду- смотреть дублируемое питание, резервное оборудование. 15) Регламентация деятельности на основе специальных схем после- довательности операций. Такие схемы должны содержать необходимую ин- формацию о разделении обязанностей, санкционировании операций, процеду- рах контроля, а также правила, определяющие порядок какой-либо деятельно- сти. Информация в схемах должна быть представлена в легкой для понимания, наглядной форме. Очевидно, что эти схемы необходимо своевременно доводить до сотрудников. 16) Внедрение новых информационных технологий в учетную и кон- трольную деятельность. Крупным организациям корпоративного типа (т.е. с множеством относительно самостоятельных подразделений), имеющим доста- точно устойчивую организационную и финансовую структуру, с резервами ро- ста, налаженными процессами снабжения и сбыта, целесообразно поэтапно пе- реходить на новые качественные программные технологии, в том числе пол- нофункциональные, реализованные на основе единого информационного про- странства. Это позволит: - устранить проблемы несогласованности загрузки мощностей и заказов клиентов; - повысить производительность контрольной деятельности работников; - обеспечить режим управления организацией в реальном масштабе вре- мени (что даст общесистемный эффект управления организацией); - обеспечить эффективное и согласованное взаимодействие между под- разделениями, исключающее дублирование информации; - исключить проникновение ошибочной информации при подготовке и вводе данных в компьютерную систему ручным способом ("узкое место" тра- диционных технологий). 17) Документальное подтверждение выполнения контрольной рабо- ты. Каждое должностное лицо, исполняющее важные контрольные функции, должно регулярно отчитываться в письменной форме и ставить подпись, под- тверждающую, что эти функции исполняются. Такие отчеты должны поступать в определенный координационный центр ответственности. Лицо, проверяющее данные отчеты, также должно ставить подпись, свидетельствующую о том, что 129 они проверены. Выполнение этого правила позволяет координировать и кон- тролировать работу звеньев системы внутреннего контроля. 18) Периодическое перераспределение обязанностей между внутрен- ними контролерами (ревизорами, внутренними аудиторами, бухгалтера- ми). Во избежание злоупотреблений и для повышения эффективности внутрен- него контроля целесообразно периодически перераспределять обязанности ра- ботников, имеющих необходимую квалификацию и допуск к определенного вида работам. В российской практике используется предметная структура организации работы бухгалтерского аппарата, при которой отдельные группы бухгалтеров выполняют комплекс работ по определенным участкам учета (материальная группа, группа учета оплаты труда, группа учета готовой продукции и ее реали- зации и др.). Здесь возможны злоупотребления, обусловленные сосредоточием бухгалтерского контроля над определенным типом хозяйственных операций в функциях одного лица или долговременным сговором лиц, ведущих учет на разных участках, а также ошибки из-за повышенной утомляемости от монотон- ной работы. Если в организации нет возможности регулярно проверять работу бухгалтеров, то подобные ошибки можно вообще не обнаружить, что чревато искажением всей отчетности. Периодическое перераспределение обязанностей бухгалтеров позволяет: - снизить риск длительных злоупотреблений; - уменьшить вероятность необнаружения ошибок благодаря взаимному контролю бухгалтерами фактического состояния учета на принимаемом (пере- даваемом) участке; - снизить вероятность ошибок и повысить производительность бухгалтер- ского труда в результате снижения утомляемости от монотонности работ на од- ном и том же участке учета; - более гибко использовать бухгалтерский персонал. Например, целесообразно ежегодно перераспределять сотрудников бух- галтерии по эквивалентным с точки зрения оплаты труда участкам учета. Квалификационный момент не должен рассматриваться как слабое звено в данной рекомендации, если принять во внимание высокий уровень современных требований к квалификации бухгалтера при приеме на работу и консультации перераспределяемым работникам со стороны внутренних аудиторов. 130 При работе на различных участках учета у бухгалтеров будет возмож- ность сохранить на должном уровне квалификацию, полученную ими до при- хода в данную организацию. Если же бухгалтеров придется дополнительно обучать для работы на новом участке, то при незначительных затратах эти ра- ботники станут взаимозаменяемыми, что позволит более гибко их использовать для учета хозяйственных операций. 19) Всесторонний контроль. Управление организацией и ее развитие при наличии необходимых для этого ресурсов невозможны без эффективного всестороннего контроля над всеми звеньями ее деятельности. При планирова- нии контрольных мероприятий необходимо всесторонне рассматривать эконо- мический, юридический, научно - технический, производственно - коммерче- ский и социальный блоки. Неправильное понимание инструкций, ошибки в суждениях, халатность персонала, рассеянность или усталость ответственных лиц, столкновения по интересам между формальными и неформальными груп- пами в коллективах, конфликты, злоупотребления, неэтичное поведение - все это должно быть объектом пристального внимания со стороны соответствую- щих менеджеров, работников отдела внутреннего аудита и отдела кадров. Нега- тивные тенденции необходимо своевременно гасить, усиливать контроль в сфе- рах деятельности «проблемных» работников (коллективов). Например, основанием для принятия решения провести внезапную (вне- плановую) проверку какого-либо из отделов бухгалтерии на предмет качества ведения учета может служить кризисное психофизическое состояние работ- ников, проявляющееся в нервных срывах, конфликтах и т.п. Как правило, боль- шинство работников в период проблем личного характера, конфликтов или бо- лезни находятся в стрессовом состоянии, что ослабляет их внимание и снижа- ет ответственность за порученную работу. В этих условиях вероятность по- явления ошибок в работе резко возрастает. 20) |