полная версияПолная версия
Внутренний аудит. Третья линия защиты, или Последний рубеж
Не удивительно, что вопросы кибербезопасности стоят на первом месте в числе рисков компаний. Вероятно, что и в настоящее время, в связи с прогрессирующим развитием кибертехнологий во всем мире, и наличием безграничного потенциала к их постоянному усовершенствованию, вопросы кибербезопасности не просто занимают первое место среди внутренних рисков большинства компаний, а лидируют со значительным отрывом. Скорее всего, то же самое будет происходить с технологиями в обозримом будущем. Поэтому риски кибербезопасности останутся для компаний, по-прежнему, на первом месте.
Далее в рейтинге, риски[4] располагаются по убыванию их значимости для владельцев бизнеса и топ-менеджмента.
Жаль, что риски подбора и удержания талантов находятся на последнем месте. Не исключаю, что если бы компании больше времени уделяли вопросу удержания талантов, то и все выше приведенные риски могли быть в той или иной степени нивелированы. Ведь, как показывает практика, сотрудники – главная ценность, а их наработки – бесценное наследие для большинства компаний-долгожителей.
Взять, к примеру, Стива Джобса (корпорация Apple и киностудии Pixar); Арно Бернара (компании Louis Vuitton, Moёt, Hennesy), Лоуренса Эллисона (компания Oracle); Рустама Тарико (банк Русский Стандарт); Абдула Азиза Аль Гурейра (компания Mashreq); Олега Тинькова (компании Техношок, Дарья, пиво «Tinkoff», Тинькофф банк); Джеффа Безоса (магазин Amazon); Джека Ма, Иосифа Цайа (компания Alibaba Group); Тадаши Янаы (компания Fast Retailing) и многих других замечательных людей. Да, это не рядовые сотрудник, а менеджеры топ-уровня, многие из них владельцы бизнеса, но начинали они с низов и прошли долгий путь. В результате их наследие и вклад в развитие целой индустрии – огромны, а их талант и опыт представляют большую ценность для компании.
Однако, на локальных уровнях, все иначе. Зачастую, при увольнении значимых топ-менеджеров и подборе на их место новых сотрудников можно услышать расхожую фразу об отсутствии незаменимых людей. Лично я с таким подходом не согласен категорически.
Незаменимые сотрудники – есть. И это даже не те, кто идеально подходит компании, разделяет ее корпоративные ценности и соответствует ее духу. Это те, кто создают этот дух, те, кто ведут остальных за собой, увлекают умы своих коллег и клиентов и принимают нестандартные бизнес-решения.
Звучит, немного высокопарно, но, тем не менее, это так. Все они – харизматичные лидеры и без них, компании в долгосрочной перспективе придется испытывать трудности, если только они не оставят после себя наследие. Скорее всего, на их смену придут другие менеджеры, но так или иначе, компания уже не будет прежней. Однако это вопросы другого порядка.
Возвращаясь к теме рисков и подводя промежуточный итог, мы для себя выяснили, что во внутреннем аудите применяются два фундаментальных риска: риск аудиторский и риск бизнеса.
Будем иметь это в виду, для лучшего понимания того, что изложено далее в этой книге.
Раздел 2.2. Организация и проведение аудита. Документальное обеспечение проверки
На практике принято выделять три основных этапа организации и проведения проверки:
Однако перед тем как приступить к описанию каждого из этапов аудиторской проверки, следует особо обратить внимание на ежегодные процедуры, осуществляемые до начала проведения запланированных проверок.
Ведь, для того чтобы непросто провести аудит в компании, а провести его эффективно, необходимо определить наиболее рисковые участки, которые и будут подлежать проверке. С этой целью каждый отчетный год в компании составляется годовой план внутренних проверок на следующий год и перед его началом утверждается на Комитете по аудиту.
Годовой план внутренних аудиторских проверок составляется на основе карты рисков, которая, в свою очередь, формируется на основе опросных таблиц, заполненных владельцами рисков. Владельцами рисков являются должностные лица компании ответственные за аудируемый объект. Как правило, это руководители отделов и подразделений.
Поэтому первым, что необходимо сделать, это собрать информацию от этих лиц, в виде заполненных ими таблиц.
2.2.1.Опросные таблицы (анкеты) и единая сводная таблица
На усмотрение аудитора, сведения в таблицах могут располагаться вертикально, либо горизонтально. Наименование столбцов или граф таблицы может быть следующим:
– наименование риска;
– владелец риска;
– описание риска;
– вероятность возникновения риска (значение данного субъективного фактора определяется экспертным путем в процентном отношении);
– финансовый показатель, на который риск влияет напрямую (например, выручка, прибыль, остаток денежных средств);
– степень прямого влияния риска (оцифровка риска; перевод в денежный эквивалент);
– мероприятия, проводимые владельцем риска по управлению риском.
Таблица заполняется владельцами риска как можно тщательнее и достоверней. Далее, перед тем как эти таблицы будут использованы для подготовки карты рисков, они проходят дополнительный контроль. Для этого внутренние аудиторы тщательно анализируют их на соответствие действительности и перепроверяют. При этом для составления карты рисков могут быть использованы не только сведения, содержащиеся в таблицах, но и другие данные, например отчеты внешних аудиторов, правовые заключения консультантов, ранее представленные отчеты внутренних аудиторов; финансовые показатели деятельности компании и т. д. В данном случае аудиторы осуществляют сбор всей необходимой для соблюдения принципа объективности информации.
Все полученные опросные таблицы следует консолидировать в одну или несколько сводных таблиц[5], в зависимости от финансовых показателей на которые они влияют.
Пример единой сводной таблицы (без разбивки по финансовым показателям), сформированной на основании опросных таблиц, предоставленных владельцами рисков, смотрите ниже на рисунке 6.
Рисунок 6. Сводная таблица (без разбивки по финансовым показателям)
2.2.2.Градация рисков
Далее осуществляется градация рисков по убыванию их стоимости. Стоимость риска рассчитывается, как вероятность возникновения риска, умноженная на степень его влияния.
В таблице обязательно следует указать порядковые номера рисков, присвоенные им при формировании сводной таблицы. Это поможет идентифицировать риск на карте рисков. Градация рисков по стоимости представлена на рисунке 7.
Рисунок 7. Градация рисков по стоимости
2.2.3. Карта рисков
Далее, результат следует перенести на карту рисков.
Карта представляет собой двухмерное пространство в виде полей (ячеек), расчерченное по вертикали и горизонтали с учетом двух основных показателей: рассчитанной нами стоимости риска (по оси ординат) и вероятности его возникновения (по оси абцисс).
Карта заполняется путем переноса в соответствующие поля (ячейки) порядковых номеров рисков.
Градацию рисков можно осуществить по трем и более стоимостным категориям рисков. В данном случае приведен пример распределения рисков по 5 стоимостным категориям:
– низкая стоимостная категория рисков: риски стоимостью менее 1 млн. рублей;
– ниже среднего значения: риски, стоимостью свыше 1 млн. рублей до 5 млн. рублей включительно;
– средняя стоимостная категория рисков: риски стоимостью свыше 5 млн. рублей и до 10 млн. включительно;
– выше среднего значения: риски, стоимостью свыше 10 млн. рублей до 15 млн. рублей включительно;
– высокая стоимостная категория рисков: риски стоимостью свыше 15 млн. рублей.
Вероятность возникновения риска можно обозначить на карте в виде 20-ти процентных интервалов.
Для большей наглядности карту можно разбить на три зоны рисков по цветам:
– зеленая зона (зона рисков с наименьшим средним соотношением: стоимость риска/вероятность возникновения риска) располагается по диагонали в левом нижнем углу;
– желтая зона (зона рисков со средним соотношением: стоимость риска/вероятность возникновения риска) располагается по диагонали по середине;
– красная зона (зона рисков с наибольшим средним соотношением: стоимость риска/вероятность возникновения риска – зона повышенного внимания к рискам) располагается по диагонали в правом верхнем углу;
Каждая цветная зона на карте характеризуется диапазонами стоимостных категорий и вероятностных значений, присущими только ей одной. Пример заполнения карты рисков приведен на рис. 8
Рисунок 8. Карта рисков
Фактически, карта рисков является перечнем опасных ситуаций, имеющих место в компании. Она показывает возможные проблемы, на которые стоит обратить особое внимание и с которыми следует работать. Данный инструмент контроля и мониторинга за хозяйственной деятельностью компании дает собственникам и менеджменту понимание текущего положения и является стратегической основой для управления рисками. Также, принимая во внимание динамику развития (изменение, прекращение) рисков и учитывая тренд на возникновение новых, можно смоделировать карту рисков на несколько лет вперед.
2.2.4. Годовой план аудиторских проверок
Далее, с учетом заполненной карты рисков формируется годовой план аудиторских проверок, который утверждается Комитетом по аудиту. Общий вид этого документа представлен ниже на рисунке 9.
Рисунок 9. Годовой план аудиторских проверок
Отмечу, что издавать отдельные Приказы на каждую проверку не обязательно, хотя такая практика имеет место в большинстве компаний. Вместо этого можно издать один Приказ руководителя со ссылкой на Годовой план проверок. Этого, по сути, будет достаточно, в качестве оснований, для проведения аудиторских проверок в течение всего года.
Образец такого Приказа смотрите ниже на рисунке 10.
Рисунок 10. Приказ руководителя на проведение аудита в течение 2018 г.
Раздел 2.3. Этапы проверки
Теперь опишем основные и обязательные этапы самой аудиторской проверки, о которых было упомянуто выше.
2.3.1. Первый этап проведения проверки: Подготовительный
Обращаю ваше внимание, что на данном этапе аудитору следует строго придерживаться двух первых принципов аудита:
– системность или внеочередность аудита, означающие комплексное и планомерное проведение запланированных или внезапных проверок на определенных участках;
– объективность и единообразие аудита, означающие, что требования внутреннего аудита одинаковы и распространяются на все подразделения организации без исключения. Это значит, что ни для кого нет исключений: поблажек, снисходительного, либо предвзятого отношения со стороны проверяющих. Аудитор всегда беспристрастен в своих выводах. А все проверяемые лица равны перед правилами внутреннего аудита.
Что же касается документального оформления, то в отношении каждой отдельной проверки составляется Программа проверки, представляющая собой исходный набор мероприятий, направленных на достижение целей проверки.
2.3.1.1. План «текущей» проверки
Данный документ описывает основные процедуры проведения проверки и наиболее важные вопросы, которые подлежат рассмотрению.
Как правило, План проверки составляется в табличной форме. Отмечу, что единого стандарта составления Плана проверки не существует. Каждая компания вправе внести в него все необходимые для проведения проверки пункты и определить круг задач, по результатам которых будет достигнута главная цель внутреннего аудита.
План проверки должен содержать следующие сведения:
– область применения (подлежащий проверке бизнес-процесс, показатель отчетности или целый отдел);
– цель проведения аудита;
– владелец риска (лицо ответственное за аудируемый объект: бизнес-процесс, либо показатель отчетности);
– период проведения проверки;
– применяемые методы аудита (опрос, наблюдение, проверка документации, хронологический и сравнительный анализ, арифметическая и нормативная проверка, доказательство, контрольное сличение остатков и пр.).
Каждая компания вправе самостоятельно по своему усмотрению дополнять План проверки необходимыми сведениями.
Пример Плана аудиторской проверки представлен ниже на рисунке 11.
Рисунок 11. План аудиторской проверки.
План проведения внутреннего аудита составляется совместно с Программой проверки.
Отличие этих документов в том, что Программа проверки детализирует и раскрывает все нюансы проведения проверки.
Необходимость составления двух разных документов, как правило, обусловлена разрывом во времени между сроками формирования Плана по аудиту и фактическим началом осуществления процедур. К примеру, согласно Годовому плану аудита в текущем году аудиту подлежат несколько бизнес-процессов, начиная с мая. Об этом стало известно в январе. Несмотря на то, что План аудиторской проверки может быть составлен непосредственно перед началом самой проверки, руководителем по аудиту было принято решение заранее подготовить Планы всех проверок.
Программа проверки, в отличие от Плана по аудиту носит исключительно прикладной характер, требует анализа ситуации в режиме «онлайн». При формировании Программы проверки, в целях соблюдения принципа объективности аудита (о котором мы говорили выше) следует исходить из фактической ситуации, которая сложилась непосредственно перед самым началом проверки, действуя по принципу «здесь и сейчас». Отмечу, что с даты утверждения Плана по аудиту и до начала самой проверки могут произойти различные изменения в аудируемой области.
Например, на макроуровне, может поменяться политическая ситуация: как внутренняя, так и внешняя, могут произойти глобальные природные изменения, влияющие на бизнес-процессы (в том числе, логистику, ВЭД).
На локальном уровне, в масштабах компании, может смениться владелец риска, произойти переезд компании (в том числе, самого объекта аудита), могут быть приняты нетипичные для объекта аудита корпоративные решения: его могут продать, отдать, существенно видоизменить и т. д. и т. п.
Учитывая данный факт и применительно к рассматриваемой ситуации: в отношении проверок, которые начинаются не ранее мая текущего года, заранее составлять Программы проверок, не следует. Иначе, будет утерян Принцип объективности.
Тем не менее, если аудитор считает нецелесообразным формировать два отдельных документа, то на его усмотрение можно их объединить. Это допустимо, например, в случае, если временный разрыв между датами составления Плана аудита и началом контрольных процедур отсутствует или если он не существенный.
Для этого следует составить единый документ, описывающий основные аспекты и вопросы, подлежащие рассмотрению и содержащий детальный перечень процедур и сроков. Ниже приведена информация о Программе проверки.
2.3.1.2. Программа аудиторской проверки
Составление детальной Программы проверки.
Данный документ можно сравнить с техническим заданием любого проекта или так называемой «дорожной картой». Программа проверки содержит четкий перечень действий, реализуемых аудиторами в указанные сроки. По сути, Программа проверки является расширенным и детализированным вариантом Плана аудиторской проверки.
Программа проверки может содержать следующие сведения:
– процедуры аудита («пошагово»);
– сроки их выполнения;
– лица, с которыми предстоит общаться, запрашивать документы и брать интервью;
– перечень запрашиваемых документов;
– аудитор (группа аудиторов);
– любые иные сведения по усмотрению аудитора.
На практике, составление перечня необходимых процедур может вызывать трудности. Для того чтобы сделать это правильно и не ошибиться в выборе процедур, требуется осуществить следующее:
– «первое»: задать себе вопросы, на которые мы хотим получить ответы, необходимые для достижения целей аудита. И уже исходя из этого:
– «второе»: выбрать подходящие процедуры, которые могут привести нас к этим ответам.
Важно!
Данные вопросы должны напрямую соотноситься с целью проверки, заявленной в программе аудита.
Пример Программы проверки смотрите на рисунке 13.
Рисунок 12. Программа аудиторской проверки
Отмечу, что в компаниях, где аудит проводится не первый год, большинство рабочих аудиторских процедур строго регламентированы.
Регламентация аудиторских проверок заключается в соблюдении Стандартов их проведения. Стандарты к проведению проверок представляют собой результат поиска и анализа наиболее подходящих и эффективных методов достижения целей проверок. Стандарты составляются в отношении различных объектов аудита (бизнес-процессов, показателей строк отчетности и т. д.) и включают в себя все самое лучшее, что было ранее применено аудиторами на практике.
По своему содержанию, Стандарт аудиторской проверки – это документ, описывающий в подробностях порядок, способ и методы проведения проверок.
По своей сути, Стандарт проверки – это письменное выражение и сосредоточение ранее приобретенного аудиторского опыта в целях его практического применения в последующих проверках.
Поэтому при формировании Программы текущей проверки, достаточно проверить процедуры, перечисленные в ранее составленном Стандарте (при его наличии) на их актуальность. При необходимости, данные процедуры можно видоизменить (в том числе, дополнить) или исключить вовсе.
Возможно, даже потребуется внести в новую Программу проверки дополнительные процедуры, например, в связи с изменением или корректировкой целей проверки. Все будет зависеть от складывающихся обстоятельств и особенностей текущей проверки.
Поэтому, несмотря на регламентацию процедур аудита, при составлении Программы текущей проверки следует руководствоваться принципом «здесь и сейчас», о котором мы упоминали выше.
2.3.1.3. Уведомление о проведении проверки
Обращаю внимание, что еще до начала проверки, владельцам риска, указанным в Плане аудита, рассылаются уведомления о проведении в отношении вверенных им объектов аудита контрольных процедур. При этом на такое уведомление владельцы риска должны дать ответ, в котором сообщают о готовности принять аудитора и о назначении лиц, ответственных за предоставление запрашиваемых аудитором документов и взаимодействие с ним по ходу всей проверки. Данные сведения переносятся в План проверки.
Стандартной формы уведомления не существует. Компания разрабатывает ее самостоятельно. Такое уведомление должно содержать:
– основание проведения проверки;
– сроки ее проведения;
– примерный перечень запрашиваемых документов;
– кандидатуры лиц, ответственных за взаимодействие с аудитором (конечных исполнителей владелец риска назначает самостоятельно).
Такое уведомление можно составить на основании имеющегося Плана аудита или Программы проверки, если она, к тому времени, уже готова.
2.3.1.4. Чек-лист
Чек-лист или опрос-лист представляет собой анкету, на которую анкетируемые лица дают ответы. Аудиторы ориентируются на них для формирования выводов по проверке и выражения профессионального суждения.
Чтобы получить нужные ответы, необходимо задавать нужные вопросы. Здесь как раз пора вспомнить о тех вопросах, которые мы задаем сами себе при формировании перечня аудиторских процедур для подготовки Программы проверки. Поэтому разумно такие вопросы оформлять письменно и на их основании готовить опрос-листы с вариантами ответов. Опрос-листы рассылаются владельцам риска, как правило, перед началом проверки. Не редки случаи, когда чек-лист направляется владельцу риска уже во время самой проверки. Это может произойти, например, в целях получения дополнительных разъяснений, в связи с вновь открывшимися обстоятельствами.
Данные процедуры вполне допустимы и широко применяются на практике.
2.4.1. Второй этап проведения проверки: Сбор аудиторских доказательств
На данном этапе анализируются запрошенные ранее документы, сведения и иная информация. Происходит интервьюирование ответственных лиц. Проводится сбор аудиторских доказательств.
Может осуществляться повторное направление чек-листов, в связи с новыми обстоятельствами, выявленными в ходе проверки. Аудитор должен подобрать максимум документов, подтверждающих его дальнейшие выводы.
В ходе этапа сбора доказательств реализуется Принцип документированности, который означает, что каждый выявленный факт нарушения или замечание должны подтверждаться документами.
Для получения достоверных результатов проверки и сбора доказательств, допустимо применять следующие методики и способы:
– изучение документации;
– сравнительный анализ;
– оценка информации;
– калькулирование и арифметическая проверка данных;
– документальная и фактическая проверка;
– сличение остатков;
– осмотр помещений;
– опрос третьих лиц (свидетелей);
– мониторинг бизнес-процессов на их соответствие регламентам;
– прогнозирование/экстраполяция;
– дедукция и индукция;
– хронологический анализ данных и т. д.
Фактически, применяемых на практике методик и способов получения нужной информации, гораздо больше. С выбором подходящих способов и методик желательно определиться заранее. Для этого можно воспользоваться Программой проверки. Тем более, что соответствующие методики и способы уже частично поименованы в разделе «Аудиторские мероприятия и процедуры».
Как следует по тексту, План проверки играет важную роль в ходе всего аудита. Он может стать источником сведений необходимых для формирования иных документов по проверке, а также помочь определиться с набором действий и приемов, направленных на получение достоверных результатов аудита.
За выбор и эффективное использование этих приемов ответственны аудиторы, участвующие в проверке.
2.4.2. Третий этап проверки: Завершающий
На данном этапе происходит написание Аудиторского отчета и формирование Выводов по каждому выявленному и подробно описанному обстоятельству. Также Отчет должен содержать практические рекомендации по устранению или снижению негативных последствий, выявленных нарушений и замечаний. На этом этапе аудитор реализует принципы:
– открытости обнаруженной информации, путем оформления и предоставления владельцам компании аудиторского отчета;
– независимости внутреннего аудита, подразумевающий, что выводы сформулированы без давления со стороны проверяемых лиц и без материального или иного интереса со стороны самих аудиторов. Аудитор беспристрастен и независим. Причем этому принципу аудитор должен следовать на всех этапах проверки, а не только на третьем.