 перейти на главную страницу Buhi.ru
|
 поиск документов
|
 добавить сайт Buhi.ru в избранное
|
|
| |
|
Статья: Задачи и функции внутреннего аудита в компаниях ("Финансовые и бухгалтерские консультации", 2007, N 12) Источник публикации "Финансовые и бухгалтерские консультации", 2007, N 12
"Финансовые и бухгалтерские консультации", 2007, N 12
ЗАДАЧИ И ФУНКЦИИ ВНУТРЕННЕГО АУДИТА В КОМПАНИЯХ
Понятие внутреннего аудита не новое для российских компаний. Многофилиальные структуры, холдинги уже давно создают в своей структуре службы или департаменты внутреннего аудита. Но и сейчас считается важным определить, какие задачи решает в компании внутренний аудит.
Можно выделить два основных направления деятельности службы внутреннего аудита (СВА), которые в настоящее время широко распространены на предприятиях. 1. Контроль и ревизии. Служба внутреннего аудита подчиняется исполнительному руководству компании, поскольку является средством контроля за деятельностью менеджмента со стороны руководства. По своим функциям деятельность внутреннего аудитора приравнена к работе контролера-ревизора. И как правило, его задачи и обязанности подчинены достижению целей, связанных с выявлением хозяйственных и финансовых нарушений и хищений, установлением их причин и виновных в этом лиц, а также разработкой предложений по устранению выявленных нарушений и привлечению к ответственности виновных лиц. 2. Мониторинг существующей системы внутреннего контроля компании, соблюдая принцип независимости. Внутренний аудит рассматривается как компонент системы управления рисками и подчиняется непосредственно совету директоров компании. В этом случае внутренний аудитор отвечает требованиям Международных стандартов внутреннего аудита (International Standards for the Professional Practice of Internal Auditing; далее - Стандарты) и Кодексу этики Института внутренних аудиторов <1>.
————————————————————————————————
<1> Переведены на русский язык и размещены на сайте российского Института внутренних аудиторов.
Согласно определению, заложенному в Кодексе этики, внутренний аудит - это независимая и объективная консультационная деятельность, направленная на достижение конкретных результатов и улучшений в работе организации. Значит, основной принцип внутреннего аудита - независимость. Данный принцип заложен и в Стандартах, согласно которым руководитель внутреннего аудита должен быть подотчетен руководителю соответствующего уровня в организации. Таким уровнем является подчинение СВА в компании совету директоров. Независимость внутреннего аудита, реализуемая посредством подотчетности СВА непосредственно представителям собственников, была сформулирована в 1996 г. в Перечне терминов и определений, используемых в правилах (стандартах) аудиторской деятельности <1>. Согласно этому документу внутренний аудит - это организованная на экономическом субъекте в интересах его собственников и регламентированная его внутренними документами система контроля над соблюдением установленного порядка ведения бухгалтерского учета и надежностью функционирования системы внутреннего контроля. К институтам внутреннего аудита относятся назначаемые собственниками экономического субъекта ревизоры, ревизионные комиссии, внутренние аудиторы или группы внутренних аудиторов.
————————————————————————————————
<1> Утвержден Комиссией по аудиторской деятельности при Президенте РФ 25 декабря 1996 г.
Итак, разный подход к понятию внутреннего аудита определяет разные функции и обязанности внутренних аудиторов в компаниях. Остановимся на втором подходе, когда внутренний аудит в компании выполняет функцию независимого источника информации для совета директоров и играет важную роль в процессе эффективности управления рисками. Ведь грамотно поставленный процесс управления рисками обеспечивает компании более быстрое достижение главной цели, а также достоверное составление финансовой отчетности, соблюдение законодательных и нормативных актов. Комитетом спонсорских организаций Комиссии Трэдуэя США (COSO) были рассмотрены вопросы управления рисками и внутреннего контроля организаций <2>. Предложенная Комитетом модель управления рисками состоит из нескольких взаимосвязанных компонентов (табл. 1).
————————————————————————————————
<2> Управление рисками. Интегрированная модель. Краткое изложение. Концептуальные основы. - COSO, сентябрь 2004.
Таблица 1. Модель управлениями рисками
——————————————T————————————————————————————————————T—————————————¬
| Компонент | Составляющие |Ответственные|
| модели +—————————————————T——————————————————+ лица |
| | Элемент | Содержание | |
+—————————————+—————————————————+——————————————————+—————————————+
|Внутренняя |Философия |Комплекс убеждений|Руководство |
|среда |организации |и установок |компании, |
| | |компании |совет |
| +—————————————————+——————————————————+директоров, |
| |Риск—аппетит |Степень |весь персонал|
| | |допустимого риска |компании |
| +—————————————————+——————————————————+ |
| |Надзор совета |Критическая оценка| |
| |директоров |и проверка | |
| | |деятельности | |
| | |руководства | |
| +—————————————————+——————————————————+ |
| |Честность, |Этические и | |
| |этические |поведенческие | |
| |ценности |стандарты | |
| |и компетенция | | |
| |сотрудников | | |
| +—————————————————+——————————————————+ |
| |Делегирование |Пределы, в которых| |
| |полномочий и |разрешается | |
| |ответственности |инициатива | |
| | |работников | |
| +—————————————————+——————————————————+ |
| |Стандарты в |Прием на работу, | |
| |области |продвижение, | |
| |управления |обучение, оценка | |
| |кадрами |сотрудников | |
+—————————————+—————————————————+——————————————————+—————————————+
|Постановка |Стратегические |Смысл |Руководство |
|цели |(общие) |существования |компании, |
| | |компании |совет |
| +—————————————————+——————————————————+директоров |
| |Тактические (по |Эффективность и | |
| |видам |производительность| |
| |деятельности): |деятельности | |
| |Операционные |компании | |
| +—————————————————+——————————————————+ |
| |Подготовка |Обеспечение | |
| |отчетности |достоверности | |
| +—————————————————+——————————————————+ |
| |Соблюдение |Соблюдение | |
| |законодательства |действующих | |
| | |нормативных актов | |
+—————————————+—————————————————+——————————————————+—————————————+
|Определение |События, влияние |Риски, которые |Руководство |
|событий |которых будет |необходимо оценить|компании |
| |отрицательным | |(выбирает |
| +—————————————————+——————————————————|методы |
| |События, влияние |Возможности, |определения |
| |которых будет |которые необходимо|событий) |
| |положительным |учесть в процессе | |
| | |формирования | |
| | |стратегии | |
+—————————————+—————————————————+——————————————————+—————————————+
|Оценка рисков|Вероятность |Возможность того, |Руководство |
| |возникновения |что событие |компании |
| | |произойдет |(выбирает |
| +—————————————————+——————————————————+источники |
| |Степень влияния |Последствия того, |информации, |
| | |что событие |методы оценки|
| | |произойдет |риска) |
+—————————————+—————————————————+——————————————————+—————————————+
|Реагирование |Уклонение от |Прекращение |Руководство |
|на риск |риска |деятельности, |компании |
| | |ведущее к риску | |
| +—————————————————+——————————————————+ |
| |Сокращение риска |Действия по | |
| | |уменьшению | |
| | |вероятности или | |
| | |влияния риска | |
| +—————————————————+——————————————————+ |
| |Перераспределение|Перенос риска | |
| |риска | | |
| +—————————————————+——————————————————+ |
| |Принятие риска |Отсутствие | |
| | |действий, | |
| | |приводящих к | |
| | |снижению риска | |
+—————————————+—————————————————+——————————————————+—————————————+
|Средства |Политика |Действия, |Руководство |
|контроля +—————————————————+осуществляемые |компании |
| |Процедуры |непосредственно | |
| |контроля: |или с | |
| |— управление |использованием | |
| |информационными |технических | |
| |технологиями; |средств, | |
| |— управление |обеспечивающие | |
| |безопасностью; |реагирование на | |
| |— определение |риски со стороны | |
| |информационно— |руководства | |
| |технологической | | |
| |инфраструктуры; | | |
| |— приобретение, | | |
| |разработка и | | |
| |техническое | | |
| |обслуживание | | |
| |программного | | |
| |обеспечения | | |
+—————————————+—————————————————+——————————————————+—————————————+
|Информация и |Внутренние и |Информация из |Руководство |
|коммуникации |внешние |внутренних и |компании, |
| |информационные |внешних источников|совет |
| |системы |для использования |директоров, |
| | |в принятии решений|весь персонал|
| | |по реагированию на|компании |
| | |изменение условий | |
| | |деятельности | |
| +—————————————————+——————————————————+ |
| |Коммуникации |Средства | |
| | |коммуникации: | |
| | |положения о | |
| | |политике, | |
| | |меморандумы, | |
| | |электронные | |
| | |сообщения, доска | |
| | |объявлений, | |
| | |интернет— | |
| | |трансляции, | |
| | |видеосообщения | |
+—————————————+—————————————————+——————————————————+—————————————+
|Мониторинг |Текущий |Постоянное |Руководство |
| |мониторинг |наблюдение за |компании, |
| | |деятельностью |внутренние |
| | |компании с |аудиторы, |
| | |целью определения |руководители |
| | |действия средств |операционных |
| | |контроля во |подразделений|
| | |времени | |
L—————————————+—————————————————+——————————————————+——————————————
Согласно краткому изложению Модели COSO <2> в разделе "Функции и обязанности" роль внутренних аудиторов определена следующим образом: "...аудиторы играют одну из ведущих ролей в деле оценки эффективности управления рисками и в разработке рекомендаций по их оптимизации". При определении объема внутреннего аудита авторы ссылаются на Международные стандарты внутреннего аудита.
————————————————————————————————
<2> Управление рисками. Интегрированная модель. Краткое изложение. Концептуальные основы. - COSO, сентябрь 2004.
В разд. 2100 Стандартов описана сущность работы внутреннего аудита, согласно которому "функция "внутренний аудит" должна проводить оценку и способствовать совершенствованию процессов управления рисками, контроля и корпоративного управления". Иными словами, названные Стандарты разделяют деятельность внутреннего аудита на три составляющие: управление рисками, контроль и корпоративное управление (табл. 2).
Таблица 2. Сущность работы внутреннего аудита
———————————————T—————————————————————————————————————————————————¬
| Составляющая | Задачи |
+——————————————+—————————————————————————————————————————————————+
|Управление |Отслеживать и оценивать эффективность системы |
|рисками |управления рисками |
| +—————————————————————————————————————————————————+
| |Оценивать риски, связанные с корпоративным |
| |управлением, финансово—хозяйственной |
| |деятельностью и ее информационными системами, в |
| |части: |
| |— достоверности и полноты информации о |
| |финансово—хозяйственной деятельности; |
| |— эффективности и результативности хозяйственной |
| |деятельности; |
| |— сохранности активов; |
| |— соблюдения законов, нормативных актов и |
| |договорных обязательств |
| +—————————————————————————————————————————————————+
| |Обращать внимание в ходе консультирования на риск|
| |в соответствии с целями задания, быть готовыми к |
| |наличию других рисков |
| +—————————————————————————————————————————————————+
| |Использовать знания о рисках, полученные в ходе |
| |консультирования, в процессе выявления и оценки |
| |существенных рисков, стоящих перед компанией |
+——————————————+—————————————————————————————————————————————————+
|Контроль |Оценивать достаточность и эффективность контроля |
| |в сфере корпоративного управления, финансово— |
| |хозяйственной деятельности и ее информационных |
| |систем, в части: |
| |— достоверности и полноты информации о |
| |финансово—хозяйственной деятельности; |
| |— эффективности и результативности хозяйственной |
| |деятельности; |
| |— сохранности активов; |
| |— соблюдения законов, нормативных актов и |
| |договорных обязательств |
| +—————————————————————————————————————————————————+
| |Устанавливать наличие четко сформулированных |
| |оперативных и долгосрочных целей и задач, оценить|
| |степень их соответствия целям и задачам |
| |организации |
| +—————————————————————————————————————————————————+
| |Проводить анализ финансово—хозяйственной |
| |деятельности и планов на предмет соответствия |
| |фактических результатов поставленным целям и |
| |задачам, чтобы определить, ведется ли |
| |деятельность в соответствии с намеченными планами|
| +—————————————————————————————————————————————————+
| |Устанавливать степень адекватности |
| |сформулированных менеджментом критериев, |
| |позволяющих определить, выполнены поставленные |
| |цели и задачи или нет. В случае неадекватности |
| |критериев разработать приемлемые |
| +—————————————————————————————————————————————————+
| |Обращать внимание в ходе консультирования на |
| |состояние контроля в соответствии с целями |
| |задания, быть готовыми к наличию других |
| |существенных рисков |
| +—————————————————————————————————————————————————+
| |Использовать знания о контроле, полученные в |
| |ходе оказания услуг по консультированию, в |
| |процессе выявления и оценки рисков, стоящих перед|
| |компанией |
+——————————————+—————————————————————————————————————————————————+
|Корпоративное |Оценивать структуру, качество внедрения и |
|управление |эффективность программ и мероприятий, относящихся|
| |к вопросам этики, в части подтверждения этических|
| |стандартов и ценностей в рамках компании |
| +—————————————————————————————————————————————————+
| |Обеспечивать эффективный процесс управления |
| |деятельностью и ее оценку |
| +—————————————————————————————————————————————————+
| |Обеспечивать соответствующие службы компании |
| |информацией по вопросам рисков и контроля |
| +—————————————————————————————————————————————————+
| |Эффективно координировать деятельность и обмен |
| |информацией между советом директоров, внешними |
| |аудиторами и менеджментом |
L——————————————+——————————————————————————————————————————————————
Проанализируем некоторые из задач, поставленных перед аудиторами в соответствии со Стандартами. 1. Аудиторы отслеживают и оценивают эффективность существующей системы управления рисками. С одной стороны, эта система направлена на выявление событий, которые могут влиять на деятельность компании, и управление рисками, связанными с этими событиями. С другой стороны, ключевым элементом, отвечающим за совершенствование бизнеса, оперативную идентификацию и управление рисками компании, а также за обеспечение соответствия развития компании ее намеченной цели и стратегии, является система внутреннего контроля, действующая в компании. Таким образом, можно сделать вывод, что внутренний аудитор должен отследить и оценить эффективность системы внутреннего контроля организации. 2. Аудиторы оценивают риски, достаточность и эффективность контроля в сфере корпоративного управления финансово-хозяйственной деятельностью организации и ее информационными системами. В свою очередь, корпоративное управление и информационные системы - это элементы системы внутреннего контроля. Следовательно, внутренний аудит должен оценить риски системы внутреннего контроля. Иными словами, фактически анализ норм Стандартов свидетельствует о том, что внутренний аудитор должен отследить и оценить эффективность системы внутреннего контроля компании, связанной с оперативной идентификацией и управлением рисками. Принимая во внимание сказанное, можно определить роль и обязанности внутреннего аудитора в системе управления рисками. Из приведенных цитат, норм и анализа следует, что обеспечение выполнения таких задач, связанных с определением рисков и реагированием на них, как: - оценка риска; - определение мер реагирования на выявленные и оцененные риски; - организация системы контроля за исполнением определенных мер; - выявление рисков; - мониторинг системы контроля, относится к основным функциям руководства компании. Внутренний же аудитор вступает в действие только при наблюдении, оценке и прогнозе деятельности системы внутреннего контроля. При этом внутренний аудит способен и должен выполнять разнообразные и масштабные задачи. В российском законодательстве роль внутреннего аудита определена ПСАД N 29 <1>, согласно которому объем и цели внутреннего аудита в каждом случае различны и зависят от размера и структуры аудируемого лица и требований его руководства. В стандарте говорится также о том, что роль и цели службы внутреннего аудита определяются руководством аудируемого лица.
————————————————————————————————
<1> Федеральное правило (стандарт) аудиторской деятельности N 29 "Рассмотрение работы внутреннего аудита" утверждено Постановлением Правительства РФ от 23 сентября 2002 г. N 696.
ПСАД N 29 выделяет "обычные" функции СВА, которые включают один или несколько следующих элементов: - мониторинг эффективности процедур внутреннего контроля (постановка необходимых систем бухгалтерского учета и внутреннего контроля входит в обязанности руководства, и этому следует постоянно уделять соответствующее внимание, а на службу внутреннего аудита обычно возлагаются обязанности по проверке этих систем, мониторингу эффективности их функционирования и представлению рекомендаций по их усовершенствованию); - исследование финансовой и управленческой информации (включает обзорную проверку средств и способов, используемых для сбора, измерения, классификации этой информации и составления отчетности на ее основе, а также специфические запросы в отношении отдельных ее составляющих частей, в том числе детальное тестирование операций, остатков по счетам бухгалтерского учета и других процедур); - контроль экономности, эффективности и результативности, включая нефинансовые средства контроля аудируемого лица; - контроль за соблюдением законодательства РФ, нормативных актов и прочих внешних требований, а также политики, директив и прочих внутренних требований руководства. Из перечисленных функций следует, что в основном деятельность внутреннего аудита связана с мониторингом системы внутреннего контроля. Напомним, что под системой внутреннего контроля понимается совокупность организационных мер, методик и процедур, используемых руководством аудируемого лица в качестве средств для упорядоченного и эффективного ведения финансово-хозяйственной деятельности, обеспечения сохранности активов, выявления, исправления и предотвращения ошибок и искажения информации, а также своевременной подготовки достоверной финансовой (бухгалтерской) отчетности. Такое понятие дано в ПСАД N 8 <2>.
————————————————————————————————
<2> Федеральное правило (стандарт) аудиторской деятельности N 8 "Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом" утверждено Постановлением Правительства РФ от 23 сентября 2002 г. N 696.
Однако обращаем внимание: согласно приведенному стандарту функции внутреннего аудитора определяются руководством компании, что не соответствуют Стандартам. Сопоставим (табл. 3) нормативные документы, касающиеся регулирования деятельности внутреннего аудита в России и в международной практике (США).
Таблица 3. Регулирование деятельности внутреннего аудита
———————————————T————————————————T——————————————T—————————————————¬
|Характеристика| Временные | ПСАД N 29 | Международные |
| | правила <*> | | стандарты |
+——————————————+————————————————+——————————————+—————————————————+
|Подчиненность |К институтам |В идеальной |Внутренний аудит |
| |внутреннего |ситуации |должен быть |
| |аудита относятся|служба |подотчетен |
| |назначаемые |внутреннего |руководителю |
| |собственниками и|аудита |соответствующего |
| |(или) |отчитывается |уровня. Цели, |
| |руководством |перед высшим |полномочия и |
| |экономического |руководством |обязанности |
| |субъекта |аудируемого |внутреннего |
| |ревизоры, |лица |аудита |
| |ревизионные | |определяются |
| |комиссии, | |уставом, |
| |внутренние | |утверждаемым |
| |аудиторы или | |советом по аудиту|
| |группы | | |
| |внутренних | | |
| |аудиторов | | |
+——————————————+————————————————+——————————————+—————————————————+
|Цель |Содействовать |Контрольная |Характер услуг |
| |оптимизации |деятельность |определяется |
| |деятельности |внутри |уставом |
| |экономического |аудируемого | |
| |субъекта и |лица его | |
| |выполнению |подразделением| |
| |обязанностей его| | |
| |руководства | | |
+——————————————+————————————————+——————————————+—————————————————+
|Функции |Работа |Функции |Проводит оценку |
| |внутреннего |службы |и способствует |
| |аудита имеет для|внутреннего |совершенствованию|
| |руководства и |аудита |процессов |
| |(или) |включают |управления |
| |собственников |мониторинг |рисками, контроля|
| |экономического |адекватности и|и корпоративного |
| |субъекта |эффективности |управления |
| |информационное и|системы | |
| |консультационное|внутреннего | |
| |значение |контроля | |
L——————————————+————————————————+——————————————+——————————————————
————————————————————————————————
<*> Правило (стандарт) аудиторской деятельности "Изучение и использование работы внутреннего аудита" одобрено Комиссией по аудиторской деятельности при Президенте РФ 27 апреля 1999 г., протокол N 3.
Как видно из этой таблицы, российские стандарты, регулирующие аудиторскую деятельность, вступают в противоречие со Стандартами касательно уровня подчиненности внутренних аудиторов. В ПСАД N 29 роль внутреннего аудита определяется руководством компании, при этом указано, что "в идеальной ситуации служба внутреннего аудита отчитывается перед высшим руководством аудируемого лица". Следует понять, что имеется в виду под словами "высшее руководство" и можно ли считать таковым совет директоров - ведь этот орган отвечает за общее, стратегическое руководство компанией. Понятия "руководство" и "представители собственника" даны в ПСАД N 22 <1>: "Руководством аудируемого лица являются лица, отвечающие за повседневное руководство (выделено авт. - Прим. ред.) аудируемым лицом, а также осуществление финансово-хозяйственных операций, ведение бухгалтерского учета и подготовку финансовой (бухгалтерской) отчетности (например, генеральный директор, финансовый директор, главный бухгалтер).
————————————————————————————————
<1> Федеральное правило (стандарт) аудиторской деятельности N 22 "Сообщение информации, полученной по результатам аудита, руководству аудируемого лица и представителям его собственника" введено Постановлением Правительства РФ от 16 апреля 2005 г. N 228.
Представителями собственника аудируемого лица являются лица или коллегиальные органы, которые осуществляют общий надзор и стратегическое руководство деятельностью аудируемого лица, а также в соответствии с учредительными документами могут контролировать текущую деятельность его руководства, в том числе назначать или освобождать от должности представителей высшего руководства" (выделено авт. - Прим. ред.).
Обратите внимание, что понятие "высшее руководство" в данном стандарте не расшифровывается, а представителями собственника аудируемого лица согласно ПСАД N 22 являются лица или коллегиальные органы. Соответственно, речь идет о совете директоров, который осуществляет стратегическое руководство компанией и назначает "высшее руководство".
Согласно ст. 65 Федерального закона от 26 декабря 1995 г. N 208-ФЗ "Об акционерных обществах" в компетенцию совета директоров общества входит образование исполнительного органа и досрочное прекращение его полномочий, если уставом общества это отнесено к его компетенции. Таким образом, "высшее руководство", назначаемое советом директоров, и есть исполнительный орган власти предприятия, т.е. непосредственно руководитель, генеральный директор.
На основании этого можно сделать вывод, что в настоящий момент Федеральные правила (стандарты) аудиторской деятельности, в которых упоминается сфера деятельности внутреннего аудита, противоречат Стандартам. Поскольку ПСАД регулируют деятельность внешнего, а не внутреннего аудита, по нашему мнению, необходимо руководствоваться Стандартами.
Как уже было сказано, система внутреннего контроля в компании распространяется на все бизнес-процессы, возникающие в процессе деятельности: начиная с планирования деятельности и заканчивая составлением финансовой отчетности. Следовательно, работа внутреннего аудитора должна быть связана со всем, что происходит в компании. Иными словами, задачи внутреннего аудита - выполнить такие действия, которые приведут к совершенствованию и исправлению ошибок в действующей системе внутреннего контроля.
И.Д.Юцковская
Директор
департамента
бухгалтерского консалтинга
компании "ФБК"
А.А.Косарева
Консультант
департамента
бухгалтерского консалтинга
компании "ФБК"
Подписано в печать
26.11.2007
————
(C) Buhi.ru. Некоторые материалы этого сайта могут предназначаться только для совершеннолетних. |
Бухгалтерская пресса и публикации