Библиотека управления

Представление результатов внутреннего аудита. Аудиторские отчеты

Михаил Максимов член Некоммерческого партнерства «Институт внутренних аудиторов», координатор регионального центра Института внутренних аудиторов, г. Пермь©
Эта статья была написана для специализированного журнала несколько лет назад, однако издание неожиданно закрылось. Текст был скорректирован в соответствии с новыми формулировками международных профессиональных стандартов внутреннего аудита. Предполагается, что он и сегодня не потерял своей актуальности и практического значения относительно вопросов представления результатов внутреннего аудита.

Представление результатов аудита, а проще говоря, написание аудиторского отчета, зачастую превращается в настоящее испытание для внутренних аудиторов. Требования к изложению материала, форматам отчетов, перечню их получателей индивидуальны для каждой компании. Компания сама принимает решение, каким должен быть отчет ее службы внутреннего аудита. Для одной компании в аудиторском отчете достаточно одним предложением указать, что нарушен такой-то внутренний регламент, и виновный будет уволен с работы. Для другой – необходима обоснованная аргументация того, что именно в результате выявленных недостатков контроля компания теряет прибыль, активы, не выполняет планы и т.д.

Без навязывания своего мнения автором предпринята попытка показать подходы, применявшиеся к представлению результатов внутреннего аудита в личной практике работы внутренним аудитором.

Итак, исходные данные: две крупные нефтяные компании – публичная американская (назовем ее WorldWideOil, сокращенно WWO) и российская (будем называть ее PetrolUnion, или PU). Обе ведут свою деятельность по всему миру, обе стремятся к росту капитализации и расширению деятельности. Ценные бумаги американской компании котируются на Нью-Йоркской фондовой бирже (NYSE), акции российской – на Лондонской (LSE). В обеих компаниях примерно равные по численности службы внутреннего аудита. Служба внутреннего аудита PU образована в 2002 г. Внутренний аудит WWO значительно старше, однако в том же 2002 г. в результате крупных слияний, которые провела компания WWO, ее служба внутреннего аудита претерпела существенные изменения и фактически была создана заново.

Отчетность о деятельности внутреннего аудита

Международные профессиональные стандарты внутреннего аудита. Стандарт 2060 «Отчетность перед высшим исполнительным руководством и Советом»

Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету1.

В идеале считается, что у службы внутреннего аудита должна быть двойная подотчетность: функциональная – совету директоров, точнее, его аудиторскому комитету, и административная – руководителю организации или другому руководителю (финансовому директору, контролеру…), обладающему соответствующим уровнем полномочий для того, чтобы обеспечить повседневную деятельность службы внутреннего аудита. Принято полагать, что подотчетность аудиторскому комитету совета директоров обеспечивает независимость службы внутреннего аудита.

В рассматриваемых компаниях дела обстоят следующим образом.

Административная подотчетность:

WWO: Генеральный аудитор (так называется руководитель службы внутреннего аудита) подотчетен первому вице-президенту по финансам (CFO). То есть все вопросы, касающиеся повседневной деятельности службы внутреннего аудита, решаются через CFO.

PU: Вице-президент (руководитель службы внутреннего аудита) подчинен и подотчетен непосредственно президенту компании.

Функциональная подотчетность:

По этой линии подотчетности службы внутреннего аудита обеих компаний периодически отчитываются перед своими аудиторскими комитетами. Кроме этого, руководитель службы внутреннего аудита PU ежеквартально отчитывается о результатах работы правлению компании.

Обе компании стараются следовать требованиям стандарта 2060. В PU периодичность отчетов аудиторскому комитету не установлена, носит произвольный характер, полностью зависит от плана работы комитета, где указано количество и сроки рассмотрения вопросов, касающихся внутреннего аудита. Специальная типовая форма отчета не разработана. Отчеты содержат общую информацию о характере выявленных недостатков, включая существенные риски и проблемы контроля, а также информацию о количестве проведенных проверок.

Генеральный аудитор WWO в течение года отчитывается перед аудиторским комитетом регулярно: 5-6 раз в течение года представляются отчеты о ходе выполнения годового плана (в виде схемы – status report) и один раз – отчет о работе службы внутреннего аудита за год (в виде доклада).

Отчет о работе службы внутреннего аудита за год содержит информацию:

  • о стратегии и целях в области работы с персоналом службы внутреннего аудита;
  • квалификации персонала;
  • результатах оценки качества внутреннего аудита;
  • бюджете внутреннего аудита;
  • выполнении службой внутреннего аудита ключевых показателей деятельности и метрик;
  • процессе годового планирования аудита;
  • выполнении плана аудита текущего года;
  • обновлении стратегии внутреннего аудита;
  • обосновании плана на следующий год.

Отчеты о ходе выполнении годового плана аудита представляются по форме, установленной службой внутреннего аудита и согласованной с аудиторским комитетом. Они содержат информацию:

  • о проведенных аудитах;
  • об оценке внутреннего контроля;
  • о планах менеджмента по устранению недостатков, а также о ходе выполнения этих планов.

Схематично это выглядит следующим образом:

Статус предусматривает три состояния: выполнено, выполняется, дата выполнения просрочена. В отчете эти состояния отражаются цветами «светофора», соответственно: зелеными, желтыми и красными точками.

Информация для отчетов о ходе выполнения годового плана аудита собирается из отчетов по результатам выполнения конкретных аудиторских заданий. Информация показывается объективная, но при этом «дозируется». Что это значит? Это означает, что не следует ставить в неловкое положение всех участников процесса, включая членов совета директоров; информация о недостатках не раздувается до размера «вселенской катастрофы» (как, например, любит делать современное российское телевидение), негатив не нагнетается. Все по-деловому: обнаружено то-то, планируем сделать для улучшения то-то, уже сделано то-то или не сделано то-то.

Можно вспомнить случай, как однажды руководителю службы внутреннего аудита PetrolUnion подчиненные подготовили отчет аудиторскому комитету по форме, в которой обычно делается доклад на заседании правления: хлесткие фразы о творящихся безобразиях, предрекание последствий гипертрофированных размеров – словом, картина настоящего Апокалипсиса.

Не обойтись без пояснения.

Одно дело информацию в таком виде доводить до членов правления (исполнительного органа компании), которые обязаны адекватно реагировать на сигналы внутреннего аудита, и поэтому, «чем страшнее будет повесть, тем спокойней аудиторская совесть», и другое – до членов аудиторского комитета, которые призваны осуществлять надзорные, но никак не административные функции.

Отчетность по результатам проверки: форма, содержание, сроки, получатели

Группа стандартов 2400-2440 «Информирование о результатах».

Внутренние аудиторы должны сообщать результаты выполненных заданий.

Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

Сообщения должны быть точными, ясными, объективными, ясными, конструктивными, краткими и своевременными.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих сторон.

Типовая форма аудиторского отчета компании WWO менялась на определенных этапах развития функции внутреннего аудита. Сейчас она определена корпоративным регламентом внутреннего аудита и аудиторский отчет выглядит следующим образом:

Рис. 1. Аудиторский отчет нефтегазодобывающей дочерней компании WorldWideOil

Фактически, отчет представляет собой заключение внутреннего аудита WWO о состоянии системы внутреннего контроля тех областей деятельности предприятия или структурного подразделения, которые подверглись проверке. Выводы излагаются кратко.

Непосредственно аудиторский отчет занимает, как правило, одну страницу. В состав аудиторского отчета в обязательном порядке включаются три приложения:

А. Оценка контроля в каждой области особого внимания (см. рис. 2);
В. Перечень недостатков контроля, выявленных в результате аудита;
С. Описание недостатков контроля и план действий менеджмента по их устранению (см. рис. 3).

Рис. 2. Приложение А к аудиторскому отчету нефтегазодобывающей дочерней компании WWO

Пояснение к рис. 2 (приложение А). Внутренний аудит WWO применяет четыре оценки контроля: положительные – эффективный, надежный; отрицательные – нуждающийся в улучшении, слабый. Для каждой оценки определены соответствующие критерии. Например, оценке «надежный» соответствует уровень контроля, которым может быть обеспечена защита от материальных потерь, искажений и ошибок, несоответствия политикам компании. При этом контролю может быть присвоена высшая положительная оценка, даже если аудиторским тестированием в нем выявлены определенные недостатки, но только при условии, что эти изъяны не приводят к искажению отчетности и не нарушают безопасности используемых информационных систем.

Как «слабый» оценивается контроль, недостатки которого существенны: важные контрольные процедуры игнорируются, не выполняются или вообще не определены менеджментом объекты аудита, что приводит к высоким рискам финансовых потерь, утечке конфиденциальной информации, неисполнению политик компании.

Приложение B фактически представляет собой содержание приложения С, т.е. в нем просто по порядку перечисляются все выявленные недостатки контроля.

Рис. 3. Приложение С к аудиторскому отчету нефтегазодобывающей дочерней компании WWO.

Приложение С. При изложении недостатков контроля внутренние аудиторы руководствуются регламентом Внутреннего аудита WWO, в соответствии с которым описание «слабых мест» должно быть кратким и точным (как правило, 2-3 предложения на каждый пример). Несущественные замечания в отчет не включаются. Обязательно указывается, какие контрольные процедуры должны осуществляться, к каким рискам приводят выявленные недочеты, какие конкретно стандарты внутреннего контроля WWO и положения других локальных нормативных актов компании не исполнены. Проект аудиторского отчета готовит руководитель аудиторской (рабочей) группы (Lead Auditor, Auditor In-Charge). Срок – к последнему дню проверки «в поле», к проведению заключительной конференции с объектом аудита. Проект отчета направляется руководству объекта аудита для окончательного согласования и включения в приложение С Плана действий менеджмента по устранению недостатков (Action Plan), в котором менеджеры излагают мероприятия для исправления ситуации. Эта часть аудиторского отчета также должна быть четко сформулирована. В ней указываются ответственные лица за исполнение и сроки устранения недостатков. Выполнение Плана контролируется службой внутреннего аудита, в том числе в ходе последующих проверок.

В связи с тем что информация о мероприятиях по устранению недостатков согласована с менеджментом объекта аудита и включена в аудиторский отчет, никакие распорядительные документы по результатам аудита (приказы, указания, в том числе корпоративного уровня) не издаются.

Срок подготовки окончательного варианта аудиторского отчета в WWO – один из показателей (метрик) оценки работы службы внутреннего аудита. Цель – 14 дней, фактически же окончательные варианты отчетов готовы в среднем через десять дней после завершения проверки!

Аудиторский отчет может формироваться с использованием специальной компьютерной программы (например, TeamMate), которая позволяет автоматически группировать замечания аудиторов в форму аудиторского отчета. Но на практике формулировки замечаний, их состав во многом определяет менеджер внутреннего аудита по направлению деятельности компании, основываясь на результатах совещаний и мнении всех участников аудиторской группы. Замечания, не попавшие в отчет, вносятся в меморандум обсуждения аудита, который также рассматривается на заключительной конференции с менеджерами объекта проверки. Все недостатки, отмеченные как в аудиторском отчете, так и в меморандуме, подлежат безусловному устранению.

Регламентом внутреннего аудита WWO определен перечень получателей аудиторских отчетов. Таковыми являются:

  • менеджеры внутреннего аудита (по направлению деятельности);
  • генеральный аудитор;
  • первый вице-президент по финансам (CFO);
  • вице-президент по контроллингу/главный бухгалтер;
  • исполнительный вице-президент по направлению деятельности;
  • внешний аудитор.

По решению руководителя аудиторской группы в рассылку могут быть включены также менеджеры всех уровней, включая вице-президентов и исполнительных вице-президентов с соответствующими функциональными обязанностями (финансы, информационные технологии, материально-техническое обеспечение и т.д.).

Первому руководителю WWO направляются отчеты только тех аудитов, по результатам которых контроль оценен как «слабый»! Перед этим они в обязательном порядке рассматриваются генеральным аудитором.

В остальных случаях ответственность за качество отчета лежит на менеджерах службы внутреннего аудита.

PU: В PU так же, как и в WWO, разработаны регламенты внутреннего аудита. Это и корпоративные стандарты внутреннего аудита, и стандарты (на уровне методик) проведения проверок по направлениям деятельности (бизнес-сегментам), в которых содержатся в том числе и требования к формированию аудиторского отчета. Так, например, согласно корпоративному стандарту изложение результатов аудиторского задания должно включать наблюдения, выводы (мнение), рекомендации и план действий. Наблюдения должны представлять факты, имеющие отношение к аудиторскому заданию. Наблюдения, необходимые для пояснения (предупреждения неверного понимания) выводов и рекомендаций внутренних аудиторов, должны быть включены в окончательное представление результатов аудиторского задания.

Аудиторские отчеты PU очень объемны, имеют массу приложений, по существу документируют ход выполнения аудиторского задания. Их и читать-то нелегко, а уж писать!..

Сложность заключается еще и в том, что служба внутреннего аудита PU включает в отчет рекомендации по устранению недостатков, в том числе и топ-менеджерам компании. Эти рекомендации оформляются распорядительными документами (приказами, указаниями), которые требуют прохождения процедуры согласования внутри компании и оказывают существенное влияние на продолжительность процесса подготовки окончательного отчета.

Понятны и требования, предъявляемые руководителем службы внутреннего аудита PU к качеству аудиторских отчетов: читать их будет президент! По сути, каждый отчет – «лицо» службы. (Очень ответственно.)

В условиях, когда любая служба внутреннего аудита объективно не может на все 100% быть укомплектована высококвалифицированными специалистами, качество аудиторского отчета попадает в прямую зависимость от количества времени, затраченного на его написание. Говорить о 10 днях на отчет не приходится! Порой процесс затягивается на несколько месяцев, и теряется одно из главных качеств аудиторского отчета – его своевременность.

Однако стоит ли кивать на PetrolUnion, когда подобное положение еще совсем недавно было свойственно службам внутреннего аудита очень крупных международных компаний.

Направляются все аудиторские отчеты президенту компании, так как руководитель службы внутреннего аудита подчинен и подотчетен непосредственно ему. После рассмотрения президент принимает решение о рассылке аудиторского отчета, т.е. определяет круг лиц, которым сообщаются результаты аудиторского задания.

Какой вариант представления отчета лучше? Решать придется самостоятельно. Статистика же такова: имея приблизительно равное количество объектов в аудиторской базе (свыше 500 у каждой компании), служба внутреннего аудита WorldWideOil проводит около 120 аудиторских проверок в год, внутреннего аудита PetrolUnion – чуть больше тридцати. И срок подготовки окончательного варианта аудиторского отчета, конечно, не единственный, но очень важный фактор для объяснения такой разницы. Казалось бы, вывод очевиден – срочно менять порядок представления результатов аудита, упростить структуру отчета и не направлять его первому лицу компании (или направлять только в исключительных случаях). Но здесь стоит задуматься об одном щепетильном моменте.

Представим себе работу внутреннего аудита в условиях более или менее отлаженной работы системы внутреннего контроля, риск-менеджмента, корпоративного управления. Это когда замечания в аудиторском отчете могут звучать примерно так: «не представлено подтверждения того, что сверка счетов за март проводилась в установленном порядке». На самом деле для системы внутреннего контроля это серьезное нарушение, и менеджеры разного уровня это прекрасно понимают. И к виновному будут приняты самые строгие меры. Но это же… момент рабочий. С такими замечаниями на самый верх идти неудобно. И что получается? Работа отлажена лучше некуда, но это не оценивается по достоинству, так как встречи с высшим руководством крайне редки, и, как говорится, со временем происходит « выпадение из обоймы». Поэтому парадокс: чем лучше результаты работы, чем четче работает весь механизм, тем уязвимее со временем позиция, а это и потеря авторитета, и далеко идущие выводы.

Порой, по-видимому, так и происходит на самом деле. Правда, это не касается вышеназванных компаний.

И в завершение. Теоретически процессы формирования и представления результатов выполненного аудиторского задания в компаниях PetrolUnion и WorldWideOil не имеют принципиальных различий, так как внутренний аудит и в той и в другой компании соответствует Международным профессиональным стандартам. Практически же эти различия существенны. Причина кроется в разных задачах, стоящих перед службами внутреннего аудита на сегодняшнем этапе развития компаний.

Первостепенная задача внутреннего аудита компании PetrolUnion – создание современной системы корпоративного управления посредством рекомендаций (в том числе топ-менеджменту), разрабатываемых по результатам аудиторских проверок, и систематического контроля их исполнения.

В WorldWideOil ситуация следующая. Развитию корпоративного управления компании, формализации процессов риск-менеджмента, внутреннего контроля поспособствовала внешняя среда (и в первую очередь – рынок ценных бумаг). Каким образом? Прежде всего, наличием соответствующего законодательства. Внутренний аудит сегодня, в основном, осуществляет проверку соответствия контрольных действий менеджеров и исполнителей принятым регламентам, что вполне соответствует требованиям Закона Сарбейнса-Оксли. В таких условиях проще стандартизировать и аудиторский процесс, и процесс представления результатов аудита. Рекомендаций по результатам проверки внутренний аудит WWO не дает. Соответствие Международному стандарту 2130 достигается путем оказания дочерним предприятиям и структурным подразделениям консультационных услуг, т.е. проведения анализа с целью выработки рекомендаций. Однако количество таких проектов в год очень незначительно, и вот уже сами аудиторы WorldWideOil жалуются на снижение эффективности, на невозможность в связи с нехваткой времени больше внимания уделять выявлению новых рисков и подготовке рекомендаций, направленных на повышение эффективности компании.

Очевидно, единого рецепта нет, но есть главный принцип: не останавливаться на достигнутом, постоянно стремиться к совершенствованию и улучшению методов и процессов.


1 Здесь и далее использован текст перевода стандартов на русский язык, сделанный Институтом внутренних аудиторов, Москва.