Методика проведения аудита системы внутреннего контроля бизнес-процесса

Цель данной статьи – показать возможность совершенствования методики проведения аудита системы внутреннего контроля бизнес-процесса компании путем разработки технологии аудита и предоставления практических рекомендаций по проведению внутренней аудиторской проверки.

Результаты данной работы могут быть полезны широкому кругу лиц: от внутренних аудиторов – для использования ее в качестве пособия – до руководителей компаний, заинтересованных в проведении оценки системы внутреннего контроля бизнес-процессов.

Современные тенденции в деятельности компании связаны с повышением роли и значимости внутреннего контроля для достижения целей компании. Руководители крупных компаний начинают понимать, что успех в бизнесе возможен только при наличии четко выстроенной и эффективной системы внутреннего контроля.

Внутренний аудит ставит перед собой цель – оценить эффективность системы внутреннего контроля компании, но следует отметить, что реализация данной цели является очень трудоемким и ресурсозатратным процессом. Поэтому часто аудиторы оценивают СВК отдельных бизнес-процессов либо компаний.

Оценка СВК осуществляется в соответствии с моделью COSO IC [7]. При проведении аудита системы внутреннего контроля осуществляется комплексная оценка всех элементов, составляющих данную систему:

1. компонентов СВК (контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг);
2. целей, достижение которых контролируется (операционные цели, цели в сфере подготовки отчетности, цели в области соблюдения законодательства);
3. четырех организационных уровней (уровень функции (бизнес-процесса), уровень операционной единицы (подразделения), уровень дивизиона (направления бизнеса), уровень организации (группы)).

В соответствии с моделью, обновленной в 2013 г., выделются 17 принципов, которые помогают наиболее полно охватить всю систему внутреннего контроля (см. рис. 1).

Рис. 1. Краткие формулировки принципов системы внутреннего контроля

Таким образом, при аудите СВК бизнес-процесса оценивается эффективность всей СВК в целом и каждого элемента СВК в частности.

Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.

С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:

• Международные профессиональные стандарты внутреннего аудита определяют общие принципы проведения аудиторской проверки [5];
• Международные стандарты аудита¹ и стандарт PCAOB² (в частности, аудиторский стандарт № 5 «Проведение аудита внутреннего контроля над финансовой отчетностью, интегрированный в общий аудит финансовой отчетности») [8];
• Методика проведения внутренней аудиторской проверки, описанная в статье И.А. Красновой «Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов» [3];
• Альтернативная методика аудита СВК, наиболее часто применяемая в банковском секторе, представленная в статье Н.М. Заварихина, Ю.В. Потехиной «Методология и методика внутреннего аудита в коммерческих банках» [2] и мн. др.

Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).

Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.

Рассмотрим основные элементы методики проведения аудита СВК.

1. Планирование проверки

Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.

При проведении планирования следует обратить внимание на следующие моменты.

• Проведение интервью с потребителями бизнес-процесса позволит больше узнать о рисках процесса.
• Идентификация целей бизнес-процесса поможет использование KPI/КПЭ (при их наличии в компании), положений о структурных подразделениях, целевых показателей из информации к оперативным совещаниям.
• Для формирования присущих рисков можно использовать карты рисков, предыдущие отчеты внутренних аудиторов. Чтобы определить присущие риски, необходимо ответить на вопросы:
  • Что может помешать процессу достичь цели?
  • Какие факторы влияют на эффективность процесса?
  • Где возможно в процессе неэффективное использование ресурсов?
  • Какие факторы или события могут привести к ухудшению или замедлению процесса.
• Чтобы аудируемые лица могли оптимально спланировать время, уведомление о проверке корректно направлять не менее чем за 10 рабочих дней до выхода на объект. Следует указать в уведомлении название проверки, дать краткий обзор рамок проверки и целей, указать продолжительность, контакты руководителя проверки и членов аудиторской команды, что позволит владельцу процесса назначить ответственных лиц, знающих процесс, эффективнее спланировать время.
• Не следует пренебрегать проведением встречи «Открытие проекта» с владельцем процесса. Данная встреча имеет принципиальное значение для утверждения рамок и целей проверки, подтверждения позитивных, длительных отношений между аудиторами и заказчиками.
• Планирование проверки должно занимать 20–30 % времени самой проверки. Чем качественнее планирование, тем эффективнее будет результат. Как сказал Авраам Линкольн, Президент США: «Если бы у меня было 8 часов на то, чтобы срубить дерево, 6 часов я бы потратил на затачивание топора».

2. Выполнение проверки

Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.

Основные практические рекомендации по выполнению проверки заключаются в следующем.

• Проведение анализа целей аудируемого процесса даст представление о существенных недостатках СВК процесса. Анализ целей можно провести на соответствие формулировок критериям SMART, определить соотношение долгосрочных, среднесрочных и краткосрочных целей, соотношение целей аудируемого подразделения и корпоративного центра.
• Одним из эффективных способов подтверждения дизайна контрольных процедур является метод прослеживаемых операций / walk throught. Для этого нужно выбрать конкретные операции или документы и проследить их путь от начала до конца процесса.
• Дизайн контрольной процедуры – это совокупность элементов, составляющих контрольную процедуру: покрытие риска контролем, место выполнения контроля, исполнитель контроля, информация и ресурсы, условия выполнения, объем контроля, метод контроля, свидетельства контроля, регламент контроля.

Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.

Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.

• Тестирование операционной эффективности связано с ответами на вопросы:
  • Как применялась контрольная процедура?
  • Постоянство, с которым она применялась в течение периода проверки?
  • Кем (или посредством чего) она применялась?
  Для проведения тестирования необходимо определить тип тестирования (наблюдение, опрос, изучение, воспроизведение). Для получения более высокой степени уверенности рекомендуется проводить тестирование одной и той же процедуры, используя различные типы тестирования.
  Определение периода времени для выбора тестирования зависит:
  
  • от наличия предположений о наличии несоответствий;
  • тестирования данного контроля в предыдущих периодах/отчетах;
  • размера периода тестирования (квартал, год и т.д.);
  • частоты осуществления контрольных процедур (ежедневно, ежемесячно, ежеквартально и т.д.);
  • контрольной среды.
  Определение размера тестирования (выборки) зависит:
  
  • от размера генеральной совокупности;
  • числа отклонений, которые могут возникнуть;
  • оценки риска наличия неэффективного контроля.
• При определении выборки важно проверить генеральную совокупность на однородность, полноту и корректность. Использование статистических методов формирования выборки позволит распространить полученные результаты на всю генеральную совокупность.
• Поскольку результаты тестов являются одним из важнейших элементов формирования аудиторского отчета, все тесты необходимо документировать надлежащим образом. Рабочие бумаги должны содержать достаточные доказательства для обоснования наблюдений СВА и/или обоснования сильных сторон бизнес-процесса (в случае, если по результатам внутренней аудиторской проверки недостатки или возможности улучшения системы внутреннего контроля бизнес-процесса не выявлены). При этом в рабочих бумагах должна отражаться только та информация, которая необходима для обоснования.

Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.

3. Формирование отчета, завершение проверки

На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.

Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.

Основные практические рекомендации по написанию отчета:

• Отчет по внутренней аудиторской проверке содержит две части: вводную и основную.
  Во вводной части «Аудиторского отчета» представляется общая информация о проверке, как то:
  • цель, объект и предметы проверки;
  • состав аудиторской группы, сроки проведения проверки.
  Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.
• Обычно окончательная версия «Аудиторского отчета» представляется: заказчику аудита – лицу, инициировавшему данную проверку; владельцу аудируемого бизнес-процесса; другим заинтересованным пользователям на усмотрение руководителя СВА компании.
• Не следует пренебрегать проведением совещания «Закрытие проекта» с владельцем процесса. Целью данной встречи является обсуждение сильных и слабых сторон системы внутреннего контроля, обсуждение выполненных или планируемых корректирующих мероприятий по результатам внутренней аудиторской проверки.

Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.

Список литературы

1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.

2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.

3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.

4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.

5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).

6. Институт внутренних аудиторов.

7. COSO Internal Control 2013. Integrated Framework.

8. PCAOB

¹ Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.

² Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.