Настольная книга по внутреннему аудиту. Риски и бизнес-процессы

Крышкин Олег

Бухгалтерский подход к аудиту. Типичным примером данного подхода является деятельность внешних аудиторов. Как известно, их основной задачей является аудит финансовой отчетности для подтверждения ее достоверности. Внешние аудиторы не документируют бизнес-процессы, не оценивают адекватность и эффективность внутренних контрольных процедур. Поле их деятельности весьма ограниченно. Многие внутренние аудиторы были в прошлом внешними аудиторами, однако нередко данное обстоятельство является скорее недостатком, а не достоинством. Многие внутренние аудиторы после ухода из сферы внешнего аудита продолжают использовать тот же подход в работе. Это приводит к тому, что ряд ПВА во многом дублируют работу внешних аудиторов, занимаясь аудитом достоверности финансовой отчетности и оценкой правильности расчета налоговых отчислений. На мой взгляд, эти задачи по силам самой дирекции по экономике и финансам. Все, что нужно, – это создать методологический отдел по бухгалтерскому и налоговому учету, а также проводить регулярное обучение сотрудников по данной тематике. Услугами внешних аудиторов необходимо пользоваться для оценки, в том числе, эффективности деятельности методологического отдела и эффективности программ обучения.

Комплаенс-подход к аудиту. Суть данного подхода заключается в оценке полноты и правильности соблюдения разного рода внешних и внутренних правил. Внешние правила определяются законами, постановлениями, приказами, предписаниями

и прочими в основном письменными директивами государственных и негосударственных регулирующих органов. Внутренние – корпоративными и локальными регламентами и стандартами, внутренней организационно-распорядительной документацией (приказы, распоряжения и прочее). Условно комплаенс-подход можно разделить на поверхностный и углубленный. При поверхностном подходе фиксируется только факт нарушения без оценки его последствий. Рекомендации по исправлению нарушения довольно прямолинейны, так как в основном рекомендуется соблюдать нарушенные правила. При углубленном подходе могут оцениваться последствия нарушения, а также предлагаться варианты исправления ситуации, включающие внесение изменений в сами правила (например, в случае их устаревания). Однако использование углубленного подхода требует довольно высокой квалификации команды внутренних аудиторов, наличия интегрированных знаний. По этой причине чаще встречается поверхностный подход, что в большинстве случаев создает минимальную добавленную стоимость для компании. Исключением являются две ситуации, когда нарушение грозит очевидными серьезными последствиями, например отсутствие лицензии, влекущее приостановку деятельности (внешние правила), и когда регламенты и стандарты компании оптимальны (внутренние правила). Однако в отношении первой ситуации все равно необходима оценка последствий, а это под силу не каждому комплаенс-аудитору и не в каждом случае. Что касается второй ситуации, то есть один нюанс. Большинство регламентов подобны автомобилям – как новый автомобиль теряет определенную стоимость сразу после схода с конвейера (и теряет ее на протяжении всей своей жизни), так и новый регламент теряет часть своей актуальности сразу после выпуска (и продолжает терять ее в дальнейшем). Этот процесс ускоряется, если компания находится в стадии активных перемен и/или развития. Таким образом, возвращаясь к оценке полезности поверхностного подхода, можно сделать следующий вывод: полезность является во многом случайной величиной, поэтому здесь нужно брать количеством проанализированного материала. Многое зависит от позитивного внимания менеджмента к работе команды внутренних аудиторов (необходимость в дополнительной оценке полезности, просеивании информации). Если менеджмент будет штудировать результаты работы команды внутренних аудиторов, то он найдет полезное для себя. В этой ситуации для команды внутренних аудиторов на первое место выходит способность обеспечить достаточно большой охват анализируемого материала и доступность результатов своей работы для восприятия и понимания.

Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.

Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, риск-ориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания риск-образующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, риск-ориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода. Более подробно нюансы риск-ориентированного подхода к аудиту представлены в следующей главе.

Мы рассмотрели влияние трех ключевых факторов – линий подчинения, локализации функции и подхода к аудиту – на место внутреннего аудита в управленческой иерархии предприятия. Вариации сочетаний данных факторов могут открывать перед командой внутренних аудиторов различные возможности по влиянию на процветание своей компании. Например, чем существеннее административная поддержка, чем более разветвленной является организационная структура ПВА и чем разнообразнее тематика работы, тем больше возможности ПВА по позитивному воздействию на реализацию целей компании. Однако расширение таких возможностей не может длительное время происходить в отрыве от качественных характеристик команды внутренних аудиторов. Здесь возможны два основных сценария развития событий. В первом случае ПВА изначально получает все требуемые ресурсы и карт-бланш от руководства. Однако этим еще нужно уметь воспользоваться. Попросту говоря, если ПВА не продемонстрирует адекватных результатов работы, его ресурсы и возможности могут быть существенно

урезаны. Вернуть их будет непросто. Во втором случае ПВА сначала доказывает свою состоятельность и только потом получает доступ к ресурсам и поддержку руководства. Однако процесс расширения ПВА и расширения его сферы деятельности может протекать непросто и болезненно. Более детально эта ситуация рассмотрена в главе 5. В обоих сценариях есть свои плюсы и минусы. Тем не менее, если команда внутренних аудиторов высокопрофессиональна, для нее предпочтительнее первый сценарий – аудиторы, имеющие высокую квалификацию, должны найти способ достойно воспользоваться предоставленными возможностями.

Регламентация деятельности функции внутреннего аудита

Деятельность функции внутреннего аудита должна определенным образом регламентироваться [2] . Следует заметить, что слово «регламент» многие понимают как письменный свод неких правил и установок, регулирующих деятельность. Однако это заблуждение, ибо лексическое значение данного слова не уточняет способ представления.

Сложно представить успешное ПВА, большая часть процессов которого осуществлялась бы произвольно [3] . В практике чаще всего встречаются три вида регламентов:

2

Помимо Международных профессиональных стандартов внутреннего аудита (для сертифицированных внутренних аудиторов).

3

Забавно, что многие аудиторы осознают необходимость регламентации своей деятельности и стремятся ее обеспечить, а вот представители других процессов могут часами с пеной у рта уверять, что их деятельность предельно творческая и какая-либо регламентация губительна для дела и невозможна. Наличие такой установки – не банальное заблуждение, а, я бы сказал, целенаправленное вредительство. Регламентация является ключевым элементом обеспечения исполнительской дисциплины, поэтому любой процесс должен быть в той или иной степени регламентирован.

• устав (положение о) подразделения внутреннего аудита;

• регламент взаимодействия с другими подразделениями;

• руководство по осуществлению проектов внутреннего аудита.

Устав (положение о) подразделения внутреннего аудита. Устав, по определению, представляет собой основополагающий документ для функции внутреннего аудита. Согласно Международным профессиональным стандартам внутреннего аудита положение о подразделении внутреннего аудита «…является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В положении о внутреннем аудите определяются статус внутреннего аудита в организации, включая характер функциональной подотчетности руководителя внутреннего аудита совету; объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий». Мне всегда нравилась основная идея данного документа – снять раз и навсегда глобальные вопросы в отношении функции внутреннего аудита в компании (что должна делать, на что имеет право). Однако в российской реальности применение подобного положения имеет особенности. Во-первых, применять его в полной мере можно только в пределах того юридического лица, в котором оно было принято. Формально, если объект аудита не является с юридической точки зрения частью упомянутого юридического лица, то и следовать установкам положения о подразделении внутреннего аудита он не обязан. Во-вторых, положение во многих случаях содержит довольно общие формулировки, которые легко могут быть интерпретированы по-разному. В-третьих, подобные положения часто имеют ограниченную юридическую силу или не имеют ее вовсе, что затрудняет их использование. В основном это обусловлено несоблюдением норм российского законодательства, регулирующих деятельность акционерных обществ и обществ с ограниченной ответственностью. Например, в положении указывается, что ПВА подчиняется аудиторскому комитету. Однако такой комитет еще не создан, так как совет директоров либо еще не рассмотрел данный вопрос, либо не обладает полномочиями создавать подобные комитеты, либо не уполномочен утверждать никакие внутренние регламентирующие документы компании. Также не стоит забывать, что сам аудиторский комитет является в определенном смысле аморфной структурой – с точки зрения российского законодательства такой структуры вообще не существует, и, даже если такой комитет создается, он не имеет права самостоятельно принимать никаких решений, а должен транслировать информацию и свои оценки совету директоров. Это снижает эффективность работы аудиторских комитетов хотя бы потому, что окончательное мнение всегда за советом директоров.

Регламент взаимодействия с другими подразделениями. В данном регламенте можно прописать различные нюансы действий объекта аудита в ответ на действия ПВА. Например, можно определить следующие моменты:

• обязанности объекта аудита по обеспечению команды внутренних аудиторов рабочими местами установленного формата;

• обязанности объекта аудита по предоставлению информации в ответ на запрос ПВА в течение установленного времени;

• обязанность ПВА направлять запрос в соответствие с прописанной процедурой;

• обязанность ПВА предоставлять результаты проектов внутреннего аудита на рассмотрение руководства объектов аудита до их передачи другим адресатам;

• обязанность объекта аудита формировать план исправительных мероприятий по завершении проекта внутреннего аудита и согласовывать его с ПВА;

• обязанность объекта аудита обеспечить присутствие сотрудников, присутствие которых считается обязательным, по мнению ПВА.

В целом основной целью такого регламента является регулирование ключевых точечных организационных моментов, связанных с осуществлением основной функции внутреннего аудита. Разумеется, в условиях российской реальности наличие регламента не гарантирует его исполнения. Однако в одних случаях регламент может служить просто памяткой для сотрудников объекта аудита, а в других – действенным механизмом повышения эффективности работы ПВА (при условии, что регламент утвержден отдельным организационно-распорядительным документом, подписанным как минимум руководителем организации).

Руководство по осуществлению проектов внутреннего аудита (audit manual). В отличие от предыдущих двух документов данное руководство является исключительно внутренним регламентом. Основная его цель – регламентировать порядок осуществления подпроцессов и процедур в рамках процесса внутреннего аудита, а также во многих случаях методологию их осуществления. Другими словами, данный документ описывает, что и как делать до, во время и после выполнения проекта внутреннего аудита. Он формируется на усмотрение руководителя ПВА. Руководство частично решает задачу профессионального инструктажа, а также способствует унификации деятельности ПВА. Для относительно небольших по численности ПВА, в состав которых входят внутренние аудиторы высокой квалификации, составление руководства не имеет особого смысла. Однако крупным аудиторским подразделениям, особенно где высока текучесть кадров и работают аудиторы с разными уровнями подготовки, руководство может быть очень полезно. Разумеется, все зависит от качества подготовки документа. На подготовку более-менее вменяемого руководства для крупного правильного аудиторского подразделения (практикующего риск-ориентированный подход к аудиту) с нуля требуется не менее шести месяцев работы одного хорошего методолога.