Тема 16. Використання результатів внутрішнього аудиту

Порядок та особливості використання результатів внутрішнього аудиту розглянемо за таким планом:

16.1. Узагальнення результатів внутрішнього аудиту

16.2. Організація внутрішньої аудиторської перевірки ефективності СВК бізнес-процесів компанії

16.3. Проведення аудиторських процедур

16.4. Робота СВА з матеріалами аудиту після затвердження остаточної редакції "Аудиторського звіту"

16.1. Узагальнення результатів внутрішнього аудиту

Для внутрішнього аудиту поки що не розроблені форми звітності узагальнення результатів перевірки. Не можна механічно використовувати ті форми звітності, які застосовуються у вітчизняній практиці зовнішнього аудиту, ревізії. Звіти внутрішніх аудиторів повинні складатися за формою, розробленою безпосередньо в організації. Вони мають включати:

1) перелік виявлених відхилень;

2) перелік обставин, за яких ці відхилення були виявлені;

3) оцінку виявлених відхилень з точки зору їх впливу на організацію;

4) рекомендації по можливому виправленню даних відхилень;

5) оцінку даних рекомендацій у плані їх можливого впливу на організацію;

6) конструктивні пропозиції (за їх наявності) щодо удосконалення різних аспектів функціонування організації, що мають відношення до зробленої роботи.

Пропозиції по документах, які узагальнюють результати окремих напрямків діяльності служби внутрішнього аудиту, подані у таблиці 16.1.

Підсумкові документи внутрішнього аудиту, як правило повинні мати 3 частини.

Таблиця 16.1

ДОКУМЕНТИ, ЯКІ УЗАГАЛЬНЮЮТЬ РЕЗУЛЬТАТИ ОКРЕМИХ НАПРЯМКІВ ДІЯЛЬНОСТІ СЛУЖБИ ВНУТРІШНЬОГО АУДИТУ

п.п

16.2. Організація внутрішньої аудиторської перевірки ефективності СВК бізнес-процесів компанії

Аудиторська перевірка ефективності СВК бізнес - процесів компанії це - заходи, що складаються добору, оцінки та аналізу аудиторських доказів, в рамках системи внутрішнього контролю бізнесу-процесу, що підлягає аудиту, і вираження думки аудитора про ступінь надійності СВК цього бізнес-процесу.

Типовими бізнес-процесами є: постачання, логістика, планування виробництва, управління персоналом, збут тощо.

Проведення внутрішньої аудиторської перевірки ініціюється керівником служби внутрішнього аудиту компанії згідно з затвердженим планом роботи служби або за окремим позаплановим дорученням уповноваженої особи . Перелік уповноважених осіб, за рішенням яких СВА проводить аудиторські перевірки, як правило, закріплений в "Положенні про СВА компанії" і залежить від рівня підпорядкованості СВА (в основному це комітет з аудиту при раді директорів, ревізійна комісія, генеральний директор або фінансовий директор компанії).

Процес проведення внутрішньої аудиторської перевірки СВК бізнес-процесів компанії містить у собі кілька етапів, а саме (див. рис. 16.1):

Рис. 16.1. Етапи проведення внутрішнього аудиту в компанії

Ключові етапи проведення аудиторської перевірки ефективності системи внутрішнього контролю проілюстровані на прикладі внутрішньої аудиторської перевірки бізнес-процесу: "Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва" (див. рис. 16.2).

Рис. 16.2. Схема бізнес-процесу "Пошук, оцінка та вибір постачальника ТМЦ для основного виробництва"

Планування аудиторської перевірки сприяє визначенню пріоритетних напрямків аудиту, визначенню потенційних проблем, організації роботи з оптимальними витратами, забезпеченню якості та своєчасного її виконання.

Планування дозволяє ефективно розподіляти роботу між членами аудиторської групи, що беруть участь в аудиторській перевірці, а також координувати таку роботу.

Для ефективного планування майбутньої аудиторської перевірки варто проводити попереднє обстеження аудитованого об'єкта (бізнес-процесу). Завданням такого обстеження є вивчення фактичних цілей аудитованого бізнес-процесу, його структури або змін у ньому, що відбулися з часу попередньої перевірки. Також належну увагу необхідно приділити оцінці рівня матеріальності аудитованого бізнес-процесу, що дозволить об'єктивно говорити про істотність наслідків неефективної організації служби внутрішнього контролю даного процесу для компанії в цілому.

Аудитори на етапі попереднього обстеження:

1. Проводять аналіз внутрішньої нормативної документації (далі - ВНД), що регламентує організацію аудитованого процесу:

2. Проводять ознайомлення з базами даних і програмним забезпеченням, що обслуговує розглянутий бізнес-процес

3. Аналізують результати попередніх аудиторських перевірок даного бізнес-процесу (у разі наявності)

4. Ідентифікують й інтерв'юють уповноважену особу та інших учасників процесу з питань організації процесу

5. Аналізують фактичні цілі процесу на предмет їх відповідності стратегії та принципам розвитку компанії (конкретизація, вимірність, погодженість, тимчасова обмеженість досягнення)

6. Формують фактичну схему організації розглянутого бізнес-процесу із вказівкою існуючих контрольних процедур

7. Аналізують результати оцінки ризиків, проведеної менеджментом компанії (у разі її наявності)

8. Аналізують систему оцінки й показників, використовуваних для визначення ефективності й економічності процесу.

За підсумками аналізу отриманої інформації про бізнес - процес і формування адекватного розуміння його фактичного функціонування керівник служби внутрішнього аудиту повинен прийняти рішення про подальше проведення аудиту або про відмову від проведення перевірки.

При цьому рішення про відмову від проведення перевірки в даний час і причини даного рішення повинні бути доведені до особи, що ініціювала дану перевірку.

Звичайне рішення про відмову від проведення перевірки в даний час приймається у разі, якщо:

o оцінка форми контролю і обмежене тестування на етапі проведення попереднього обстеження дають позитивний результат по питанню про надійність СВК;

o за результатами попереднього обстеження встановлено, що ризики бізнес-процесу несуттєві або сам процес нематеріальний;

o у ході проведення попереднього обстеження стало відомо, що в поточному часі істотно змінюється структура досліджуваного біз-несу-процесу.

У разі ухвалення позитивного рішення про проведення перевірки ефективності СВК бізнес-процесу в даний час за підсумками попереднього обстеження аудитор повинен точно визначити ключові аспекти (у тому числі строки і обсяги) майбутнього аудиту та проінформувати про перевірку, які проводять аудит.

Як інструмент для досягнення поставленої мети рекомендується використати робочий документ "Завдання аудиту". Аудитор повинен чітко розуміти сам і вміти пояснити мету майбутньої перевірки.

Варто визначити, що чітке визначення меж аудиту знижує ризик ненавмисного послаблення уваги аудитора в ході проведення перевірки на суміжні і найменш проблемні ділянки.

Наприклад.

Мета внутрішньої аудиторської перевірки бізнесу-процесу "Пошук, оцінка й вибір постачальника ТМЦ для основного виробництва" - це:

1. Формування висновку про надійність системи внутрішнього контролю аудованого процесу:

o оцінка форми внутрішнього контролю та виявлення істотних недоліків системи внутрішнього контролю;

o аналіз виконання контрольних процедур

2. Контроль за виконанням менеджментом компанії коригувальних заходів щодо результатів попередніх перевірок.

3. Спільна розробка з менеджментом рекомендацій щодо усунення недоліків системи внутрішнього контролю, виявлених у ході аудиту.

4. Контроль за виконанням розроблених рекомендацій.

Необхідно відзначити, що "Завдання аудиту" формується керівником групи і після узгодження із представником особи, яка проводить аудит, обов'язково затверджується керівником служби внутрішнього аудиту компанії.

Будь-які наступні коригування даного документа можливі тільки при узгодженні з керівником СВА з поясненням причин необхідності даних коригувань за умови інформування про них власника процесу.

На цьому попередній етап аудиторської перевірки завершено. Далі починається так званий етап "Робота в полі", коли аудитор для формування адекватних висновків про фактичний стан СВК одержує аудиторські докази шляхом виконання відповідних процедур (тестів).

16.3. Проведення аудиторських процедур

Проведення аудиторських процедур призначено для збору достатніх доказів з метою формулювання висновків, на яких ґрунтується думка аудиторів про ефективність СВК та її вираження в "Аудиторському звіті" і підкріплення їх відповідними робочими документами.

Однією з основних аудиторських процедур, спрямованих на одержання адекватних висновків про надійність та ефективність функціонування СВК бізнесу-процесу, є тестування фактичних процедур керування ризиками, властивих цьому бізнес - процесу.

Тестування надійності СВК спрямовано на визначення аудитором імовірності досягнення мети контрольної процедури, за допомогою якої уповноважена особа аналізованого ризику може ефективно управляти даним ризиком. При цьому мета контрольної процедури визначається аудитором або на основі аналізу ВИД по процесу, інтерв'ю із уповноваженою особою процесу, або самостійно на основі "кращих практик" організації даних процесів в аналогічних компаніях.

Як правило, тестування проводиться аудитором вибірковим методом. Обсяг вибірки повинен забезпечувати достатню впевненість аудитора в тому, що висновки, зроблені на основі аналізу вибіркових даних, будуть прийнятні для всього обсягу даних (генеральної сукупності), з якого зроблена вибірка. Обсяг вибірки може визначатися із застосуванням спеціальних формул, отриманих на основі теорії імовірності та математичної статистики, або визначатися на основі професійного судження аудитора.

При проведенні тестування аудитор має у своєму розпорядженні досить широкий спектр інструментів - процедур, виконання яких дозволить сформувати об'єктивні висновки про ефективність служби внутрішнього контролю, як: порівняння /зіставлення, аналіз даних та інше.

За результатами тестування аудитор повинен дати оцінку надійності діючої СВК бізнес-процесу, в частині керування аналізованим ризиком із вказівкою можливих наслідків від реалізації даного ризику (з урахуванням екстраполяції результатів перевірки вибіркових даних на всю генеральну сукупність). У разі потреби аудитор формує рекомендації з побудови або оптимізації діючої СВК для досягнення цілей бізнес-процесу.

Як інструмент для відображення процедури тестування СВК рекомендується використати робочий документ "Аудиторський тест".

Необхідно конкретизувати, що форма внутрішнього контролю бізнес-процесу являє собою фактичний зміст і місце розташування контрольних процедур у структурі процесу.

У ході проведення оцінки форми контролю аудитор використовує наступні прийоми, результати яких відображаються у вищевказаному робочому документі:

o формування ідеальної схеми бізнес-процесу ("як повинно бути"). Схема ідеального процесу формується таким чином, щоб гарантувати досягнення цілей даного процесу;

o порівняння фактичної схеми бізнес-процесу ("як є") з ідеальною;

o аналіз наявності і ефективності контрольних процедур, передбачених у регламентуючих і розпорядчих документах по аудитованому процесу. Аналіз ефективності контрольної процедури проводиться на предмет забезпечення розумної гарантії досягнення відповідних цілей досліджуваного бізнес-процесу;

o аналіз наявності, якості виконання і ефективності контрольних процедур фактично властивому процесу;

o порівняння змісту і якості виконання фактичних процедур контролю з вимогами ВНД по бізнес-процесу;

o оцінка ефективності процедури за допомогою статистичного аналізу подій за тривалий період (3-5 років);

o бенчмаркинг і пошук "кращої практики" для оптимізації контрольних процедур.

Крім того, оцінка форми контролю повинна проводитися з урахуванням вартості як окремої контрольної процедури, так і витрат на створення і підтримку всієї служби внутрішнього контролю. Рекомендації щодо створення і оптимізації діючої СВК повинні бути обґрунтовані з погляду вартісного аналізу "вигоди-витрати". У разі функціонування декількох контрольних процедур, спрямованих на керування одним ризиком або залежними ризиками, слід провести оцінку різних варіантів використання контрольних процедур для виключення зайвих (дублюючих) процедур.

У разі розбіжностей щодо результатів тестування зауваження надають у СВА у вигляді "Протоколу розбіжностей за результатами аудиту", а у разі згоди з викладеними аудитором інформацією і висновками надають у СВА "План коригувальних заходів щодо результатів аудиту", який повинен передбачати опис заходів, відповідальних за них, термін їхнього виконання.

"Кращою практикою" при узгодженні матеріалів аудиту є процедура проведення завершальної наради між аудиторами та представниками особи, яка проводить аудит, щодо уточнення остаточних думок і позицій сторін з предмета перевірки.

Стандартна форма "Аудиторського звіту" законодавче не визначена. Тому даний робочий документ СВА формується аудитором за формою, розробленою безпосередньо в самій компанії, але повинен відповідати вимогам об'єктивності, ясності, лаконічності, конструктивності й своєчасності.

Слід зазначити, що позитивно зарекомендувало себе на практиці виділення в "Аудиторському звіті" окремих тематичних блоків - вступної й описової частин.

У вступній частині "Аудиторського звіту" аудитор представляє загальну інформацію про перевірку, як-то:

o ціль, об'єкт і предмети перевірки;

o склад аудиторської групи, строки проведення перевірки; Описова частина "Аудиторського звіту" є найбільш об'ємним й інформативним блоком, що містить всі результати аудиту.

Для залучення уваги вищого керівництва компанії до найбільш важливих аспектів, виявлених при аудиті, а також для спрощення процесу формування звітності СВА про діяльність служби рекомендується відокремити:

o найбільш істотні висновки про недоліки організації аналізованого бізнес-процесу й системи внутрішнього контролю;

o рекомендації аудитора щодо усунення причин і зниження наслідків найбільш високих ризиків, властивих даному процесу, і негативному впливу на досягнення цілей компанії.

Для зручності сприйняття зацікавленими користувачами результатів аудиту доцільно дотримуватися такої схеми подання інформації:

o опис предмета перевірки;

o опис і оцінка ризиків, властивих даному процесу; o

o опис і оцінка фактично використовуваного впливу на ризики;

o результати фактично використовуваного впливу на ризик (за результатами аудиторського тестування);

o опис причин, що обумовили реалізацію ризиків;

o опис й оцінка наслідків від реалізації ризиків;

o рекомендації аудитора щодо керування даними ризиками за рахунок побудови й оптимізації СВК даного процесу.

Необхідно відзначити, що якщо в ході узгодження "Проекту аудиторського звіту" досягти єдиної думки з аудитуючим не вдалося, в остаточному "Аудиторському звіті" варто також указати думку аудитуючого з поясненням, чому його заперечення не були прийняті аудитором.

При формуванні "досьє аудита" необхідно до "Аудиторського звіту" додавати "Протокол розбіжностей за результатами аудиту" і "План коригувальних заходів щодо результатів аудиту".

Порядок підписання "Проекту аудиторського звіту" і "Аудиторського звіту" та доведення даних документів до заінтересованих користувачів повинен бути регламентований документами, що регулюють організацію функції внутрішнього аудиту в компанії. Як правило, дані документи по перевірці авторизуються керівником СВА, що ухвалює рішення щодо направлення даних документів заінтересованим користувачам.

Звичайно остаточна версія "Аудиторського звіту" надається:

o замовникові аудиту - особі, що ініціювала дану перевірку;

o власникові аудитованого бізнес-процесу;

o іншим заінтересованим користувачам на розсуд керівника СВА компанії.

Слід зазначити, що направлення СВА остаточної редакції "Аудиторського звіту" заінтересованим користувачам є лише проміжним етапом проведення аудиторської перевірки ефективності СВК бізнес-процесів. Тільки наступна спільна робота СВА і менеджменту компанії може забезпечити належне формування й впровадження надійної СВК бізнес-процесів, що забезпечує розумну впевненість у досягненні стратегічних цілей компанії і її акціонерів.

16.4. Робота СВА з матеріалами аудиту після затвердження остаточної редакції "Аудиторського звіту"

Роботу СВА з матеріалами аудиту після затвердження й доведення остаточної редакції "Аудиторського звіту" зацікавленим користувачам можна розділити на два типи:

o робота СВА з менеджментом компанії по побудові та оптимізації СВК бізнес-процесів;

o робота СВА з матеріалами аудиту для задоволення власних потреб служби.

Робота СВА з менеджментом компанії щодо побудови й оптимізації СВК бізнес-процесів

Основний напрямок спільної роботи СВА з менеджментом компанії щодо побудови та оптимізації СВК бізнес-процесів пов'язаний із контролем виконання плану коригувальних заходів, необхідність яких була виявлена за результатами аудиту. Контроль може здійснюватися за допомогою:

o аналізу звітів аудованого об'єкта про виконання запланованих коригувальних заходів;

o проведення перевірок об'єкта.

За результатами здійснення контрольних дій СВА формує "Звіт про виконання коригувальних заходів" по конкретній перевірці із вказівкою виконання заходів, їх достатності, своєчасності й ефективності, що доводить до тих же осіб, кому направлявся раніше сам "Аудиторський звіт".

Інший напрямок спільної роботи СВА з менеджментом компанії пов'язаний з наданням консалтингової підтримки менеджменту. Як уже було відзначено вище, відповідальним за формування надійної СВК і підтримка належного її функціонування як російським, так і закордонним принципом корпоративного керування є вище керівництво компанії. Проте як показує практика, менеджменту компаній звичайно потрібні додаткові спеціальні знання й допомога в таких ділянках керування, як внутрішній контроль і управління ризиками. У зв'язку з цим у СВА може залучатися консультант із питань тестування процедур внутрішнього контролю, перевірки виконання процедур внутрішнього контролю, а також забезпечення методологічної підтримки при організації процесів внутрішнього контролю й керування ризиками.

Робота СВА з матеріалами аудиту для задоволення власних потреб служби

Інформація, отримана в ході проведення аудиторської перевірки й наступного контролю виконання коригувальних заходів щодо результатів аудиту, є основою для вирішення завдань, поставлених безпосередньо перед самою СВА, як-то:

o своєчасне формування та надання звітності про результати аудиторської діяльності, істотних ризиках, проблемах контролю і корпоративного керування в компанії особі (особам) по організації внутрішнього аудиту (як правило, це комітет з аудиту при раді директорів, генеральний директор й ін.);

o планування подальшої діяльності СВА. Підводячи підсумки, можна констатувати наступне.

Побудова надійної СВК, що сприяє підвищенню ефективності бізнесу та захисту інтересів акціонерів, є зоною відповідальності менеджменту компанії. Але навіть добре вибудувана та організована СВК має потребу в оцінці своєї ефективності як з погляду досягнення поставлених цілей, так і з погляду економічності. Найбільше незалежно й професійно оцінити надійність й ефективність існуючої СВК бізнес-процесів компанії, а також запропонувати рекомендації з її вдосконалення може СВА.

Представлена методика проведення внутрішніх аудиторських перевірок, по суті, є посібником з побудови процесу оцінки СВК. При цьому для організації ефективного практичного застосування даної методики потрібна легалізація у внутрішніх регламентуючих документах компанії як порядку і інструментів проведення перевірки, так і схеми взаємин СВА з аудованими підприємствами / підрозділами.