Приобрети журнал - получи консультацию экспертов
№9-10(44-45)(2015)
Общепринято, что независимая аудиторская компания подтверждает достоверность финансовой отчетности. А что в таком случае возлагается на внутренних аудиторов? Какие требования выдвигаются собственником, топ-менеджментом, главным бухгалтером к внутренним аудиторам? Какие сферы хозяйственной деятельности требуют наиболее пристального внимания внутренних аудиторов? Как исключить конфликты между менеджерами различного уровня, учетными сотрудниками, бухгалтерами и внутренними аудиторами?
«Классика»
Этапы создания отдела внутреннего аудита:
Вроде бы все четко и понятно, стандартный процесс создания нового структурного подразделения. Тем не менее необходимо понимание строгой лимитированности возможностей этого отдела:
Вписать в штат
Место отдела внутреннего аудита в организационной структуре компании определяется представлениями собственника и топ-менеджмента. Но необходимо помнить, часто такие представления имеют субъективный характер. Процесс «вписания» отдела в штатное расписание определяется и такими факторами: кто был инициатором создания; насколько «авторитарен» финансовый директор; насколько опытно и амбициозно должностное лицо, назначенное начальником отдела внутреннего аудита (или кого планируют назначить); размер предприятия.
Здесь главное соблюсти важное правило: отдел создается не «под» определенное должностное лицо, то есть не под главного бухгалтера, которому необходимы консультации по налогообложению, и не под финансового директора, которому важен анализ финансово-хозяйственной деятельности, не под всемогущего начальника службы безопасности для участия с расследованиях и обеспечения доказательной базы и т.п. Необходимо понимание, что цель создания отдела внутреннего аудита – это соблюдение интересов компании в целом, соблюдение интересов собственников компании.
Безусловно, специфика работы отдела внутреннего аудита такова, что наибольшее число контактов и взаимодействий будет именно между внутренними аудиторами и бухгалтерами. Отсюда и понятный соблазн подчинить новую службу главному бухгалтеру (схема 1 на рис.1), что часто и имеет место. Но не рекомендуется идти таким путем, так как велик риск просто увеличить штат еще одним рядовым бухгалтером, а не аудитором. Аналогичная ситуация со схемами 2 и 3 – рискуете получить еще одного учетчика или «ревизионщика». Иногда место ревизионного отдела занимает служба корпоративной безопасности, но сути вопроса это не меняет. Применение схем 1–3 возможно только в случае, если главбух, начальник ревизионного отдела «переросли» свои должности, они амбициозны, идут вровень с современными требованиями, стремятся к профессиональному росту, не ограничивают себя рамками занимаемой должности, стандартным набором функций, готовы к новым обязанностям и вызовам.
Еще один не менее важный принцип – внутренний аудитор в организационном плане должен подчиняться более высокому уровню управления, чем объект проверки (логичен выбор схемы 4).
Поэтому рекомендуется формировать отдел внутреннего аудита уже изначально как самостоятельное структурное подразделение, с подчинением напрямую собственнику либо финансовому директору (схема 4). В зависимости от масштабов и специфики компании – совету директоров, генеральному директору. Наиболее часто в нашей стране все-таки имеет место подчиненность отдела внутреннего аудита финансовому директору, гораздо реже – генеральному. Это позволяет избежать двух самых распространенных проблем: узкой целевой направленности отдела и злоупотребления рабочим временем самого аудитора со стороны руководителей других подразделений, которые будут пытаться с помощью аудиторов решить свои проблемы или скрыть таким образом собственную некомпетентность.
Главное правило при подборе штата отдела – это, конечно же, высокий уровень квалификации, обширные практические навыки претендентов на вакансии. Аудитор с меньшим уровнем знаний и опыта, чем у сотрудника, которого он проверяет, не сможет выявить недочеты, а более опытному сотруднику всегда проще ввести в заблуждение менее опытного, отвлечь внимание от главного.
Теперь перейдем к уровням самих специалистов в отделе, их должностным обязанностям (табл. 1). Ответственность за руководство и выполнение аудиторской проверки должны нести одно или несколько лиц, имеющие общее представление о принципах аудита, компетентности аудиторов и применении методов аудита и, конечно, имеющие опыт руководства, деловое понимание в части проверяемой деятельности.
Руководители проверяемых подразделений, в свою очередь, обязаны:
Направления в работе/функции
Начнем со взаимодействия с главным бухгалтером и бухгалтерией в целом. Весь учет должен быть возложен на бухгалтерию, а контроль над правильностью его ведения – на аудиторов. Если же у бухгалтеров возникают вопросы, связанные с учетом или налогообложением, то отдел внутреннего аудита должен помочь в их решении. Отношения должны строиться на принципах полного доверия, открытости, взаимопомощи, поиска компромиссов и работы на результат.
Функции первой важности для главного бухгалтера:
Внешние аудиторы в процессе проверки контролируют в том числе и работу внутренних аудиторов. Позиция по отдельным вопросам учета внутренних и внешних аудиторов может не совпасть. В результате главный бухгалтер не будет знать, какую точку зрения считать правильной. Решение проблемы: руководству компании необходимо четко формулировать задачи внешним и внутренним аудиторам.
Функции первой важности для финансового директора (топ-менеджмента):
Отдел внутреннего аудита может стать аналитическим центром по управлению затратами. Аудиторы, кроме анализа первичных документов, с которыми они имеют дело постоянно, должны выполнять факторный экономический анализ, другие виды анализа и давать рекомендации по оптимизации затрат хозяйственной деятельности.
Функции первой важности для собственника – это борьба с хищениями и мошенничеством, подготовка доказательной базы по фактам недостач товарно-материальных ценностей, проведение служебных расследований. Отдельные собственники рассматривают внутренний аудит как экономическую службу безопасности. Аудиторские проверки проводятся с целью выявления хищений товароматериальных ценностей или финансов, причем в таких мошеннических схемах могут быть задействованы и наемный топ-менеджмент. Аудитору важно об этом помнить. Здесь специалистам службы аудита также понадобятся знания экономики, учета, нормирования и даже различных технологических процессов производства продукции. Именно при производстве продукции возможны крупные хищения ценностей и реализация мошеннических схем, и, не зная технологическую цепочку, невозможно поймать мошенника на факте недобросовестного отношения к имуществу предприятия, хищении, мошенничестве.
Другие функции отдела внутреннего аудита, интересные собственнику (акционерам):
Понятно, что функции для разных пользователей между собой перекликаются, но аудитор должен всегда осознавать, что выполняя задачи, поставленные, например, финансовым директором, он должен соблюсти интересы одновременно главного бухгалтера и собственника.
Составление программы аудиторских проверок
Под составлением программы аудиторских проверок имеется ввиду годовая программа аудиторских проверок, график проверок. Это первый шаг к работе на местах.
Процедуры по программе аудита, ее составлению должны способствовать реализации следующих задач:
Должны быть использованы индикаторы работы для мониторинга способности аудиторских групп реализовать план аудита, соответствия программам и графикам аудита, мониторинга обратной связи с заказчиками аудита, проверяемыми подразделениями и аудиторами.
Начальник отдела внутреннего аудита должен оперативно изучать отчеты об аудиторских проверках, о несоответствиях для того, чтобы определить необходимость внесения изменений в программу аудитов.
Также периодически, но не реже 1 раза в 3 месяца начальнику отдела или главному эксперту необходимо анализировать внедрение программы аудитов для определения необходимости ее оптимизации, в том числе проверить фактическую степень выполнения графика проверок, соответствие фактических сроков проведения аудитов срокам, установленным в графике, наличие внутренних претензий к работе аудиторов и проанализировать их причины, проверить достижение целей аудиторских проверок.
При невыполнении или несвоевременном выполнении графика аудитов необходим анализ причины невыполнения и принятие одного из решений, а именно: внести изменения в график аудитов, изменить состав аудиторских групп, оставить программу аудитов без изменения, обеспечить программу аудитов недостающими ресурсами.
По окончании календарного года руководитель отдела внутреннего аудита должен обеспечить проведение комплексного анализа программы аудита по степени достижения целей аудиторских проверок, определения тенденций, анализа повторяемости результатов аудиторских проверок при схожих обстоятельствах, иных важных факторов. Такой комплексный анализ должен лечь на стол собственника и топ-менеджмента.
Вступительное совещание
Предварительный этап работы на местах аудита – это проведение вступительного совещания. Вступительное совещание должно проводиться с участием руководства проверяемого подразделения или, если применимо, лиц, ответственных за функции или процессы, подлежащие проверке. Например, при внутреннем аудите в небольшой компании вступительное совещание может просто состоять из сообщения, что будет проводиться аудит, и разъяснения характера аудита. В других случаях проведения аудита совещание должно быть официальным, необходимо также составить список присутствующих.
Цели совещания: подтверждение плана аудита, краткое изложение действий по аудиту, подтверждение каналов связи, обеспечение возможности для проверяемого подразделения задать вопросы.
Председательствовать на совещании должен руководитель аудиторской группы.
Нужно рассмотреть следующие вопросы:
Однако часто аудиторы допускают ошибку в коммуникациях, ограничиваются формальным письмом или разговором по телефону и не проводят такие вступительные совещания, либо проводят, но в кругу исключительно аудиторов, без привлечения проверяемого подразделения. Аудитор всегда должен занимать проактивную позицию в коммуникации, инициировать деловые беседы с сотрудниками проверяемых подразделений. Это один из неотъемлемых этапов работы аудитора. Часто сотрудники воспринимают аудит как выражение недоверия к их компетенции или как несвоевременное отвлечение ресурсов, поэтому изменение этого мнения и создание атмосферы взаимодействия с самого начала проверки очень важны. В начале проверки крайне важно добиться готовности менеджмента взаимодействовать с аудиторами. Усилия, потраченные на стадии вступительного совещания, могут способствовать не только более качественному выполнению работы в рамках проверки, но и позитивному восприятию роли аудиторов и отдела в целом.
Непосредственно выполнение аудиторской проверки
Первая часть – тщательная проверка документов, их анализ, аудит на рабочем месте, собеседования с ответственными за этот участок сотрудниками. Вторая – обсуждение выявленных проблем с начальником отдела, где проводилась проверка. Только после этого – составление аудиторского отчета.
По результатам проверок необходима разработка мероприятий по устранению недочетов, определение сроков выполнения и ответственных лиц. Понятно, что требуемый результат с первого раза не достигается, необходимы повторные аудиторские проверки, работа с сотрудниками на местах, разработка методик, постоянный контроль и анализ причин негативного результата. Поэтому внутренний аудитор систематически занят, поскольку наведение и поддержание порядка – процесс непрерывный.
Важно выстроить систему коммуникаций в ходе аудита. Аудиторы должны периодически сообщать в устной форме главному эксперту-аудитору (начальнику отдела) общую информацию о ходе аудита. На основании этой информации, а также собственных данных руководитель группы может организовать совещания аудиторской группы в процессе аудита для обмена важной информацией и, при необходимости, корректировки плана аудита. Например, если сотрудники проверяемого подразделения отказываются отвечать на вопросы аудитора или проявляют грубость.
Если в процессе внутреннего аудита получены свидетельства исключительной важности, предполагающие значительный риск по отношению к безопасности (финансовой, коммерческой), руководитель группы аудиторов должен немедленно проинформировать об этом топ-менеджмент и, на свое усмотрение, прекратить проведение аудита.
Любой представитель проверяемого подразделения или процесса может по собственному желанию и с разрешения начальника отдела внутреннего аудита сопровождать аудиторов при выполнении внутреннего аудита. Такие сопровождающие лица не должны никоем образом вмешиваться в проведение аудита, в том числе отвечать на вопросы аудитора, не обращенные напрямую к сопровождающему лицу. Если сопровождающие лица вмешиваются в работу аудитора, аудитор должен сообщить об этом руководителю. Руководитель отдела может классифицировать такое вмешательство как обстоятельство, препятствующее достижению цели аудита, и принять соответствующие меры. Сопровождающие и наблюдатели могут сопровождать аудиторскую группу, но они не являются ее членами. Если сопровождающие были назначены начальником проверяемого подразделения, то они должны помогать аудиторской группе и действовать по просьбе руководителя аудиторской группы. В их обязанности может входить следующее:
Формирование выводов аудита
Аудитор должен оценивать полученные свидетельства аудита с точки зрения критериев аудита. На этой основе формируются выводы аудита – о соответствии или несоответствии критериям. Данные наблюдения должны быть обобщены и соотнесены с подразделениями, функциями и процессами, которые прошли аудит, что является основой для улучшения управления.
Несоответствия должны быть зарегистрированы, подтверждены представителем проверяемого подразделения, быть правильно поняты. Какие-либо разногласия относительно свидетельств и наблюдений аудита должны быть устранены.
До заключительного совещания аудиторская группа должна собраться, чтобы проанализировать наблюдения аудита с точки зрения целей аудита, согласовать заключения по результатам аудита, подготовить рекомендации.
Заключения по результатам аудита могут содержать рекомендации, относящиеся к улучшениям, деловым взаимоотношениям или аудитам в дальнейшем.
Проведение заключительного совещания
При проведении внутреннего аудита на небольшом предприятии заключительное совещание может состоять только из доведения до сведения наблюдений аудита и заключения по результатам аудита. В других случаях совещание должно быть официальным, с ведением протокола и списка присутствующих. На заключительном совещании обязательно присутствие руководителя аудиторской группы, руководителя проверяемого подразделения.
Основные вопросы, которые должны быть рассмотрены на заключительном совещании:
1. Оглашение результатов аудита (наблюдений и заключений). Результаты аудита должны быть понятны проверяемым.
2. Согласование оценок ситуации. Любые разногласия должны обсуждаться и, по возможности, разрешаться. Если к согласию прийти не удалось, в протоколе совещания необходимо зарегистрировать все мнения, с тем, чтобы решение по разногласию мог принять, например, финансовый директор или главный бухгалтер.
3. Рассмотрение предложений по корректирующим и предупреждающим действиям. Если назначить такие действия на совещании не представляется возможным, должны быть согласованы сроки предоставления проверяемыми плана мероприятий по устранению несоответствий.
При оглашении результатов аудита аудитор в первую очередь должен отметить те участки объекта аудита, которые признаны соответствующими критериям аудита, потом перейти к более существенным замечаниям. Наиболее существенные замечания и несоответствия лучше рассмотреть в последнюю очередь, при этом аудитору важно избегать каких-либо обвинительных интонаций.
Аудиторский отчет и заключение о проведенной проверке
Такой отчет должен содержать:
Стандарты профессиональной практики внутреннего аудита рекомендуют отражать в отчете и положительные моменты, если таковые были отмечены в ходе аудита. Важно понимать, что отсутствие положительных комментариев, для которых есть повод, создает у проверяемых сотрудников чувство, что положительные стороны намеренно игнорируются, тогда как отрицательные моменты преувеличены. Кроме психологического эффекта, в отражении положительных аспектов есть и практическая польза – подобная информация может быть использована другими отделами как положительный опыт в работе.
Содержание отчета доводится до ведома руководства. Если по результатам проверки будет решено наказать должное лицо, контроль за наказанием также должен взять на себя отдел внутреннего аудита. Например, это может быть приказ о дисциплинарном взыскании.
План мероприятий
После вышеописанных этапов необходимо принятие мер к предупреждению нарушений в будущем, разработка планов мероприятий для внедрения рекомендаций. Иными словами, непосредственно воплощение в жизнь предложенных в отчете собственных или выработанных аудиторской комиссией рекомендаций. Согласитесь, ни один внешний аудитор из аудиторской фирмы не будет этим заниматься.
Разработка планов мероприятий для внедрения рекомендаций, сформулированных внутренним аудитом по результатам проверки, без сомнения, является задачей менеджмента. Внутренний аудитор не должен проводить эту работу вместо менеджмента, однако должен играть активную роль. Более того, разработка планов мероприятий может продвигаться очень медленно из-за обычной ежедневной нагрузки, отсутствия ресурсов, а иногда из-за сопротивления изменениям со стороны менеджмента, банального откладывания данной работы сотрудниками различного уровня. Когда для решения выявленных проблем требуется межфункциональная команда, команда из представителей разных отделов, задача еще более усложняется. Аудитор может быть именно тем звеном, которое такую команду позволит создать. Поэтому не просто напоминание о сроке разработки корректирующих мероприятий, но предложение и оказание помощи должно быть обязательным со стороны внутреннего аудитора. По-настоящему профессиональный внутренний аудит должен стремиться к тому, чтобы разделять с менеджментом ответственность за разработку планов мероприятий. Предложенный менеджментом вариант плана должен оцениваться аудитом с точки зрения того, устраняет ли предложенная работа причину недостатков. Позиция «я выявил недочеты, но мне все равно», «что решит менеджмент, то пусть и делает» является непрофессиональной, аудит обязательно должен выносить на обсуждение те вопросы, по которым предложенные мероприятия не устраняют причин недостатка, когда сроки слишком затягиваются.
Выявленные в ходе аудита недочеты, оплошности, ошибки контролируются и анализируются ежемесячно до их полного исправления и соответственно устранения рисков, по необходимости проводятся повторные мини-проверки.
Сбор информации
Остановимся отдельно на сборе и верификации информации. Сбор информации в процессе аудита происходит методом выборки. Информация по функциям, процессам и документам, системам должна быть верифицированной и стать свидетельством аудита. Свидетельства аудита должны регистрироваться. Полученная информация регистрируется аудитором в специальном документе.
В ходе проведения внутреннего аудита информация собирается с помощью:
Хотелось бы остановиться на опросах. Опрос является одним из важных средств сбора информации и должен проводиться с учетом ситуации и самого собеседника. При этом аудитору следует учесть такие правила:
Отдельные правила и практические тонкости
Выше уже шла речь о составлении годовой программы аудиторских проверок, плана-графика аудитов. Такой документ принято составлять на календарный год. Рекомендуется часть такой программы сформировать в виде открытого документа, когда все на предприятии будут знать план и сроки проверки того или иного структурного подразделения, процесса, а часть засекретить. «Засекреченные» планы аудиторских проверок будут для подразделений играть роль внеплановых проверок, в этом их ценность. Главное – соблюсти условия конфиденциальности. О внеплановой проверке проверяемое лицо должно узнать как можно позже, идеальный вариант – в момент ее начала, с целью минимизации времени на устранение, маскировку упущений в работе. Подготовка к таким проверкам должна проводиться в строжайшей секретности и конфиденциальности. Если такая подготовка требует времени, то необходимо придумать и официально объявить версию, не вызывающую подозрения, которая поможет скрыть определенные целенаправленные действия аудитора. Например, если стоит вопрос о проверке приписок к зарплате, то соответствующие документы могут быть изъяты из расчетного отдела под предлогом архивирования.
Что касается открытой программы аудиторских проверок, то с ней необходимо ознакомить начальников соответствующих подразделений. Цель – на момент проведения плановой аудиторской проверки на рабочем месте должен находиться непосредственно начальник структурного подразделения (главный бухгалтер, начальник отдела).
Плановые (открытые) аудиторские проверки должны составлять максимум 50 % от общего рабочего времени аудиторов, поскольку в противном случае у работников отдела не останется времени на выполнение других задач, которые не менее важны для компании.
Еще один важный нюанс в отношении программы аудиторских проверок, особенно он касается крупных компаний, акционерных обществ. Максимум проверок необходимо запланировать на первую половину каждого года – с января по июнь. Тогда у подразделений компании есть вторая половина года, чтобы учесть рекомендации аудиторов и устранить недочеты. В результате – положительная годовая отчетность.
Внутренние аудиторы, как уже говорилось, выполняют функции внутренних консультантов. Рекомендация – чтобы аудитора не отвлекали каждые пять минут по различным вопросам, не давая ему возможности сосредоточиться, целесообразно установить приемное время или приемные дни для консультаций, либо консультациями должен заниматься один из аудиторов.
Отчеты, представляемые руководству, не должны быть похожими на доносы, содержащие исключительно факт ошибки и виновное лицо. В таких документах важна корректность, внимание к причинам допущенных оплошностей, должны содержаться предложения по устранению уже допущенной ошибки и мероприятия по предотвращению появления подобных ошибок в будущем.
Часто встречающаяся ошибка – отдел внутреннего аудита выявил факт внутреннего мошенничества, хищения, направил документы по аудиторской проверке в службу корпоративной безопасности. Но проблема в том, что служба безопасности не дает обратной связи, в результате аудиторы не знают, чем закончилось расследование, в чем была причина, какие выработать рекомендации, чтобы не допустить подобные случаи в будущем, то есть у аудиторов отсутствует целостная картина ситуации. Начальник отдела внутреннего аудита должен обеспечить получение обратной связи от службы безопасности.
Необходимо досконально проработать вопрос, каким должностным лицам нужно делать рассылку отчетов по результатам аудита. Понятно, что на первых местах списка – топ-менеджмент компании, главный бухгалтер, начальник проверяемого подразделения, руководитель, обладающий полномочиями принимать решения о возможных корректирующих мероприятиях. Перечень лиц в рассылке отчета часто зависит от корпоративной культуры, степени открытости коммуникаций, уровня конфиденциальности содержащихся в отчете данных. Может быть принято решение о рассылке отчета начальникам других аналогичных отделов, что особенно актуально для крупных компаний, с целью проведения ими самостоятельного анализа на предмет выявления наличия аналогичных проблем. Рассылка отчета обязательно должна сопровождаться разъяснением, почему он направляется, и, как правило, звонком или личным разговором для обсуждения итогов аудита, в противном случае существует риск, что документ так и не будет прочитан. Согласитесь, такому документу высококвалифицированного труда, как отчет аудитора, не место «пылиться на полке», этот документ должен работать, приносить пользу компании.
А как оценить аудитора?
Часто сотрудники компании воспринимают внутренних аудиторов как дополнительную контролирующую инстанцию и неохотно сотрудничают с ними. В определенной степени они правы. Ни аудиторы, ни топ-менеджмент (собственник) не должны воспринимать отдел внутреннего аудита исключительно как контролеров. Поэтому показатели эффективности, мотивация и заработная плата отдела внутреннего аудита не должны напрямую зависеть от количества выявленных ошибок, не должно присутствовать мнение в компании: «Если аудитор не нашел ошибки, значит, он не работает».
Наоборот, необходимо взять за правило, что отдел внутреннего аудита работает хорошо, если при налоговых и внешних аудиторских проверках, внешнем Due diligence, у предприятия выявлены лишь незначительные оплошности, на предприятие не налагаются штрафные санкции как со стороны проверяющих, так и со стороны контрагентов, отсутствуют факты мошенничества и хищения имущества и т.д.
Еще один способ узнать, насколько хорош аудитор – провести анкетирование. Анкету можно и нужно рассылать нескольким сотрудникам, работавшим с командой аудиторов, и желательно обсуждать результаты с каждым. Оценивать необходимо как минимум такие параметры, как качество устной коммуникации, соблюдение сроков, умение слышать мнение оппонента, понятность и доказательность аудиторского отчета. Важно понимать, что мнение людей, которые по той или иной причине не воспринимают положительно аудит, не менее ценно и важно, чем тех, кто положительно относятся к внутренним аудиторам.
Главное