Домой Кредит на бизнес Как оценить систему внутреннего контроля на предприятии. Оценка системы внутреннего контроля при проведении аудиторской проверки

Как оценить систему внутреннего контроля на предприятии. Оценка системы внутреннего контроля при проведении аудиторской проверки

а) общее знакомство с системой внутреннего контроля;

б) первичная оценка надежности системы внутреннего контроля;

в) подтверждение достоверности оценки системы внутреннего контроля.

Аудиторские организации могут принять решение о применении в своей деятельности большего количества этапов оценки системы внутреннего контроля, чем три вышеупомянутые, проводить оценку более детально и тщательно, чем предписывается в данном разделе.

5.2. Общее знакомство с системой внутреннего контроля

5.2.1. Аудиторской организации в начале работы следует получить общее представление о специфике и масштабе деятельности экономического субъекта и системе его бухгалтерского учета. По итогам первоначального знакомства аудиторская организация должна принять решение о том, может ли она в своей работе вообще полагаться на систему внутреннего контроля экономического субъекта, подлежащего проверке.

5.2.2. В случае, если аудиторская организация примет решение о том, что она не может полагаться в своей работе на систему внутреннего контроля экономического субъекта, она должна планировать аудит таким образом, чтобы аудиторское мнение не основывалось на доверии к этой системе. Это может быть сделано, когда надежность системы внутреннего контроля оценивается аудитором как "низкая" или когда аудитору более удобно или экономически оправдано не полагаться на эту систему.

5.2.3. В том случае, если по итогам общего знакомства с системой внутреннего контроля экономического субъекта аудиторская организация примет решение о том, что она может сделать попытку полагаться в своей работе на систему внутреннего контроля, ей следует осуществить первичную оценку надежности системы внутреннего контроля.

5.3. Первичная оценка надежности системы внутреннего контроля

5.3.1. Процедура первичной оценки надежности системы внутреннего контроля осуществляется на основе методики и приемов, которые аудиторские организации разрабатывают самостоятельно, но с учетом требований настоящего Правила (Стандарта) аудиторской деятельности.

5.3.2. В ходе процедуры первичной оценки надежности системы внутреннего контроля аудитор обязан принимать во внимание, что:

а) следует проверять на предмет надежности средств контроля бухгалтерскую и хозяйственную документацию экономического субъекта всего отчетного периода, а не только избранных периодов времени;

б) при проверке необходимо уделить большее внимание тем периодам, деятельность в которых имела особенности или различия по сравнению с деятельностью, типичной для всего периода в целом;

в) оценка надежности всей системы внутреннего контроля и (или) отдельных средств контроля как "низкой" не исключает возможности оценки надежности других отдельных средств контроля как "средней" или "высокой".

5.3.3. По итогам процедуры первичной оценки надежности аудиторская организация может оценить надежность всей системы внутреннего контроля и (или) отдельных средств контроля как "среднюю" или как "высокую". В этом случае аудиторская организация должна планировать аудиторские процедуры исходя из этого предположения, но не должна доверять данной системе абсолютно.

5.3.4. В том случае, если по итогам процедуры первичной оценки аудиторская организация оценит надежность системы внутреннего контроля в целом и (или) отдельных средств контроля как "низкую", она обязана констатировать это и в дальнейшем планировать аудиторские процедуры соответствующим образом.

5.4. Подтверждение достоверности оценки системы внутреннего контроля

5.4.1. Аудиторская организация, принявшая по итогам процедуры первичной оценки решение о доверии системе внутреннего контроля и (или) отдельным средствам контроля, обязана в ходе аудиторской проверки осуществлять процедуры подтверждения достоверности этой системы.

5.4.2. Процедуры подтверждения достоверности системы внутреннего контроля и (или) отдельных средств контроля осуществляются на основе методики и приемов, которые разрабатываются аудиторской организацией самостоятельно, но с учетом требований настоящего Правила (Стандарта) аудиторской деятельности.

5.4.3. В том случае, если аудиторская организация в ходе процедур подтверждения надежности придет к выводу о том, что оценка надежности системы внутреннего контроля в целом и (или) каких-либо отдельных средств внутреннего контроля окажется ниже той, которая была получена в ходе первичной оценки, она обязана соответствующим образом скорректировать порядок осуществления других аудиторских процедур, чтобы в целом повысить достоверность своих выводов по результатам проведения аудита.

5.5. Аудиторские процедуры, проводимые для проверки работоспособности и надежности системы внутреннего контроля и отдельных средств контроля, называются тестами средств контроля.

5.6. Все этапы оценки системы внутреннего контроля должны надлежащим образом документироваться с указанием аргументов, которыми руководствовалась аудиторская организация, давая соответствующую оценку надежности всей системе или отдельным средствам контроля или принимая решение, оказывающее влияние на планирование аудиторских процедур.

В ходе аудиторской проверки аудитор обязан изучить и оценить те средства контроля, на основе которых он собирается определить суть, масштаб и временные затраты предполагаемых аудиторских процедур.

В РФ действует правило (стандарт) «Изучение и оценка систем бухгалтерского учета и внутреннего контроля в ходе аудита».

Если аудитор убеждается в том, что он может использовать данные соответствующих средств контроля, он получает возможность проводить аудиторские процедуры менее детально и более выборочно. При оценке эффективности и надежности системы внутреннего контроля в целом, контрольной среды и отдельных средств контроля аудиторская организация использует не менее трех градаций: высокую, среднюю, низкую. Руководство экономического субъекта несет ответственность за разработку и фактическое воплощение системы внутреннего контроля. От него зависит, чтобы система внутреннего контроля отвечала размерам и специфике деятельности экономического субъекта, функционировала регулярно и эффективно.

Результатом аудита системы внутреннего контроля является определение риска внутреннего контроля. Степень выбранного риска влияет в дальнейшем на размер статистической выборки, используемой при проверке соответствующей позиции баланса. Необходимо различать аудит системы внутреннего контроля в целом, т. е. общие темы, и аудит ее основных объектов (снабжение, сбыт и т. д.). Проверка системы внутреннего контроля в целом должна обязательно проводиться аудитором, а степень необходимости

проверки внутреннего контроля по каждому объекту аудитор устанавливает исходя из соотношения предполагаемых затрат и размера проверяемой совокупности. . При проверке системы внутреннего контроля аудитор выполняет три важных этапа: описание действующей системы внутреннего контроля; оценка целесообразности контрольных механизмов; проверка эффективности системы внутреннего контроля.

При этом аудитору следует руководствоваться следующими принципами: эффективность внутреннего контроля во многом зависит от вида и объема проводимых хозяйственных операций; разделение функциональных обязанностей; контроль - в эффективно действующей предпринимательской структуре ни одна операция не должна оставаться без контроля. Задача аудитора - оценить целесообразность внутренних проверок в конкретных ситуациях. Оценку эффективности системы внутреннего контроля аудитор должен организовать по направлениям, соответствующим циклам бизнеса: снабжение, производство, сбыт, оплата труда, финансы. Оценка системы внутреннего контроля базируется на получении ответов на основные контрольные вопросы, содержащиеся в бланках, которые заранее выдают аудиторам в аудиторских фирмах. Основной аудитор может вносить коррективы в перечень вопросов в зависимости от особенностей клиента.

она эффективно предупреждает возникновение недостоверной информации;

эффективно выявляет недостоверность в пределах ограниченного времени, после того как недостоверная информация возникла.

бухгалтерского учета, статьи баланса и т. п. Риск средств контроля характеризует степень надежности системы бухгалтерского учета и системы внутреннего контроля экономического субъекта.

Для оценки риска средств контроля аудитор должен применять специальные аудиторские процедуры: опросы и наблюдение за оформлением операций; проверку документов, отражающих проведение финансово-хозяйственных операций; использование результатов других аудиторских процедур.

Риск необнаружения - это определяемая аудитором вероятность того, что применяемые аудитором в ходе проверки аудиторские процедуры не позволяют обнаружить реально существующие нарушения.

Риск необнаружения является показателем эффективности и качества работы аудитора, он зависит от порядка проведения конкретной аудиторской проверки, а также от квалификации аудиторов и степени их предыдущего знакомства с деятельностью проверяемого экономического субъекта.

Чем выше уровень существенности, тем ниже общий аудиторский риск, и наоборот.

С абсолютной точностью нельзя определить достоверность отчетности, но обязательно установить ее достоверность во всех существенных аспектах.

Подуровнем существенности понимается предельное значение ошибки бухгалтерской отчетности, начиная с которого квалифицированный пользователь может делать правильные выводы.

Аудиторские фирмы при определении уровня существенности обязаны установить систему базовых показателей и порядок определения уровня существенности. Как правило, аудиторская фирма составляет внутрифирменный стандарт «Существенность и аудиторский риск».

Объединение в рамках второго этапа различных по содержанию и продолжительности проведения элементов аудита, какими являются получение аудиторских доказательств it формулирование аудиторского заключения, представляется необоснованным. В то же время ряд специалистов рассматривает процесс сбора и документирования аудиторских доказательств и подготовки аудиторского заключения как самостоятельные этапы проверки.

Три основных этапа проведения аудита:

подготовка и планирование аудиторской проверки;

выполнение аудиторских процедур и оформление рабочей документации;

составление аудиторского заключения.

Подготовка и планирование аудиторской проверки

производятся в соответствии с действующим законодательством, условиями договора с клиентами финансово-хозяйственной деятельности объекта про- верк. Дается оценка его системы бухгалтерского учета и внутреннего контроля с целью установления вероятности возникновения ошибок, влияющих на достоверность финансовой отчетности и аудиторский риск. На основе такой оценки определяются содержание, масштаб и количество аудиторских процедур. Эта информация отражается в общем плане и программе аудита. На данном этапе решается также вопрос о привлечении экспертов и составе аудиторской бригады.

На этапе выполнения аудиторских процедур производятся сбор аудиторских доказательств и их документирование.

В аудиторском заключении аудитор обобщает результаты проверки, формулирует мнение относительно достоверности отчетности и соответствия ее дей- " ствующему законодательству.

Как провести оценку системы внутреннего контроля компании: основные этапы диагностики, как проанализировать результаты и понять, что исправить.

Систему внутреннего контроля можно назвать «подушкой безопасности» для бизнеса и его финансового учета, так как ее задачи это:

  • исключить искажение хозяйственных операций еще до того, как они попали в оперативный, бухгалтерский учет,
  • обеспечить руководство и акционеров достоверной учетной информацией,
  • не допустить снижение прибылей бизнеса от таких негативных явлений как злоупотребления сотрудников с активами, мошенничество, зависимости бизнеса от менеджмента, а также от внешних рисков.

Зачем проводить оценку системы внутреннего контроля

Перед тем как говорить об оценке системы внутреннего контроля , я хочу привести примеры из моей практики по диагностике контрольной среды организаций.

Пример первый. В одной торговой компании существует постоянный спор: кто собирает акты сверки с покупателями, кто ответственен за состояние дебиторской задолженности – менеджеры или бухгалтерия? Известная для многих ситуация, не правда ли? В компании эта проблема не находит решения который год. Но наступает и в этом году момент сдачи годовой бухгалтерской отчетности. И бухгалтеру приходится собирать дебиторскую задолженность как есть, проверяя наспех имеющиеся акты сверки и отмечая, что многие из задолженностей год и более остаются «без движения». Бухгалтер подписывает ведомость инвентаризации дебиторской задолженности, ставя в ней отметку, что вся задолженность «текущая», вносит в бухгалтерский баланс общую сумму о дебиторской задолженности. Отчетность сделана и сдана в налоговую инспекцию в срок. После приходят на проверку аудиторы (компания впервые проводит ) и выявляют существенно недостоверную строки бухгалтерского баланса - дебиторскую задолженность. Почему? Часть ее является безнадежной и подлежала списанию еще в прошлом году, часть – сомнительной, под которую не создан резерв, а по некоторым долгам акты сверок не совпадают с цифрами бухгалтерского учета.

А вот еще пример. Молодая производственная компания, делает медицинские приборы и комплектует их индивидуально под каждого заказчика. В ней быстрый темп работы, чувствуется драйв, азарт работы инженеров, производителей, коммерсантов. Главный бухгалтер уже три года буквально упрашивает делать производственников производственные отчеты, но всем некогда. Ему говорят, что это «не первоочередная задача», и что «бухгалтер сам должен что-то придумать». А в бухгалтерию приносят только следующие документы из производства: накладные от поставщиков на материалы и накладные на отгрузку уже готовых изделий. А отчитываться по налогам надо и аудит проходить обязало руководство. И главный бухгалтер делает следующее: распечатывает ведомость по материалам из бухгалтерского учета и просит отметить в ней начальника производства что было списано в текущем квартале. Согласно этих отметок бухгалтер и списывает материалы на себестоимость в бухгалтерском и налоговом учете. Так же он подписывает ведомости на списание материалов. Сам составляет ведомость о выпуске из производства уже проданных изделий, тоже подписывает ее и подписывает у генерального директора. Что в итоге: получено аудиторское заключение с оговоркой о недостоверности себестоимости и финансовых результатов и доначислен налог на прибыль при выездной налоговой проверке по лишнему списанию материалов в производство, по выявлению незавершенного производства и фальсификации производственных документов.

И еще отмечу, что ни одна из приведенных компаний не имела целью сокрытия хозяйственных операций от бухгалтерского учета, обе организации исправно платили налоги в достаточно больших для этих организаций размерах.

Что в этих примерах общего? А общее вот что:

  • не определены ответственные должностные лица за эти бизнес-процессы,
  • бухгалтер вынужден замкнуть проблемы контроля в бизнес-процессах на себя,
  • подобные ситуации – это благодатная почва для , когда нет контроля и отчеты формальны,
  • внутренние противоречия повлекли внешние риски: налоговые доначисления по документальной необоснованности расходов и недостоверность бухгалтерской отчетности.

Но самое главное, что в обеих организациях пассивно руководство и владельцы к источникам внутренних проблем. Вот так «повторяющийся хаос становится порядком», как сказал немецкий ученый Вильгельм Швёбель. А причина этих бед в обеих компаниях – одна: отсутствует системный внутренний контроль.

И, увы, подобные примеры встречаются достаточно часто, особенно в малом и среднем бизнесе.

Полезные документы

Принципы эффективной системы внутреннего контроля

Эффективность системы внутреннего контроля базируется на пяти принципах:

  1. Рациональность – должна быть соразмерна бизнесу, но расходы на ее создание не должны превышать стоимость от ее выгоды, тормозить процессы развития.
  2. Независимость – ключевой принцип, без соблюдения которого трудно представить эффективную систему внутреннего контроля.
  3. Регулярность – контроль от случая к случаю сведет на нет любые хорошо прописанные регламенты.
  4. Гибкость – система внутреннего контроля должна быстро подстраиваться к переменам в компании.
  5. Заинтересованность собственника – только при личной заинтересованности собственника система внутреннего контроля даст свои плоды.

Система внутреннего контроля охватывает два аспекта деятельности организации – это повышение эффективности бизнес-процессов (в том числе снижение затрат) и управление рисками. Для этого в первую очередь необходимо диагностировать текущие бизнес-процессы с целью оценки их эффективности и определения всех потенциально возможных рисков. Результаты такой диагностики должны стать основой для разработки плана мероприятий по созданию системы внутреннего контроля и снижению выявленных рисков.

Этапы диагностики системы внутреннего контроля

Что включает в себя сама процедура диагностики системы внутреннего контроля?

  1. Анализ основных бизнес-процессов компании.
  2. Анализ и его организации в бизнес-процессах.
  3. Анализ распределения функциональных обязанностей сотрудников в бизнес-процессах.
  4. Экспресс-анализ бухгалтерского, налогового, кадрового, оперативного и управленческого, учетов.
  5. Экспресс-анализ используемых программных продуктов.
  6. Интервьюирование сотрудников и руководства.
  7. Проведение выборочных контрольных процедур, а также сопоставление и анализ данных, полученных из разных источников.

Из моего практического опыта систему внутреннего контроля разных компаний независимо от масштаба и экономического вида деятельности можно оценить по 5-ти бальной системе (см. таблицу).

Таблица . Оценка системы внутреннего контроля

Оценка в баллах

Уровень СВК

Характеристика уровня

Начальный

Система контролей отсутствует полностью или применяется бессистемно, в небольшой части бизнес-процессов, на уровне отдельных сотрудников, имеет серьезные ошибки. Нет формализованных стандартов и принципов контрольной среды.

Определяющий

Существуют практические элементы системы контроля в основных бизнес-процессах, но не формализованы в систему, применяются элементы контроля эпизодически.

Стандартизированный

Определены стандарты, процессы и структуры системы контроля, но только «на бумаге». В реальности часть их не работает. Фактические процессы контроля не соответствуют формализованным стандартам, охватывают не все бизнес-процессы.

Управляемый

Существуют регламенты и стандарты системы контроля. Определены структура, функции и процессы системы контроля. Внутренний контроль – на уровне системы, которая реально работает во всей компании и дает результаты – снижает риски. Но существуют не решенные проблемы в области взаимодействия и внутреннего контроля в основных и вспомогательных процессах.

Оптимальный

Система контролей не просто снижает риски, а является инструментом, который позитивно влияет на эффективность деятельности.

Каждому уровню системы контроля присущи свои элементы, свои «болезни» и свои особенности. Рассмотрим их подробнее.

Оценка 1 – начальный уровень системы внутреннего контроля

Эта оценка может быть присвоена тем компаниям, в которых нарушены основные принципы системы внутреннего контроля. В таких компаниях обычно финансовый учет не отражает реальных бизнес-процессов и находится в крайне неудовлетворительном состоянии. Отсутствует реальная оценка зарабатываемой бизнесом прибыли. В безналичных и наличных денежных расчетах смешиваются выплаты по бизнесу и личные расходы, денежные расходы не планируются, имеют системный характер. Документооборот не полный, качество документов низкое (отсутствуют подписи, даты и т.п.), это влечет потенциальные налоговые риски и проигрыши в судебных спорах с контрагентами. Складской учет отсутствует в принципе. Отсутствует юридическая материальная ответственность фактических материально-ответственных лиц. Инвентаризации товаров, дебиторской задолженности (периодические, выборочные, внезапные) не проводятся. Совмещаются несовместимые функциональные обязанности на одних и тех же сотрудниках по учету, распоряжению, доступу к активам (основные средства, деньги, товары, материалы, предоставление скидок покупателям). Неэффективное использование трудовых ресурсов, система КPI не мотивирует сотрудников, затраты на премии не создают благ для компании. Крайне низкая IT-безопасность. Результаты бизнеса слабо контролируется на уровне топ-менеджеров и на уровне акционеров (владельцев).

Риски

Таким образом, в компаниях с оценкой системы контроля «1» созданы все условия для мошенничества, хищений и злоупотреблений сотрудников, а также высокие внешние риски значительных налоговых доначислений при проверках, угрозы прерывания деятельности и угрозы банкротства. Все бизнес-процессы и контроль в них требуют кардинальной перестройки.

Оценка 2 – определяющий уровень СВК

Дается в основном тем компаниям, в которых внутреннего контроля на уровне системы не создано. Организационная структура таких компаний не формализована или имеет неверную структуру подчиненности, что уже закладывает почву для внутренних рисков злоупотреблений должностными полномочиями и мошенничества. Именно поэтому, очень часто оперативное управление бизнесом попадает под значительное влияние отдельных топ-менеджеров, это делает бизнес зависимых от них.

Отсутствуют утвержденные регламенты работы сотрудников с их четким функционалом, а также по взаимодействию между подразделениями.

Результаты оперативного складского, производственного учета, учета продаж представляются топ-менеджерам не в режиме реального времени и не дают возможность быстро реагировать на изменения внутренних и внешних условий деятельности. Акционеры и топ-менеджеры получают не полноценные результаты о деятельности бизнеса из системы управленческого учета.

Очень часто руководство компаний с оценкой «2» системы внутреннего контроля имеют дифференцированные результаты по зарабатываемой бизнесом прибыли и активно анализируют их, но не контролируют состояние активов и обязательств (дебиторской и кредиторской задолженностей, запасов, основных средств), не требуют этого от соответствующих топ-менеджеров.

В ряде компаний с данной оценкой системы внутреннего контроля имеют существенные недостатки IT-безопасности, которые приводят к высоким рискам утечки информации (баз данных, технологий) и делают бизнес не защищенным от внешних конкурентов.

Риски

Несмотря на то, что бизнес компаний с оценкой «2» системы внутреннего контроля может быть прибыльным, но ему присущи все следующие виды рисков с высокой вероятностью их наступления:

  • риск потерь основного актива (в зависимости от характера деятельности компании – это может быть недвижимость, оборудование, товары);
  • риски налоговых доначислений при проверках;
  • риск недостоверной информации по данным оперативного, бухгалтерского и ;
  • риск зависимости от человеческого фактора: бизнес-процессы недостаточно формализованы и сильно сконцентрированы на отдельном топ-менеджере.

В ряде ключевых бизнес-процессов контрольные функции недостаточны и не соразмерны масштабам деятельности. Нередко компаниям с оценкой системой контроля «2» характерно сосредоточение максимальных контрольных функций на одном-двух бизнес-процессах в ущерб всем другим процессам. Некоторые бизнес-процессы требуют перестройки (реинжиниринга). Процессы планирования недостаточны для текущих потребностей бизнеса. Контрольные функции по всем бизнес-процессам в настоящее время замыкаются на акционерах (владельцах) бизнеса.

Оценка 3 – стандартизированный уровень системы внутреннего контроля

На сегодняшний день самая распространенная среди компаний среднего бизнеса (этот вывод я сделала из своей практической работы за пять последних лет). Ей характерно формальное существование стандартов внутреннего контроля и других процессов. А также не редко встречается вместе с этим формальное проведение контролей.

У топ-менеджеров компаний с оценкой «3» есть понимание бизнеса. Задачи собственников каскадируются в менеджмент (хотя и не формализованы часто в качестве стратегии), задачи исполняются, анализируются, по ним принимаются управленческие решения.

Все бизнес-процессы работают сбалансировано. Контрольные функции присутствуют в каждом бизнес-процессе. Среда внутреннего контроля в таких компаниях создана, но система внутреннего контроля недостаточна для масштабов бизнеса: имеет рисковые зоны, не защищает в полной мере активы от их утраты (хищения, злоупотребления), а прибыль от снижения.

Созданы формализованные, утвержденные регламенты работы и методики:

  • по управленческому учету;
  • по системе заработной платы и KPI;
  • по графику документооборота;
  • по технологическим потерям и браку и другие.

Полезные документы

В утвержденных регламентах распределение функциональных обязанностей, организационная структура, кадровая политика, и функционал работников также сбалансированы. Но фактически бизнес-процессы могут отличаться от утвержденных на бумаге, или не применяться вовсе. Частой причиной этого является недостаточное выражение воли акционеров (владельцев) в сочетании с отсутствием системы планирования внедрения изменений и системы мотивации. Как следствие этих недостатков системы контролей, фактическое оперативное управление бизнесом иногда в компаниях с оценкой системы внутреннего контроля «3» находится под значительным влиянием отдельных топ-менеджеров.

, планирования и анализа не позволяют в полной мере осуществлять мониторинг результатов деятельности. Отсутствуют единые требования и стратегии в части ведения управленческого учета. Процессами планирования охвачены не все центры финансовой ответственности, бизнес-процессы. Принимаемые управленческие решения могут быть не верными. Вместе с тем акционеры и топ-менеджеры таких компаний в основном получают реальные результаты о деятельности бизнеса из системы управленческого учета.

Риски

Акционеры значительно погружены в ее операционную деятельность компании, что не позволяет им уделять должного внимания процессам развития и контролировать бизнес удаленно без потерь прибылей.

Оценка 4 – управляемый уровень СВК

Эту оценку ставят тем компаниям, в которых внутренний контроль действует на уровне системы (системного подхода), то есть связывает перекрестными контрольными функциями все бизнес-процессы организации без исключения. Обычно такие компании (исключая небольшой частный бизнес со штатом до 20 человек) имеют в штате внутреннего контролера (аудитора) или службу внутреннего контроля, независимых от активов, процессов и учета. В таких компаниях цели акционеров каскадируются в менеджмент, а топ-менеджеры понимают поставленные перед бизнесом задачи.

Система внутреннего контроля создана, соответствует масштабам бизнеса, защищает в активы от их утраты, а прибыль от снижения, но имеет рисковые зоны. Можно говорить о высокой оценке существующих внутренних контролей только тогда, когда «три кита» такой системы действуют эффективно, то есть:

  • рационально распределение функциональных обязанностей сотрудников,
  • хозяйственные операции обеспечены качественным документооборотом и регламентами,
  • учетная система обеспечена программным обеспечением и методиками, регулярно представляет достоверные результаты акционерам и топ-менеджерам о прибылях, активах и денежных средствах, имеет стратегическое планирование и анализ.

В компаниях с уровнем контроля «Управляемый» сочетаются регулярные (запланированные) и внезапные контрольно-ревизионные процедуры с оформлением документов. Проведение контрольных мероприятий не формальное. Их результаты не замалчиваются, а анализируется топ-менеджментом, отражаются в финансовом учете, принимаются решения и действия, направленные на исключение негативных явлений в будущем.

Для топ-менеджемента и основных акционеров построены логичные и прозрачные регламенты управления по направлениям:

  • продажи;
  • сервис;
  • закупки;
  • производство и обеспечение качества;
  • финансы и экономика;
  • инвестиции.

Выделены центры финансовой ответственности согласно стратегическим задачам бизнеса. Процессы планирования (производства, продаж, закупок, финансов) удовлетворяют потребностям бизнеса.

Риски

Риски внутренних злоупотреблений с активами и мошенничества сведены к минимуму, но система внутреннего контроля все же не исключает зависимость компании от топ-менеджмента.

IТ-безопасность не соответствует уровню лидеров отрасли.

Служба внутреннего контроля (внутреннего аудита) и служба экономической безопасности созданы. Но взаимодействие между ними и с другими службами организовано не достаточно оптимально и нередко рождает конфликты между руководителями подразделений не принося эффективности компании в целом. Отчеты служб внутреннего контроля (внутреннего аудита) и экономической безопасности нельзя назвать регулярными (1-2 раза в год). Данные службы оперативно представляют руководству только докладные записки по фактам выявленных экстремальных ситуаций. Только генеральный директор и собственник вправе решать, как распорядиться этой информацией: какие действия предпринять, какие санкции применять или не применять.

Акционеры (владельцы) имеют возможность контролировать бизнес удаленно по контрольным точкам без ущерба для операционной деятельности компании.

Оценка 5 – оптимальный уровень системы внутреннего контроля

Отличной оценки удостаиваются в основном компании с иностранным управлением, участием или в крупных компаниях-холдингах. Из моей практической работы за последние 5 лет по диагностикам контрольных систем это единичные случаи. Однако на данном этапе развития системы контролей существует опасность увлечься контрольными процедурами в ущерб процессов развития компаний.

Все бизнес-процессы и контроль в них соответствует стратегии компании.

Для компаний с оценкой «5» системы внутреннего контроля характерно, прежде всего, создание рациональной организационной структуры компании и формализованных основных процедур управленческого взаимодействия. В среднем и крупном бизнесе эти задачи решает служба корпоративного управления. Также спланированная работа независимых служб внутреннего контроля и экономической безопасности при правильной подчиненности в организационной структуре (согласно профилю деятельности, масштабу компании, структуры владения акционерами) - осуществляют контроль над бизнесом. Правильная организация финансово-экономической службы позволяет добиться существенного роста прибыли без серьезных дополнительных вложений и технологических инноваций. Более того, часть данных финансово-экономическая служба получает от службы внутреннего контроля и службы экономической безопасности. Регулярные процессы создания полноценной управленческой отчетности, планирования и позволяют принимать правильные управленческие и стратегические решения. Сочетание регулярных текущих и внезапных контрольно-ревизионных процедур дают разумную уверенность в достоверности активов компании. Юридическая служба и служба по экономической безопасности «держат руку на пульсе» по предотвращению сделок недружественного поглощения. Информационная IT-безопасность на высоком уровне и также защищает компанию от внутренних и внешних рисков.

Генеральный директор компании и ее основной собственник (собственники) регулярно получают от службы внутреннего контроля и экономической безопасности аналитическую информацию (в виде отчетов и докладных записок по экстремальным ситуациям) о внешней и внутренней среде компании.

Служба внутреннего контроля также является обязательным участником в разработке и изменений регламентов управления для таких коммерчески важных управленческих процессов, как: «Закупки», «Продажи», «Производство и качество продукции», «Финансы», «Инновации и инвестиции» и некоторых других процессов.

Такой алгоритм совместной работы всех подразделений компании совместно со службой внутреннего контроля позволяет своевременно отсекать случайные или злонамеренные учетные ошибки, попытки совершить сделки от имени компании на невыгодных для нее условиях, более осмотрительно и тщательно подходить к выбору поставщиков и покупателей, к принятию решений о вступлении в долгосрочные и стратегические сделки. Однако, вместе с тем, в таких компаниях не создана атмосфера «тотальной слежки», а главный акционер или по его поручению топ-менеджеры при формировании служб контроля «не перегибают палку». Методы контроля сочетаются с методами мотивации менеджеров всех уровней, что обеспечивает работу только на благо компании.

Акционеры (владельцы) контролируют бизнес удаленно по контрольным точкам и концентрируются на процессах развития бизнеса и инвестиционных процессах.

В заключении я приведу неоспоримый факт: бизнес не может существовать абсолютно бесконтрольно. Намного выгоднее предотвращать возможные риски, чем устранять возникшие негативные последствия в виде финансовых и репутационных потерь. Хорошо отлаженная система внутреннего контроля реально позволяет повысить эффективность бизнеса, за счет минимизации рисков финансовых потерь, злоупотреблений и мошенничества, недобросовестного отношения сотрудников, нерационального использования внутренних и внешних ресурсов. Не выгодна система контролей только тому, кто заинтересован в хаосе. По понятным причинам в хаосе проще утаить то, что не должно быть найдено. Как показывает практический опыт многих успешных компаний, при правильном подходе эффект от функционирования системы внутреннего контроля намного превышает сумму затрат на ее внедрение.

Контроль необходим всегда, пока есть деньги, бизнес и конкурентная борьба!

"Аудиторские ведомости", 2009, N 9

Рассматриваются вопросы организации и оценки системы внутреннего контроля в медицинских учреждениях с учетом требований российского законодательства и правил (стандартов) аудиторской деятельности. Приведены основные направления работы аудитора, связанные с анализом систем бухгалтерского учета и внутреннего контроля.

Возрастание требований к достоверности финансовой отчетности изменило подходы к анализу системы внутреннего контроля (далее - СВК) в организации. Это выразилось в разработке стандартов, обеспечивающих учет качества контроля аудируемых лиц. Появились международные стандарты аудита ISA 315, ISA 330, которые увязывают оценку аудиторских рисков и аудиторские процедуры по оцененным рискам с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности, что привело к внесению дополнений и поправок практически во все МСА. В соответствии с МСА анализ СВК должен проводиться постоянно. Начиная с 2006 г. вносятся изменения, вводящие ответственность руководства аудируемого лица за разработку, внедрение и поддержание СВК, которая обеспечила бы представление достоверной финансовой отчетности.

В соответствии с Федеральным правилом (стандартом) аудиторской деятельности "Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом" основу внутреннего контроля экономического субъекта составляют контрольная среда, система бухгалтерского учета и средства контроля.

Важнейшими функциями внутреннего контроля в медицинских учреждениях являются обеспечение выполнения работниками своих должностных обязанностей, соблюдение государственных гарантий в сфере оказания медицинской помощи. Эффективный внутренний контроль позволяет руководителям медицинских учреждений снижать существующие риски.

Внутренний контроль включает:

  • бухгалтерский (финансовый) учет (счета и двойная запись, инвентаризация и документация, балансовое обобщение);
  • управленческий учет (выделение центров ответственности, нормирование издержек);
  • ревизию, контроль, аудит (проверку документов, проверку арифметических расчетов, проверку соблюдения правил учета отдельных хозяйственных операций, инвентаризацию, устный опрос персонала, подтверждение и прослеживание). Приступая к работе, аудитор изучает СВК медицинского учреждения, для того чтобы спланировать аудиторскую проверку и определить содержание, объем и время проведения необходимых процедур. Такое изучение дает возможность оценить риск искажения в финансовой отчетности учреждения. При этом аудитору следует сделать акцент на изучении средств контроля, которые имеют непосредственное отношение к финансовой информации. Средства контроля, которые не влияют на финансовую информацию, не являются существенными для аудитора, если только они косвенно не затрагивают финансовую отчетность.

Аудит СВК медицинских учреждений призван оценить эффективность деятельности руководства медицинского учреждения по организации системы внутреннего контроля, уберечь от неэффективного использования ресурсов: человеческих, финансовых и материальных; непреднамеренного и преднамеренного искажения отчетности; прямого мошенничества со стороны персонала и руководства медицинского учреждения.

В аудите СВК целесообразно выделить несколько направлений проверки:

  • разделение полномочий;
  • ротация персонала;
  • использование и анализ учетных записей, а также организация и координирование действий, направленных на обеспечение сохранности активов;
  • надежность учетной информации;
  • повышение эффективности операций;
  • следование проводимой учреждением социальной политике.

Понятие внутреннего контроля охватывает круг вопросов, выходящих за рамки обычного бухгалтерского учета. Сегодня СВК в медицинских учреждениях представляет собой инструмент контроля за соблюдением предоставления регламентированных российским законодательством медицинских услуг установленного объема и качества.

В ходе аудита выясняется, во-первых, роль руководства в формировании цели и постановке задач медицинского учреждения и отдельных его структурных подразделений, соответствие этим задачам структуры учреждения. Во-вторых, устанавливается, существуют ли в учреждении эффективная система документирования и отчетности, разделение полномочий, авторизация, мониторинг для достижения поставленных целей.

Аудитор должен организовать проверку и оценить согласованность работу действий поставленных в учреждении систем учета и внутреннего контроля. Все аудиторские процедуры по оценке СВК должны документироваться. Схема организации работы аудитора по анализу системы внутреннего контроля медицинских учреждений приведена в табл. 1.

Таблица 1

Организация работы аудитора по анализу СВК медицинских учреждений

Цели СВК Оценка аудитором СВК
и выполнения
поставленных перед
ней целей 		Рекомендации аудитора по
улучшению СВК
Упорядоченная и
эффективная деятельность
медицинского учреждения 		Низкая Систематическая работа по
организации СВК
Средняя То же
Высокая Мероприятия по сохранению
высокой эффективности СВК
Соблюдение
государственной политики
в области
здравоохранения
руководством и каждым
сотрудником медицинского
учреждения 		Низкая Постоянная работа по
налаживанию внутреннего
контроля за соблюдением
государственной политики в
области здравоохранения
руководством в отношении
каждого работника
Средняя Сохранение и развитие
достигнутых результатов
Высокая Сохранение достигнутых
результатов
Сохранность имущества
учреждения 		Полная Разработка механизмов,
обеспечивающих сохранность
имущества медицинского
учреждения
Частичная Пресечение неправомерных
действий сотрудников,
принятие мер для
обеспечения сохранности
имущества
Достоверность и
объективность
бухгалтерской
(финансовой) отчетности 		Неполное отражение
показателей
имущественного
состояния и
деятельности
медицинского
учреждения в
бухгалтерской
(финансовой)
отчетности 		Обучение сотрудников
медицинского учреждения
методике учета и контроля
Оценка возможности
незаконного присвоения
или неэффективного
использования средств
учреждения 		Имеются случаи
несоблюдения
принципов разделения
обязанностей и
контроля 		Усиление контроля,
соблюдение принципа
разделения полномочий по
контролю между
сотрудниками,
осуществляющими работу с
ценностями и учет в
медицинском учреждении
Своевременное выявление
и анализ отклонения от
плановых показателей,
определение
ответственных лиц 		Анализ и оценка
плановых показателей
носит нерегулярный
характер, не
изучаются отклонения
от заданных
показателей 		Введение методики
внутреннего планирования и
стимулирования в
медицинском учреждении
Оперативная передача
внутренней отчетности
медицинского учреждения
лицам, уполномоченным
принимать управленческие
решения 		Результаты
деятельности
медицинского
учреждения
нерегулярно
рассматриваются 		Разработка порядка
внутренней отчетности
медицинского учреждения и
алгоритма принятия решений
по результатам анализа
полученной информации

Аудитору в ходе анализа необходимо изучить каждый из элементов СВК медицинского учреждения. В ходе оценки этой системы выполняются следующие работы. На первом этапе необходимо разработать структуру (модель) СВК и определить критерии для оценки надежности и эффективности ее элементов. На втором этапе аудитор выясняет, существуют ли данные элементы в медицинском учреждении. Далее с помощью тестов он устанавливает, выполняет ли контроль необходимые функции. Тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления нарушений. Все описанные действия аудитора должны быть отражены в рабочей документации.

В случае обнаружения существенных недостатков в СВК руководитель медицинского учреждения совместно с аудитором должен принять меры, способствующие улучшению работы системы учета и контроля. В связи с этим аудитору следует произвести необходимый объем организационных мероприятий, с тем чтобы наладить функционирование СВК. Рекомендации, направленные на устранение обнаруженных недостатков, отражаются в письменной форме и предоставляются руководству.

В ходе изучения и анализа СВК медицинского учреждения аудитор принимает во внимание присущие любой системе внутреннего контроля ограничения. Наиболее очевидное ограничение обусловлено необходимостью удерживать в разумных пределах затраты на проведение контрольных процедур, с тем чтобы эти затраты не оказались несоразмерными по отношению к оценкам выявленного ущерба от ошибок и мошенничеств.

В широком смысле внутренний контроль можно рассматривать как систему, состоящую из элементов входа (информационное обеспечение контроля), элементов выхода (информация об объекте управления, полученная в результате контроля) и совокупности следующих взаимосвязанных звеньев (центров ответственности, техники контроля, процедур контроля, среды контроля, системы учета).

Для организации СВК медицинского учреждения аудитор проводит ряд мер, повышающих эффективность установленных процедур внутреннего контроля.

Во-первых, разрабатываются должностные инструкции работников, в которых должен быть формально определен и документально закреплен порядок деятельности (действий и взаимоотношений) определенного круга работников медицинского учреждения по поводу планирования, организации, регулирования, контроля, учета и анализа операций в процессе реализации конкретных финансовых и хозяйственных операций.

Во-вторых, определяется перечень первичных документов или других носителей информации, содержащих данные об исполнении соответствующими работниками своих функций по отражению финансовых и хозяйственных операций.

В-третьих, выделяются точки контроля для оценки различных аспектов реализации конкретных финансовых или хозяйственных операций медицинского учреждения и оценивается состояние или наличие ресурсов. Устанавливаются контролируемые параметры объектов контроля, критические точки контроля, в которых риск возникновения ошибок, искажений и других нежелательных явлений особенно велик.

В-четвертых, выбираются типы и методы проведения контроля, соответствующие среде внутреннего контроля, которая включает:

  • стиль работы руководителей медицинского учреждения;
  • адекватное понимание руководством роли внутреннего контроля в управлении учреждением;
  • конкретные действия руководителей в плане организации СВК и ее совершенствования;
  • организационный статус отдела внутреннего аудита;
  • определение и документальное закрепление процедур контроля;
  • оформление полномочий и ответственности сотрудников, способов информирования сотрудников об установленных правилах;
  • изучение руководителями выявленных в результате контроля отклонений и своевременное принятие ими соответствующих решений;
  • четкую работу системы коммуникаций и информационного обеспечения управления; налаженность систем бюджетирования, подготовки финансовой отчетности для внешних и внутренних пользователей;
  • соблюдение действующего законодательства и работу с органами внешнего контроля.

Таким образом, СВК представляет собой достаточно сложный блок взаимодействий внутри организации. Степень этой сложности внутреннего контроля должна соответствовать масштабам деятельности, организационной структуре медицинского учреждения, численности персонала, качеству постановки бухгалтерского учета и другим характеристикам учреждения в целом.

Понимание аудитором среды внутреннего контроля имеет особое значение при изучении вопросов, связанных с риском мошенничества. Аудитор должен изучить, каким образом руководство медицинского учреждения создает атмосферу честного, этичного поведения и какие используются средства контроля для предотвращения злоупотреблений. При этом особое внимание уделяется применению элементов контрольной среды на практике.

После оценки среды внутреннего контроля следует приступить к анализу постановки бухгалтерского учета. Эта работа играет важную роль, поскольку система двойной записи, лежащая в основе любой системы бухгалтерского учета, определяет порядок регистрации хозяйственных операций и обеспечивает надлежащий контроль. Аудитор проверяет точность выполнения процедур сбора данных, их регистрации и обработки. Оценка средств внутреннего контроля в области бухгалтерского учета представлена в табл. 2.

Таблица 2

Оценка аудитором средств внутреннего контроля в области бухгалтерского учета

Цели внутреннего
контроля в
области
бухгалтерского
учета 		Оценка аудитором средств
внутреннего контроля 		Разработка мер для
совершенствования СВК
Полное отражение
всех
санкционированных
операций 		Контроль доступа к терминалам,
с которых осуществляется
непосредственный ввод
информации (пароли и прочие
идентификационные процедуры);
исключительный доступ для
ограниченного круга
пользователей;
контроль за взаимосвязанными
операциями;
документальное подтверждение и
санкционирование всех
бухгалтерских записей,
проверка их полноты и
правильности;
разделение операций, связанных
с подготовкой первичных
документов, санкционированием
хозяйственных операций и
отнесением на счета
бухгалтерского учета 		Установление регламентов
(паролей и других
справочных и
идентификационных
процедур), порядка
ведения бухгалтерского
учета;
закрепление в
должностных инструкциях
контрольных функций
Точность входящей
информации 		Выборочные проверки
суммирования расчетов,
использования должностных
инструкций, профессиональной
подготовки;
эффективный надзор, регулярные
проверки качества выполненного
анализа, выявление ошибок
кодирования 		Организация работы
постоянно действующих
контрольных структур;
систематизация взаимного
контроля операций;
закрепление функций
контроля и надзора в
должностных инструкциях
Правильная
корреспонденция
счетов 		Регулярная сверка счетов:
регулярное составление
пробного баланса;
использование документов
дебиторов и средств кредиторов
для проверки точности остатков
на счетах;
сверка данных выписок банка и
кассовой книги, контроль за
соблюдением сметы и прочие
виды контроля за существенными
денежными суммами 		Формирование учетных
политик для целей
бухгалтерского и
налогового учета;
определение
внутрифирменных
регламентов,
регулирующих
деятельность работников
службы бухгалтерского
учета и внутреннего
контроля
Сохранность
учетных
документов 		Создание надежных копий файлов
данных (для компьютеризованной
системы), изменяющихся при
каждом новом появлении
информации;
ограниченный доступ к массиву
информации;
обеспечение конфиденциальности
и сохранности всех
недублируемых данных 		Создание внутрифирменных
регламентов о порядке
подготовки надежных
копий файлов данных
Соответствие
бухгалтерских
записей
действующим
нормативным и
законодательным
актам 		Постоянно действующий контроль
за соответствием бухгалтерских
записей действующим
нормативным и законодательным
актам;
оценка достаточности и
регулярности проведения
занятий по повышению
квалификации 		Составление внутренних
регламентов (положений)
по ведению
бухгалтерского учета, их
регулярное обновление;
изучение работниками
бухгалтерско-
экономической службы
изменений в
законодательстве
Предотвращение
злоупотреблений
работниками
медицинского
учреждения 		Разделение обязанностей;
ротация обязанностей;
своевременная регистрация
документов;
регулярная сверка счетов
бухгалтерского учета;
достаточные трудовые ресурсы 		Закрепление в
должностных инструкциях
разделения обязанностей
и их ротации;
организация постоянно
действующего
аудиторского контроля
(внутреннего и внешнего)
Обеспечение
руководства
оперативной
управленческой
информации 		Представление внутренней
отчетности в минимальные
сроки;
регулярные консультации о
ценности и достаточности
представляемой информации 		Участие в разработке
форм внутренней
отчетности
Выявление
необычных
операций в
бухгалтерском
учете 		Обязательное представление
документов, если операция не
соответствует действующим
нормативным актам 		Указание примерных
фактов, на которые
следует обратить
внимание

Эффективная СВК требует наличия компетентного персонала с четко определенными правами и обязанностями. В связи с этим большое значение приобретает регулярное повышение квалификации сотрудниками медицинского учреждения. Следует разрабатывать и внедрять в практику повседневной деятельности учреждений комплексные планы повышения квалификации сотрудников экономической и бухгалтерской служб, включающие программы обучения по направлениям:

  • новое в бухгалтерском учете и аудите;
  • использование в практике работы российских положений по бухгалтерскому учету и МСФО;
  • методика управленческого учета;
  • налоговый учет.

Литература

  1. Аудит. Учебник для вузов, обучающихся по экономическим специальностям / Под ред. В.И. Подольского. М.: ЮНИТИ-ДАНА, 2008.
  2. Макальская М.Л., Константинова С.Б., Пирожкова Н.А. Аудит некоммерческих организаций. М.: Изд-во "Дело и Сервис", 2006.
  3. Рогуленко Т.М., Пономарева С.В. Основы аудита. Учебник. М.: Изд-во "Флинта", 2008.
  4. Суглобов А.Е. Методология и организация аудита объектов сельской социальной инфраструктуры. Монография. М.: ИКФ "Каталог", 2007.
  5. Суглобов А.Е., Жарылгасова Б.Т. Международные стандарты аудиторской деятельности. Учебник. М.: Экономист, 2008.

А.Е.Суглобов

профессор,

начальник кафедры

экономического анализа,

финансов и статистики

Московский университет

ПРИ ПРОВЕДЕНИИ АУДИТОРСКОЙ ПРОВЕРКИ

В статье анализируются главные принципы, положенные в основу осуществляемой аудитором системы внутреннего контроля аудируемого объекта. Приводятся приемы и методы этой оценки.

Повышение требований к финансовой отчетности, которые сформировались в начале 2000-х годов, изменили подходы к анализу системы внутреннего контроля (далее - СВК). Наблюдается общая тенденция к ужесточению мер по подготовке достоверной отчетности. Появилось стремление обязать аудиторов давать в своих отчетах оценку СВК. Это выразилось в разработке стандартов, обеспечивающих учет качества контроля аудируемых лиц. Появились новые стандарты ISA 315, ISA 330, которые увязывают оценку аудиторских рисков и аудиторские процедуры по оцененным рискам с анализом надежности СВК аудируемых лиц с точки зрения возможного искажения финансовой отчетности, что привело к внесению дополнений и поправок практически во все МСА.

В прежних стандартах СВК определялась как совокупность мероприятий, в которых заинтересованы прежде всего аудируемые лица. В новой редакции сделан акцент на надежность финансовой отчетности, а также на возможность руководителей предприятий снижать риск с помощью системы внутреннего контроля.

МСА требуют проводить анализ СВК постоянно. Начиная с 2006 г. вносится изменение, вводящее ответственность руководства аудируемого лица за разработку, внедрение и поддержание СВК, которая обеспечила бы правдивое представление о финансовой отчетности.

В последние годы в субъектах хозяйствования успешно формируются системы внутреннего контроля и аудита, результаты деятельности которых учитываются при проведении аудиторских проверок. Вопрос об организации СВК органически связан с управленческой структурой субъекта хозяйствования, его стратегией и постановкой управленческого и финансового учета, порядком составления внутрипроизводственной (управленческой) отчетности.

В соответствии со стандартами аудита СВК представляет систему, состоящую из пяти составляющих. Первая составляющая - контрольная среда - включает позицию, осведомленность и действия руководства. В составе контрольной среды обозначены положения о том, чтобы руководители предприятий в явном виде сообщали своим подчиненным требования в отношении честности и уважения этических норм. Важно также уделять внимание компетентности. Руководство обязано анализировать, какие качества требуются для выполнения тех или иных работ. Остальные факторы контрольной среды, такие, как философия руководства, организационная структура, полномочия и ответственность, практика и политика в отношении человеческих ресурсов, остались прежними или претерпели исключительно редакционные изменения.

Понимание аудитором контрольной среды имеет особое значение при изучении вопросов, связанных с угрозой мошенничества. Аудитор должен понять, каким образом руководство аудируемого лица создает атмосферу честного, этичного поведения и устанавливает соответствующие средства контроля для предотвращения и защиты от ошибок и мошенничества. Аудитор должен учитывать, как применялись элементы контрольной среды, и определить, используются ли средства контроля на практике.

Вторая составляющая СВК - оценка бизнес-риска аудируемым лицом как процесс выявления рисков, их возможных последствий и реагирование на них. В новых МСА появилось требование к руководителям аудируемого лица самостоятельно оценивать связанные с работой своей организации риски. Аудитор должен понять, каким образом организация выявляет и устраняет бизнес-риски, связанные с целями финансовой отчетности, и к каким результатам это приводит.

Третья составляющая СВК - информационная система, связанная с целями финансовой отчетности и состоящая из процедур и записей. Аудитор должен понимать, как организация доносит информацию о ролях и обязанностях конкретных сотрудников, а также существенных вопросах, имеющих отношение к финансовой отчетности. В бухгалтерии должно быть четко расписано, кто что делает и кто за что отвечает. Аудитору следует проверить, насколько хорошо подготовлены служебные инструкции и насколько добросовестно они выполняются.

Четвертая составляющая СВК - контрольные действия. Под ними понимаются политика и процедуры, которые помогают удостовериться, что распоряжения руководства выполняются. К ним относятся процедуры и мероприятия, проводимые аудируемым лицом и выходящие за пределы непосредственного ведения учета и подготовки отчетности.

Пятая составляющая СВК - мониторинг средств контроля. Под ним понимается процесс оценки качества функционирования СВК. Он выполняется с помощью постоянного наблюдения, отдельных оценок надежности средств и позволяет убедиться, что средства контроля функционируют эффективно. Аудитор должен понимать основные виды мероприятий, которые проводит организация для мониторинга внутреннего контроля финансовой деятельности.

Что касается оценки риска существенных искажений, то аудитор должен установить, уместно ли при оценке рисков существенных искажений данное средство контроля. Надо принять во внимание оценку уровня существенности, размер аудируемого лица, природу его бизнеса, сложность систем, составляющих СВК. Самый простой, но наименее надежный способ получения аудиторских доказательств об СВК - расспросы сотрудников клиента, а самый надежный - наблюдение аудитора за контрольными процедурами. К сожалению, аудитор физически не в состоянии лично проследить за ними. Внутренний контроль может обеспечить только частичную уверенность в достижении цели. Если в результате проведенных процедур по оценке риска не обнаружено каких-либо эффективных средств контроля, то аудитор исключает эффект контроля из соответствующих оценок рисков. Аудитор должен планировать и осуществлять процедуры проверок по существу для каждой существенной операции.

Проверка процедур контроля проходит две стадии. На первой стадии аудитор выясняет, существует ли данная процедура у аудируемого лица. На второй стадии он устанавливает, выполняют ли процедуры контроля предполагаемые функции. Тесты применяются только для тех составляющих СВК, которые были признаны аудитором надлежащими для предотвращения, обнаружения и исправления. Временные рамки тестов - это период времени, с которым связано проведение аудиторских процедур. Масштаб аудиторских тестов средств контроля напрямую связан с оценкой риска аудитором. Все описанные действия аудитора должны быть отражены в рабочей документации.

В соответствии с Федеральным правилом (стандартом) "Оценка аудиторских рисков и внутренний контроль, осуществляемый аудируемым лицом" основу внутреннего контроля экономического субъекта составляют контрольная среда, система бухгалтерского учета и средства контроля. По нашему мнению, целесообразно в составе элементов внутреннего контроля рассматривать и систему налогового учета, представляющую собой упорядоченную систему регистрации и обобщения информации о фактах хозяйственной деятельности, опосредующих возникновение доходов и расходов, подлежащих учету в соответствии с нормами НК РФ, для формирования полной и достоверной налоговой информации.

Аудитор в ходе планирования должен оценить адекватность внутреннего контроля масштабам, специфике деятельности экономического субъекта и достичь понимания закономерностей его функционирования в той части, которая обеспечивает регулирование и мониторинг процесса сбора, обработки и обобщения информации, необходимой для подготовки достоверной бухгалтерской и налоговой отчетности.

Аудитор изучает СВК субъекта, для того чтобы спланировать аудиторскую проверку и определить природу, степень и время проведения необходимых процедур. В конечном счете такое изучение дает возможность оценить риск искажения в финансовой отчетности. При этом аудитор должен больше уделять внимания средствам контроля, которые имеют отношение к финансовой информации, уместной при обосновании утверждений по финансовой отчетности. Средства контроля, которые не влияют на финансовую информацию, не являются существенными для аудитора, если только они косвенно не затрагивают финансовую отчетность.

При планировании аудита аудитор изучает все пять компонентов СВК субъекта, чтобы:

Определить тип возможных существенных искажений;

Рассмотреть факторы, приводящие к появлению существенных искажений;

Разработать тесты системы контроля;

Определить формы тестирования по существу, если это возможно.

Практика показывает, что на стадии планирования вряд ли удается детально изучить деятельность экономического субъекта применительно ко всему объему совершаемых хозяйственных операций, поэтому целесообразно выбрать самые существенные из них. При выборке можно руководствоваться существенностью оборотов и остатков по счетам. По результатам оценки бухгалтерского учета и внутреннего контроля этих счетов и участков аудитор формирует свое мнение о системе бухгалтерского учета и внутреннего контроля экономического субъекта.

Оценка, проводимая за столь короткий срок, достаточно субъективна, и вводить на этой стадии большое количество градаций не имеет смысла. Поэтому здесь применяются три градации оценки систем бухгалтерского учета и внутреннего контроля. Свидетельства, полученные по результатам экспертизы бизнеса, влияют на формирование мнения аудитора в отношении уровня неотъемлемого риска и целесообразности применения в ходе аудита знаний о внутреннем контроле экономического субъекта.

Для рациональной организации проверки аудитор должен, исходя из оценки неотъемлемого и контрольного риска и принимая во внимание предварительное суждение о существенности, определить допустимый риск необнаружения и с учетом минимизации последнего спланировать соответствующие аудиторские процедуры.

Диагностика внутреннего контроля экономического субъекта осуществляется в целях предварительной оценки степени надежности СВК и предполагает изучение, анализ, оценку:

Отношения руководства к необходимости поддержания адекватного внутреннего контроля;

Порядка делегирования полномочий и распределения ответственности;

Порядка обеспечения сохранности активов и конфиденциальной информации экономического субъекта;

Учетной и налоговой политики экономического субъекта, ее организационно-технических и методологических аспектов;

Организационной структуры бухгалтерии;

Порядка документального оформления фактов хозяйственной деятельности и организации документооборота;

Роли и места средств вычислительной техники в ведении бухгалтерского и налогового учета;

Порядка систематизации данных в регистрах бухгалтерского и налогового учета;

Процесса подготовки бухгалтерской и налоговой отчетности.

Для предварительной оценки эффективности СВК используются следующие градации: высокая, средняя, низкая. Свою оценку аудитор формирует в результате:

Бесед с компетентными работниками экономического субъекта;

Проверки документов;

Наблюдения за применением конкретных мероприятий и процедур;

Аналитических процедур.

Рассмотрим более подробно процесс изучения и оценки СВК, который состоит из понимания и документирования этой системы, оценки контрольного риска, тестирования средств контроля, оценки результатов тестирования и их документирования, тестирования по существу.

Для анализа СВК аудитору следует:

Опираться на собственный опыт работы с субъектом;

Запрашивать необходимую информацию у руководства, контролеров и персонала;

Исследовать документы и записи;

Изучать характер и виды деятельности;

Задокументировать полученное понимание.

Текущие средства внутреннего контроля исследуются аудитором на основе данных из нескольких источников - как прошлых, так и настоящих. Аудитор должен проанализировать рабочие документы по предыдущей аудиторской проверке, запросить дополнительную информацию у персонала клиента и внутренних аудиторов, изучить руководства по процедурам и пронаблюдать деятельность компании. Однако следует учитывать, что структура средств внутреннего контроля предыдущих периодов может не соответствовать текущему периоду.

Документирование понимания СВК может быть сделано аудитором путем подготовки блок-схем, заполнения анкет, описаний и составления древа-решений и таблиц. Такие формы документирования доказывают, что достаточное понимание и оценка СВК были фактически осуществлены.

Блок-схемы представляют собой символические диаграммы, отражающие последовательный процесс системы управления, обработки и документирования. Блок-схемы могут использоваться, во-первых, для оценки СВК, во-вторых, - как средства документирования в электронном виде при программировании.

Блок-схема, используемая для оценки системы, показывает происхождение каждого документа в системе, его последующую обработку и конечное месторасположение. Помимо этого схемы полезны для аудитора тем, что документируют все шаги в процессе проверки.

Электронные блок-схемы, используемые в качестве документации, первоначально создаются для документирования логики и существующих потоков электронной информации. Аудитор может использовать такие схемы для оценки как работы программы, так и средств внутреннего контроля, относящихся к функции обработки данных в общем.

Для подготовки блок-схем следует:

Составить схему документооборота и информационных потоков;

Начинать с верхней части страницы и двигаться сверху вниз и слева направо;

Использовать описание для лучшего понимания пользователем;

Избегать разделяющих линий, если это возможно;

Анкета по СВК обычно содержит вопросы, которые предполагают ответы "да" или "нет". Отрицательные ответы направлены на заострение внимания на возможные недостатки этой системы. По отрицательным ответам необходимо написать объяснение. Анкеты также имеют дополнительное пространство, для того чтобы опрашиваемый сотрудник мог разместить там свои пояснения. Вопросы должны быть ориентированы на конкретные средства внутреннего контроля, отвечающие за определенный элемент, счет или процесс. Они должны относиться к каждой процедуре уместного средства.

Описания являются письменной версией блок-схемы. Аудитор описывает то, как он представляет себе СВК. Изложение фактов производится в последовательности происхождения событий по определенной операции.

Блок-схемы подходят для документирования более сложных структур контроля, а письменное изложение фактов - для менее сложных.

Древо решений является графической иллюстрацией, которая показывает логику операции или процесса. При этом в основном используются вопросы, на которые должны следовать ответы "да", "нет", направляющие пользователя к логически следующему вопросу. Таблицы показывают логическую связь компонентов системы в табличной форме. При помощи этих двух методов аудитор документирует понимание процесса.

Следующим этапом в изучении и оценке СВК являются оценка контрольного риска, тестирование средств контроля.

Оценка риска контроля - определение того, насколько эффективны средства внутреннего контроля при предупреждении или выявлении существенных искажений в финансовой отчетности. Средства контроля могут иметь значительный эффект в отношении многих, одного или нескольких утверждений.

Средства контроля могут прямо либо косвенно относиться к утверждениям. В первом случае средства контроля более эффективны, поэтому аудитор может оценить риск контроля ниже, чем во втором.

Аудитор может принять одну или несколько различных стратегий аудита утверждений.

Оценка риска контроля как максимальная (или немного ниже) означает, что аудитор планирует применить в основном подход проверки по существу. В этом случае средства контроля не тестируются, так как аудитор не намерен на них полагаться. Максимальный уровень оценки риска контроля свидетельствует о том, что процедура контроля:

Неуместна либо неэффективна;

Соотношение затраты - выгоды мешает проведению тестирования;

Неэффективна для тестирования средства контроля;

Представляет собой слабо разработанное средство контроля.

Оценка риска контроля ниже максимального означает, что аудитор намерен полагаться на подобные средства внутреннего контроля. Оценка риска ниже максимального уровня затрагивает:

Идентификацию определенных уместных средств контроля, которые, скорее всего, обнаружат и устранят существенные искажения;

Проведение тестирования данных средств контроля;

Заключение по оцененному уровню риска контроля.

Какая стратегия ни была бы выбрана, она определяет:

Степень понимания СВК, которую аудитор должен достичь;

Природу, степень, время для выполнения процедур для получения такого понимания;

Документирование выводов относительно оцененного уровня риска контроля;

Природу, время и степень проведения процедур по существу, которые должны быть выполнены.

Оценка риска контроля должна быть оформлена документально, так как любая оценка риска контроля ниже максимальной должна быть обоснована доказательствами, полученными в результате тестирования средств контроля.

Если далее аудитор предполагает снизить риск контроля до желаемого уровня, то необходимо выполнить дополнительное тестирование средств контроля. В основном дополнительное тестирование проводится, если есть необходимость получить дополнительные доказательства или аудитор сочтет это достаточно эффективным. Аудитор оценивает, оправдают ли усилия, требуемые для проведения дополнительного тестирования средств контроля, ожидаемое сокращение тестирования по существу.

О надежности СВК свидетельствуют:

Нумерация документов, которая позволяет убедиться в том, что все операции отражены в учете (полнота); все операции отражены в учете только один раз (существование);

Разрешение на проведение операции, которое должно осуществляться до передачи ресурсов (существование);

Независимые проверки, включающие проверку работы, выполненной другими лицами (оценка), - сверку банковских выписок, сравнение субсчетов с синтетическими счетами главной книги, сравнение данных проведенной инвентаризации с данными бухгалтерского учета;

Документирование, которое предоставляет доказательства по совершенным операциям, а также является основой для определения ответственности за исполнение и отражение операций (существование и оценка);

Распределение обязанностей, дающее уверенность в том, что отдельные лица не выполняют не совместимые с их работой служебные обязанности. С точки зрения контроля служебные обязанности считаются несовместимыми, когда, например, конкретное лицо имеет возможность украсть актив и в то же время скрыть эту кражу (существование и происхождение);

Физические средства контроля, предполагающие применение охранных устройств и средств, а также ограничение доступа к запрещенным участкам с использованием определенных средств и компьютерных программ.

Оценка риска качества аудита базируется на обратной взаимосвязи риска необнаружения и комбинации неотъемлемого и контрольного риска. Высокий уровень неотъемлемого риска и риска средств контроля обязывает организовать проверку таким образом, чтобы минимизировать величину риска необнаружения и тем самым свести аудиторский риск до приемлемого значения. Низкий уровень неотъемлемого и контрольного риска позволяет допустить в ходе аудита более высокий риск необнаружения (посредством применения менее трудоемких методов получения аудиторских доказательств) и достичь приемлемого значения аудиторского риска.

Новое на сайте

>

Самое популярное

Сайт о получении кредита.

© 2024. .

ПОПУЛЯРНЫЕ РАЗДЕЛЫ