Содержание к диссертации
Введение
Глава 1. Риск-ориентированный внутренний аудит и риск-менеджмент в системе управления компании 11
1.1. Предпосылки возникновения и развития внутреннего аудита 11
1.2. Сущность внутреннего аудита 14
1.3. Определение места, роли и основных задач риск-ориентированного внутреннего аудита в системе управления компании с учётом международных стандартов 21
1.4. Сущность риска и риск-менеджмента 30
1.5. Определение места и роли риск-менеджмента в системе управления компании 35
1.6. Классификация рисков внутреннего аудита 40
1.6.1 .Методологические подходы к классификации рисков 40
1.6.2.Классификация рисков внутреннего аудита компании 44
Глава 2. Концепция и модели процессов риск-ориентированного внутреннего аудита 49
2.1. Разработка концепции риск - ориентированного внутреннего аудита 49
2.2. Модели процессов для реализации концепции риск - ориентированного внутреннего аудита 57
2.2.1. Алгоритм описания моделей процессов 59
2.2.2.Описание моделей процессов риск-ориентированного внутреннего аудита 62
2.2.2.1. Проведение проверки объекта 65
2.2.2.2.Подготовка дополнений к программе управления рисками компании 86
2.2.2.3. Оказание внутренним аудитом сопутствующих услуг 90
2.2.2.4.Организация взаимодействия службы внутреннего аудита с внешним аудитом 109
2.2.2.5. Взаимодействие с внешним аудитом и анализ его работы 119
Глава 3. Управление рисками внутреннего аудита 130
3.1. Определение событий (выявление рисков внутреннего аудита) 130
3.1.1.Классификация рисков процессов бизнес - процесса «Внутренний аудит» 130
3.1.2. Формирование перечня внутренних рисков процессов 133
3.2. Оценка рисков 135
3.2.1. Оценка рисков процессов профессиональной деятельности внутреннего аудита 135
3.2.2. Проведение качественной оценки рисков процессов 151
3.2.3. Проведение количественной оценки рисков процессов 168
3.2.3.1. Математическая модель количественной оценки рисков 168
3.2.3.2. Количественная оценка рисков 171
3.3. Реагирование на риск 181
3.3.1. Методы управления рисками 181
3.3.2. Выбор методов управления рисками 185
3.3.3.Формирование перечня контрольных мероприятий по управлению рисками 186
3.4. Мониторинг эффективности внутреннего аудита 189
Заключение 195
Библиографический список использованной литературы 199
- Предпосылки возникновения и развития внутреннего аудита
- Разработка концепции риск - ориентированного внутреннего аудита
- Оценка рисков процессов профессиональной деятельности внутреннего аудита
Введение к работе
Актуальность темы. В марте 2005 года в США вступили в силу новые стандарты раскрытия информации публичными акционерными компаниями установленные Законом Сарбейнса - Оксли1, где фактически во главу угла поставлена обязанность для высшего руководства компании лично подтверждать достоверность финансовой отчётности, а также подтверждать свою ответственность за создание, поддержание процедур раскрытия информации и сопутствующих средств внутреннего контроля, в первую очередь при подготовке финансовой отчётности.
Появление закона Сарбейнса-Оксли было вызвано чередой корпоративных скандалов и банкротством крупнейших мировых компаний (Enron, Worldcom, Parmalat и др.), вызванных выявлением фактов подготовки недостоверной финансовой отчётности, вводившей инвесторов в заблуждение относительно реальных результатов финансово-хозяйственной деятельности компаний, и, соответственно, неэффективной системой внутреннего контроля.
Таким образом, в 2005 году фондовый рынок вступил в новую эру, где центральным вопросом для инвесторов становится вопрос эффективности систем внутреннего контроля -прекрасных финансовых результатов и блестящего фасада корпоративного управления оказывается недостаточно, чтобы защитить инвестиции миноритарных акционеров.
В России так же предпринимаются меры по повышению ответственности Советов директоров и руководства компаний за эффективность систем внутреннего контроля. Так Постановление Федеральной службы по финансовым рынкам «Об утверждении Положения о деятельности по организации торговли на рынке ценных бумаг» № 04-1245/пз-н от 15 декабря 2004 года требует наличия в компаниях-эмитентах утверждённого Советом директоров Положения о внутреннем контроле. Кроме того, в компании необходимо создать отдельное структурное подразделение, которое должно контролировать выполнение такого Положения и докладывать о результатах Комитету по аудиту Совета директоров. Таким отдельным структурным подразделением и является служба внутреннего аудита
Необходимость совершенствования корпоративного управления, повышает роль внутреннего аудита в компании. Для решения этой задачи необходимо совершенствовать работу в области организации и методологии внутреннего аудита. Следует подчеркнуть, что
Закон Сарбейнса-Оксли (Закон 107-204) «О защите инвесторов за счет улучшения точности и достоверности раскрытия корпорациями данных, которые предусмотрено раскрывать в соответствии с законодательством о ценных бумагах и по другим основаниям», принят Сенатом и Палатой Представителей США на 107 сессии Конгресса 30 июля 2002 г.
5 сферами внимания современного внутреннего аудита должны быть все бизнес-процессы компании, причём для компании результатом работы внутреннего аудита должны стать не констатация фактов нарушений и суммы установленного ущерба, а усиление предупредительного характера работы, создание условий для недопущения нарушений, что приведёт к увеличению эффективности (уровня полезности) внутреннего аудита для системы управления компании.
Повышение эффективности внутреннего аудита во многом зависит от правильной организации его работы. Тотальный контроль за финансово - хозяйственной деятельностью компании, который хотелось бы иметь собственникам, в современных условиях невозможен. Передовые российские компании активно внедряют системы управления рискам, представляющие собой особый подход к управлению компанией, состоящий в предвидении и уменьшении негативных последствий неопределенности ожидаемых результатов деятельности. Для выполнения своих современных задач, внутренний аудит должен строить свою работу на основе использования данных системы управления рисками компании для эффективного планирования своей работы.
Но и собственная деятельность внутреннего аудита сопряжена с определёнными рисками. В отличие от внешнего аудита, высказывающего мнение о достоверности финансовой отчётности с разумной степенью уверенности, внутренний аудит должен предоставлять определённые гарантии в её достоверности и нести за это ответственность, что увеличивает профессиональные риски. Кроме того, необходимость развития новых направлений деятельности внутреннего аудита таких, как оценка эффективности систем внутреннего контроля и управления рисками компании, внутренний аудит инвестиционных проектов и выполнение работ по специальным заданиям, подготовка предложений для Совета директоров (Комитета по аудиту), организация контроля за подготовкой управленческой отчётности, организация более тесного взаимодействия с внешним аудитом, значительно расширяют перечень рисков, способных повлиять на успешное выполнение проверок (работ), а также на объективность и обоснованность выводов внутреннего аудита.
Инструментом внутреннего аудита должна стать теория управления рисками и выстроенная на ее базе методология внутреннего аудита, что позволит своевременно выявлять и анализировать проблемы, формировать рациональный план проверки (выполнения работ) и эффективно распределять ресурсы, выявлять в ходе проверки случайную ошибку исполнителя или случаи мошенничества, определять нарушения при выполнении внутренних процедур.
Управление собственными рисками - важнейшая задача внутреннего аудита. Для выполнения этой задачи необходимы научно обоснованные методы выявления рисков,
проведения оценки и ранжирования их по степени значимости для компании, наличие критериев выбора эффективных методов управления, контрольных мероприятий, а также оценки эффективности деятельности риск-ориентированного внутреннего аудита.
Степень разработанности темы. Актуальность исследования темы рисков внутреннего аудита обусловлена и тем, что в отличие от внешнего аудита, внутренний аудит в российских коммерческих компаниях не регулируется законодательными органами. В связи с этим понятие «внутренний аудит» законодательно не закреплено (так же как и понятие «риск»).
Отсутствуют отечественные стандарты внутреннего аудита, а существующие профессиональные стандарты Международного института внутренних аудиторов и рекомендации других международных организаций относительно современного внутреннего аудита необходимо адаптировать к российским условиям ведения бизнеса. Всё это является предпосылкой для проведения данного диссертационного исследования.
Если по теме «управление предпринимательскими рисками» существует много научных исследований и различных публикаций, около шестидесяти которых использовано при написании диссертации, то по теме «внутренний аудит» и «риски внутреннего аудита» имеется ограниченное число современных исследователей (авторов): Андреев В.Д., Богомолов A.M., Голощапов Н.А, Макальская А.К., Соколов Б.Н., Сотникова Л.В. Тема внутреннего аудита фрагментарно затрагивается в различных учебниках, посвященных внешнему аудиту и внутреннему контролю, а также в публикациях в периодической печати. В отдел диссертаций Российской государственной библиотеки (бывшая Государственная библиотека СССР им. В.И. Ленина) за последние десять лет поступило семнадцать диссертаций посвященных внутреннему аудиту, при ежегодном поступлении 15-20 тысяч диссертаций. Из них пять исследуют внутренний аудит в кредитных организациях, а остальные посвящены вопросам организации и методологии внутреннего аудита в компании (формирование службы, планирование и проведение проверок, подготовка отчётов и т.п.).
Тема рисков внутреннего аудита в контексте и объёме, предложенном в диссертации, не рассматривалась ни в одном известном научном исследовании. Лишь различными авторами, считавшими внутренний аудит в компании аналогом внешнего аудита, проводилось сравнение отдельных рисков внутреннего аудита с рисками внешнего аудита (аудиторский риск, неотъемлемый риск, риск средств контроля, риск необнаружения).
Сложившаяся ситуация во многом объясняется недопониманием многими специалистами роли внутреннего аудита и степени значимости рисков внутреннего аудита для современной системы управления компании и, в конечном счёте, для результатов её финансово-хозяйственной деятельности. По-прежнему, считая внутренний аудит
7 второстепенной сервисной функцией узкого контрольного характера, они не учитывают причинно-следственные связи между рисками компании и возможный косвенный ущерб при наступлении рисковых событий, инициированных и рисками внутреннего аудита. Например, риск неправильной оценки прогнозной финансовой информации не остановит начало реализации убыточного инвестиционного проекта имеющего скрытые катастрофические последствия для финансового состояния компании, риск пропуска существенных нарушений не позволит сделать правильные выводы о наличии значительных рисков мошенничества, риск предоставления неточных рекомендаций может привести к принятию неправильных управленческих решений, результатами которых могут быть потери активов компании и т.п. Конечно, данная тема в первую очередь актуальна для крупных холдинговых структур и средних компаний, разместивших (или планирующих размещение) свои ценные бумаги на российских и/или международных фондовых биржах. Но для динамичного развития бизнеса в условиях сильной конкурентной среды, проблемы проведения эффективного внутреннего аудита и управления рисками необходимо будет решать всем хозяйствующим субъектам. Можно будет лишь выбирать форму внутреннего аудита: создание собственной службы или привлечение специализированных компаний (экспертов).
Предметом исследования являются методологические и практические аспекты применения теории управления рисками при организации современного риск-ориентированного внутреннего аудита компаний.
Объектом исследования является деятельность служб внутреннего аудита компаний телекоммуникационной и металлургических отраслей промышленности, а также консалтинговых компаний, оказывающих услуги в области внутреннего аудита.
Цели и задачи исследования. Целью диссертационного исследования является разработка концепции риск - ориентированного внутреннего аудита, теоретическое обоснование классификации рисков внутреннего аудита, а так же разработка методологического аппарата и практических методов для управления рисками внутреннего аудита.
Исходя из выбранных целей, в исследовании поставлены и решены следующие задачи, определяющие логику и структуру диссертационной работы:
Исследовать сущность, задачи, место и роль риск-ориентированного внутреннего аудита в системе управления компании с учётом международных стандартов;
Определить сущность риска и методологические подходы к классификации рисков внутреннего аудита компании;
Разработать концепцию риск - ориентированного внутреннего аудита;
Предложить методологию предварительного анализа рисков внутреннего аудита с использованием моделей бизнес-процессов для выявления рисков, актуальных для управления;
Разработать практические методы для проведения качественной и количественной оценки рисков внутреннего аудита;
Обосновать критерии выбора методов управления рисками и контрольных мероприятий по управлению рисками, а также предложить практические подходы для оценки эффективности риск-ориентированного внутреннего аудита.
Теоретической и методологической основой проведённого исследования послужили труды отечественных и зарубежных учёных и специалистов в области внутреннего и внешнего аудита, управления рисками, управленческого консультирования. Кроме того, в ходе диссертационного исследования автором был использован широкий круг источников, в той или иной мере освещающих изучаемый вопрос (публикации в периодических изданиях, материалы конференций и презентаций). Содержательной базой исследования являлись действующие (по состоянию на 01.11.2006 года) Международные стандарты аудита, Международные профессиональные стандарты внутреннего аудита, Федеральные правила (стандарты) аудиторской деятельности, внутренние стандарты Ассоциации бухгалтеров и аудиторов «Содружество»2.
Методологической основой исследования являлись работы по теории внутреннего и внешнего аудита, управления рисками, корпоративного управления, методологии описания бизнес-процессов, а также математический аппарат, включающий отдельные положения теории вероятностей, математико-экономические методы анализа и методы проведения экспертного опроса.
Научная новизна диссертационной работы состоит в разработке современной концепции риск - ориентированного внутреннего аудита, конкретных методологических приёмов и практических методов для управления рисками внутреннего аудита: выявления, оценки, ранжирования и разработки контрольных мероприятий для управления рисками. В результате диссертационного исследования получены следующие результаты, имеющие научную новизну:
> дано определение понятию «риск-ориентированный внутренний аудит», отражающее его сущность в современных условиях ведения бизнеса, а также разработана классификация рисков внутреннего аудита компании;
2 Полный перечень Стандартов, использованных в качестве информационной базы диссертации, приведён в библиографическом списке.
разработана концепция построения риск - ориентированного внутреннего аудита компании с использованием современной концепции «Управление рисками организации. Интегрированная модель» Комитета COSO (Комитет спонсорских организаций Комиссии Тредвея) .
разработаны методологические основы анализа и выявления рисков внутреннего аудита, актуальных для управления, с использованием расширенной событийно-ориентированной модели еЕРС (extended Event Driven Process Chain - расширенная нотация описания цепочки процесса, управляющего событиями)4;
технология проведения качественной оценки рисков внутреннего аудита с использованием специальной рейтинговой шкалы, математических методов факторного анализа (с применением количественной шкалы выбора факторов) и новой модели карты рисков для определения значимости рисков;
технология проведения количественной оценки рисков внутреннего аудита с использованием математической модели интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку.
Практическая значимость диссертационной работы заключается в том, что результаты исследования могут быть использованы в практической деятельности компаний, как при организации и совершенствовании риск-ориентированного внутреннего аудита в современных условиях, управления рисками внутреннего аудита, так и для проведения диагностики всех бизнес-процессов компании и организации управления внутренними рисками в масштабах всей компании. Кроме того, проведённая работа позволяет устранить неоднозначности в понятийном аппарате по вопросам внутреннего аудита и управления рисками. Отдельные результаты диссертационного исследования будут полезны внешним аудиторам при планировании своей работы и специалистам в области корпоративного управления. Практическую значимость имеют:
сформулированное автором определение «риск-ориентированный внутренний аудит», а также разработанная классификация рисков внутреннего аудита компании;
концепция построения риск - ориентированного внутреннего аудита компании с использованием концепции «Управление рисками организации. Интегрированная модель» Комитета COSO;
графические схемы процессов внутреннего аудита, их текстовые и табличные описания, применяемые для выявления рисков внутреннего аудита, актуальных для управления;
3 Данная работа была опубликована в сентябре 2004 года, сайт .
4 Данная модель используется программной средой ARIS Toolset.
метод корректировки процента выборки в зависимости от коэффициента риска ошибок и мошенничества в компании при проведении проверок (работ) аналогичных внешнему аудиту;
шкала специальных рейтинговых оценок, количественная шкала выбора факторов и разработанная новая модель карты рисков с соответствующей математической моделью для проведения качественной оценки рисков;
математическая модель и схема для интерпретации результатов качественной (рейтинговой) оценки рисков в количественную (стоимостную) оценку, а также результаты ранжирования рисков и процессов внутреннего аудита по степени значимости для компании;
методы определения критериев для выбора методов и соответствующих контрольных мероприятий для управления рисками, а также практические подходы к оценке эффективности внутреннего аудита.
Апробация работы. В настоящее время полученные результаты исследования используются автором для создания системы внутреннего аудита ОАО «АВТОВАЗ», а также в учебном процессе кафедры «Учёт, анализ и аудит» экономического факультета МГУ им. М.В. Ломоносова.
Отдельные результаты диссертационной работы использовались ЗАО «Аудиторско -консультационная группа «Развитие бизнес-систем» при проведении презентаций и подготовки предложений компаниям для выполнения консультационных проектов в областях внутреннего аудита, управления рисками, совершенствовании систем внутреннего контроля.
Публикация результатов исследования. Основные положения и результаты диссертационной работы отражены в десяти публикациях общим объёмом 2,06 п.л.
Структура диссертационной работы обусловлена целями исследования и решаемыми в работе задачами. Диссертационная работа изложена на 198 страницах, содержит 31 рисунок и 25 таблиц. Диссертационная работа состоит из введения, трёх глав, заключения, библиографического списка использованной литературы и десяти Приложений.
Предпосылки возникновения и развития внутреннего аудита
Утверждение аудита в качестве экономического понятия можно отнести к концу XVIII - началу XIX столетия, когда в Великобритании появляются соответствующие законодательные акты. Проверки в форме ревизий финансово-хозяйственной деятельности субъектов имеют более давнюю историю, но информации, подтверждающей это, слишком мало. Например, в Италии уже в XIV столетии учетные книги в некоторых местностях стали заверяться в специальных бюро. Эти книги признавались в качестве вещественного доказательства в суде. С XVI века во многих странах вводится правовой контроль учетных книг, стал использоваться термин «аудитор» в смысле контролера, ревизора для обозначения людей, которые занимаются проверкой учетных записей. В XX столетии аудит становиться неотъемлемым элементом рыночной экономики.
Появление в Великобритании аудита как особой формы контроля вполне закономерно, именно там появились первые упоминания о нем, как о виде профессиональной деятельности.
Основная причина, обусловившая его возникновение, заключается в том, что с развитием экономики, когда в сфере производства все больший удельный вес начинает перемещаться в сторону акционерных хозяйственных структур, разделились интересы непосредственно занимающихся управлением предприятия (администраторы, менеджеры), и теми, кто вкладывает в него деньги (акционеры, собственники, инвесторы).
Подстегнули развитие института аудита экономические кризисы в 1825, 1836, 1847, 1857 гг. и т.д., сопровождавшиеся многочисленными банкротствами не только предприятий, но и банков. Для защиты интересов вкладчиков было необходимо установить контроль за ведением учета и составлением отчетности предприятий с целью своевременного предоставления информации об их возможном банкротстве.
В середине XIX века был принят пакет законов о британских компаниях, предписывающих акционерным компаниям поручать независимым бухгалтерам проверку бухгалтерских книг и счетов компаний с последующим отчетом перед акционерами. Такая проверка должна была совершаться не реже одного раза в год. Независимые бухгалтеры, производившие аудиторские проверки, имели в Англии название присяжных бухгалтеров.
Особенно сильный импульс развитию аудита дал мировой экономический кризис 1929-1933 годов, когда массовое банкротство акционерных обществ и предприятий потребовало ужесточения порядка составления отчетов, балансов и подтверждения их со стороны независимых аудиторов. Можно считать, что кризис заставил практически все страны с рыночной экономикой вводить обязательные требования к объему информации, содержащейся в годовых отчетах, устанавливать обязательность публикации этих отчетов и подтверждение их достоверности аудиторами. Аудит становится достаточно мощным средством против мошенничества.
Как развитый институт современного хозяйственного механизма аудит из системы контроля акционерных обществ, прежде всего в сфере крупной промышленности постепенно внедряется в самые различные коммерческие и не коммерческие отрасли.
Существующая за рубежом система контроля негосударственных образований стала включать в себя не только внешний контроль, который проводится независимыми внешними аудиторами или аудиторскими компаниями, но и внутренний контроль, который включает в себя и внутренний аудит.
Обособление внутреннего аудита от аудита как такового началось примерно с конца 40-х годов. До этого периода аудит ограничивался подтверждением отчетности. Работа аудитора сводилась к проверке документации, подтверждающей записанные в учете операции, а также к проверке правильности группировки этих операций в отчетности, т.е. существовал подтверждающий аудит.
После 1949 года независимые аудиторы стали больше внимания уделять вопросам внутреннего контроля в компаниях, полагая, что при эффективной системе внутреннего контроля вероятность ошибок незначительна и данные отчетов достаточно полны и точны.
В настоящее время достаточно часто просматривается тенденция руководства отдельных наиболее крупных компаний образовывать у себя отдельные службы, постоянно занимающиеся этими проблемами, называя их службами внутреннего аудита, вместо привлечения внешних (независимых) аудиторов для налаживания системы внутреннего контроля и поддержания ее на нужном уровне. В Великобритании, например, которая считается родиной аудита, такие службы существуют во всех крупных компаниях, а во всех государственных учреждениях они являются обязательными.
Следует отметить, что накопленный за рубежом опыт становления внутреннего аудита показал, что в небольших компаниях бывает невыгодно не только создавать подразделение внутреннего аудита, но даже держать в штате внутреннего аудитора, поскольку расходы на их содержание могут превышать экономический эффект от их деятельности. В таком случае целесообразно привлечение внешних аудиторов к тестированию системы внутреннего контроля и выдаче рекомендаций по устранению недостатков в ней. Как разовая процедура это может оказаться выгодным для компании с простой системой контроля. Деятельность службы внутреннего аудита эффективна, прежде всего, в крупных или средних компаниях. Особенно, если они имеют разветвленную сеть филиалов, представительств и т.п. Одним из примеров этого является история известной германской фирмы Круппа, лидера металлургической промышленности, которая была основана в 1811 году и первоначально насчитывала всего восемь человек работающих. При быстром развитии фирмы ее слабым звеном было финансирование, а разразившийся в Германии в 1874 году экономический кризис чуть не привел фирму к финансовому краху. На некоторое время сталелитейная фабрика была заложена консорциуму банков.
Спасло фирму ее реорганизация и усиление роли финансового контроля и аудита. Для этого в 1874 же году в фирме было создано так называемое ревизионно - бухгалтерское бюро, которому была предоставлена большая свобода деятельности, и которое стало, в конечном счете, выполнять функции внутреннего и внешнего аудита Основное внимание в работе этого бюро, как свидетельствуют архивные документы, было направлено на то, чтобы с помощью тщательного выявления узких мест и имеющихся в этой связи резервов снизить себестоимость собственного производства и еще более поднять свою конкурентоспобность. Кроме того, фирма образовывала свои представительства в других странах, в частности, в 1859 году было основано ее представительство в Петербурге. Аудиторы фирмы регулярно производили в этих представительствах финансовые проверки «из-за боязни растраты средств».
Другим примером является создание службы внутренних аудиторов на железнодорожном транспорте США. Уже в конце XIX века так называемые разъездные аудиторы посещали разбросанные по всей стране транспортные агентства с задачей оценить меру ответственности администрации за имущество и систему отчетности.
Первоначально внутренний аудит представлял собой форму контроля за состоянием бухгалтерского учета, поскольку от этого в значительной степени зависела достоверность финансовых отчетов компаний.
Контрольная функция внутреннего аудита остается одной из главных, хотя и не единственной, и в настоящее время. Например, в США все компании, попадающие под действие Акта о фондовой торговле 1934 года, должны были иметь «удовлетворительную систему бухгалтерского учета». Но первый законодательный акт, требующий наличия у публичных (открытых) компаний эффективной учетной системы, был принят только в 1977 году. Это был Акт о зарубежной коррупции.
Не случайно именно законодательство о коррупции выдвинуло требование о наличии хорошо отлаженного внутреннего контроля, что подразумевается под выражением «удовлетворительная система бухгалтерского учёта». Эта система препятствовала возникновению неучтенных средств и взяточничеству.
У внутренних аудиторов США существуют следующие обязанности по предотвращению и выявлению случаев мошенничества: они контролируют формирование политики компаний в отношении сомнительных платежей, проверяют соблюдение этой политики, проводят аудиторскую проверку крупных, нетипичных и неподтвержденных необходимыми документами расходов, особой проверке подлежат такие расходы как комиссионные вознаграждения, комиссионные сборы, расходы на рекламу, производят аудиторскую проверку нетипичных отчислений, произведенных организацией.
В дальнейшем акцент деятельности американских внутренних аудиторов сместился с предотвращения мошенничества к усовершенствованию всего хозяйственного механизма фирм.
Разработка концепции риск - ориентированного внутреннего аудита
Рассмотренная в предыдущем Разделе диссертации методология управления рисками компании применима для целей управления рисками внутреннего аудита.
Разработка концепции построения риск - ориентированного внутреннего аудита должна проводиться в рамках «Управление рисками организации. Интегрированная модель» Комитета COSO53, с учётом следующих условий:
1. Внутренняя среда. Это основа всех остальных компонентов процесса управления внутренним аудитом. Оценка внутренней среды компании говорит о понимании представителей собственников и руководства компании сущности риска и риск-менеджмента, а также месте, роли и задачах внутреннего аудита в системе управления компании, обеспечена организационная независимость внутреннего аудита, утверждены Положение о внутреннем аудите и Кодекс этики, разработаны требования к квалификации и профессионализму внутренних аудиторов.
2. Постановка целей. Цели развития компании определены, в том числе разработана стратегия развития компании с учётом возможного влияния внешних и внутренних рисков на достижение целей развития компании. Цели и задачи внутреннего аудита определяются в зависимости от установленных компанией целей (стратегических, операционных, в области подготовки отчётности и области соблюдения законодательства). Постановка правильных целей внутреннего аудита является предпосылкой эффективного определения источников рисков внутреннего аудита и возможных рисковых событий, проведение оценки собственных рисков и влияет на выбор способов реагирования на риск.
3. Определение событий. Ранее был сделан вывод, что в первую очередь основные усилия необходимо направлять на управление внутренними рисками бизнес-процессов. Именно источники внутренних рисков приводят к возникновению рисковых событий, оказывающих значительное влияние на результаты финансово-хозяйственной деятельности компании. Для выявления источников рисков (рисковых зон) и определения перечня рисков, актуальных для управления, необходимо описать модели процессов внутреннего аудита.
Модели процессов внутреннего аудита представляют собой составленные графические схемы моделей, а также их текстовые и табличные описания. Результаты
Основные положения концепции «Управление рисками организации. Интегрированная модель»комитета COSO изложены в Разделе 1.5 диссертационной работы. анализа моделей процессов позволяют установить последовательность управленческих действий при проведении внутреннего аудита, определить рисковые зоны и идентифицировать риски по процессам, установить причинно-следственные связи между этими рисками и, в итоге, провести отбор внутренних рисков, актуальных для управления.
Информация системы управления рисками о выявленных источниках внутренних рисков и возможных рисковых событиях в других бизнес - процессах компании используется для планирования работы внутреннего аудита.
Как уже отмечалось ранее, внутренний аудит является одним из бизнес-процессов компании и ему присущи специфические риски. Процесс управления рисками внутреннего аудита представляет собой цепочку последовательных действий: выявление рисков, актуальных для управления, проведение их оценки и реагирование на риск (выбор методов управления и разработка контрольных мероприятий), а также оценка эффективности системы управления рисками в рамках оценки эффективности внутреннего аудита в целом. Для построения системы управления рисками внутреннего аудита можно использовать два варианта, схематично представленных на Рисунке 10.
Проведём сравнительный анализ двух вариантов построения системы управления рисками внутреннего аудита на предмет применимости концепции «Управление рисками организации. Интегрированная модель» Комитета COSO:
Оценка рисков. На данном этапе проводится качественная и количественная оценка рисков внутреннего аудита, актуальных для управления. Назначение оценки рисков заключается в предоставлении заинтересованным лицам объективной информации о значимых рисках, возникающих в процессах внутреннего аудита (данные о наиболее слабых местах (рисковых зонах) процессов внутреннего аудита и возможных рисковых последствиях) для принятия управленческих решений по реагированию на риск.
Риск - категория вероятностная, поэтому в процессе оценки внутренних рисков широко используются вероятностные расчёты с использованием различных математических методов и моделей. Применение экономико-математических методов позволяет провести качественный и количественный анализ экономических явлений, дать количественную оценку риска и рыночной неопределённости и выбрать наиболее эффективное (оптимальное) решение. Математические методы и модели позволяют имитировать различные хозяйственные ситуации и оценивать последствия при выборе решений, обходясь без большого количества сложных расчётов.
В качестве математических средств принятия решений в условиях неопределённости обычно используются методы теории математических игр, теории вероятностей, математической статистики, теории статистических решений, математического программирования.
Проведение качественной и количественной оценки рисков внутреннего аудита является очень сложной, но решаемой задачей.
Качественная оценка рисков внутреннего аудита. Методология качественной оценки рисков определяется с учетом того, что результатом такой оценки должно стать выделение (с использованием рейтинговых оценок) из рисков внутреннего аудита актуальных для управления наиболее значимых рисков.
Уточнение рейтинговых оценок рисков проводится уже в рамках количественной (стоимостной) оценки рисков, требующей существенно больших затрат временных и других ресурсов. Поэтому ключевой задачей качественной оценки помимо определения значимости рисков является «отсечение» тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их изучение и управление ими.
Если сравнивать два варианта построения системы управления рисками (Рисунок 10), то различие между ними определяется тем обстоятельством, что во многих случаях количественная оценка рисков может быть существенно затруднена. Это вызвано отсутствием во многих случаях статистической и другой информации, ограниченными возможностями применения в управлении внутренними рисками бизнес-процессов многих экономико-математических методов, а также надежных методов определения соответствия экономико-математических моделей реальным процессам. Поэтому в некоторых случаях оценка рисков ограничивается проведением только качественной оценки рисков, на основании результатов которой выбираются методы управления рисками и разрабатываются контрольные мероприятия для управления ими.
Рассмотрим применимость отдельных методов качественной оценки рисков для целей оценки рисков внутреннего аудита.
Зачастую единственным средством решения многих задач является отдельная группа экономико-математических методов - экспертные методы (методы экспертных оценок).
Предварительная оценка, ранжирование рисков и отказ от низкоприоритетных рисков в рамках качественной оценки должны осуществляться достаточно оперативно. В условиях ограниченности по времени и высокой значимости результатов качественной оценки для управления рисками в целом ключевой методикой качественного анализа является простой опрос экспертов компании (анкетирование).
Внутренние риски внутреннего аудита должны оцениваться в ходе индивидуальных опросов экспертов в данной области и/или смежных областях. Эксперты, обладающие знаниями по проблематике соответствующего процесса внутреннего аудита, оценивают внутренние риски, основываясь на своем профессиональном опыте, статистических данных и других источниках, которые они считают нужными использовать.
Ценность полученных оценок зависит от опыта и интуиции лица, формулирующего оценку. Путь к уменьшению субъективности индивидуального суждения заключается в обращении к группе экспертов, которые обсуждают свои точки зрения и стремятся прийти к консенсусу.
Оценка рисков процессов профессиональной деятельности внутреннего аудита
Как уже отмечалось ранее, при проведении проверок отдельных объектов выборочным способом (финансово-хозяйственной деятельности компании в целом, её филиалов и дочерних компании, центров затрат, центров прибыли) и выполнении заданий на оказание сопутствующих услуг (оценка инвестиционных проектов и выполнение работ по специальным заданиям), связанных с проверками финансовой (управленческой) отчётности или отдельных статей, необходимо определить аудиторский риск и приемлемый уровень существенности139. От этих количественных значений зависит количество выполняемых процедур внутреннего аудита.
Существенность. Уровень существенности устанавливается на стадии составления общего плана и программы проверки (выполнения специального задания) и зависит от особенностей объекта проверки. Внутренние аудиторы обязаны оценивать существенность и ее взаимосвязь с аудиторским риском.
Информация об отдельных активах, обязательствах, доходах, расходах и хозяйственных операциях, а также составляющих капитала считается существенной, если ее пропуск или искажение может повлиять на экономические решения пользователей,
Перечень рисков не носит исчерпывающего характера и может быть дополнен в зависимости от мнения экспертов любой компании. принятые на основе финансовой (бухгалтерской) отчетности. Существенность зависит от величины показателя финансовой (бухгалтерской) отчетности и / или ошибки, оцениваемых в случае их отсутствия или искажения (на основании собственного опыта - в градации 3-5% в зависимости от валюты баланса).
Внутренний аудитор оценивает то, что является существенным, по своему профессиональному суждению. При разработке плана аудита внутренний аудитор устанавливает приемлемый уровень существенности с целью выявления существенных (с количественной точки зрения) искажений. Тем не менее, как значение (количество), так и характер (качество) искажений должны приниматься во внимание. Примерами качественных искажений являются:
недостаточное или неадекватное описание учетной политики, когда существует вероятность того, что пользователь финансовой (бухгалтерской) отчетности будет введен в заблуждение таким описанием;
отсутствие раскрытия информации о нарушении нормативных требований в случае, когда существует вероятность того, что последующее применение санкций сможет оказать значительное влияние на результаты деятельности объекта проверки.
Внутреннему аудитору необходимо рассмотреть возможность искажений в отношении сравнительно небольших величин, которые в совокупности могут оказать существенное влияние на финансовую (бухгалтерскую) отчетность. Например, ошибка в процедуре, проводимой в конце месяца, может указывать на возможное существенное искажение, которое возникнет в том случае, если такая ошибка будет повторяться каждый месяц.
Внутренний аудитор рассматривает существенность как на уровне финансовой (бухгалтерской) отчетности в целом, так и в отношении остатка средств по отдельным счетам бухгалтерского учета групп однотипных операций и случаев раскрытия информации. На существенность могут оказывать влияние нормативные правовые акты Российской Федерации, а также факторы, имеющие отношение к отдельным счетам бухгалтерского учета финансовой (бухгалтерской) отчетности и взаимосвязям между ними. В зависимости от рассматриваемого аспекта финансовой (бухгалтерской) отчетности возможны различные уровни существенности (на основании собственного опыта - в градации 2-12% величины).
Внутреннему аудитору следует принимать во внимание существенность при:
определении характера, сроков проведения и объема аудиторских процедур;
оценке последствий искажений.
При планировании аудиторской проверки внутренний аудитор рассматривает вопрос о том, что могло бы повлечь существенное искажение финансовой (бухгалтерской) отчетности. Проведённая внутренним аудитором оценка существенности, относящаяся к отдельным счетам бухгалтерского учета и группам однотипных операций, помогает внутреннему аудитору решить такие вопросы, как, например, вопрос о том, какие показатели финансовой (бухгалтерской) . отчетности проверять, а также вопрос использования выборочной проверки и аналитических процедур. Это позволяет внутреннему аудитору выбрать аудиторские процедуры, которые, как предполагается, в совокупности уменьшат аудиторский риск до приемлемо низкого уровня.
Между существенностью и аудиторским риском существует обратная зависимость, то есть чем выше уровень существенности, тем ниже уровень аудиторского риска, и наоборот. Обратная зависимость между существенностью и аудиторским риском принимается во внимание внутренним аудитором при определении характера, сроков проведения и объема аудиторских процедур. Например, если по завершении планирования конкретных аудиторских процедур аудитор определяет, что приемлемый уровень существенности ниже, то аудиторский риск повышается. Внутренний аудитор компенсирует это либо снизив предварительно оцененный уровень риска средств контроля там, где это возможно, и поддерживая пониженный уровень посредством проведения расширенных или дополнительных тестов средств контроля, либо снизив риск необнаружения искажений путем изменения характера, сроков проведения и объема запланированных процедур проверки по существу.
Оценка существенности и аудиторского риска на начальной стадии планирования может отличаться от такой оценки после подведения итогов аудиторских процедур. Это может быть вызвано изменением обстоятельств или изменением информированности внутреннего аудитора по результатам проверки. Например, если проверка СВА планируется до конца отчетного периода, внутренний аудитор может только прогнозировать результаты хозяйственной деятельности и финансовое положение объекта проверки. Если фактические результаты деятельности и финансовое положение окажутся в значительной степени отличными от прогнозируемых, оценка существенности и аудиторского риска может измениться. Кроме того, внутренний аудитор при планировании своей работы может намеренно устанавливать приемлемый уровень существенности на уровне более низком, чем тот, который предполагается использовать для оценки результатов внутреннего аудита. Это может быть сделано в целях уменьшения вероятности необнаружения искажений, а также в целях предоставления внутреннему аудитору некоторой степени безопасности при оценке последствий искажений, обнаруженных в процессе внутреннего аудита.
Следует отметить, что при оценке достоверности финансовой (бухгалтерской) отчетности внутреннему аудитору следует определить, является ли совокупность неисправленных искажений, выявленных в ходе аудита, существенной.
Совокупность неисправленных искажений включает:
конкретные искажения, выявленные внутренним аудитором, включая результаты неисправленных искажений, выявленных во время предыдущей проверки;
наилучшую аудиторскую оценку прочих искажений, которые не могут быть конкретно определены (то есть прогнозируемые ошибки).
Если внутренний аудитор приходит к выводу о том, что искажения могут оказаться существенными, ему необходимо снизить аудиторский риск посредством проведения дополнительных аудиторских процедур или потребовать от руководства объекта проверки внесения поправок в финансовую (бухгалтерскую) отчетность. Руководство вправе внести поправки в финансовую (бухгалтерскую) отчетность с учетом выявленных искажений.
В том случае, если руководство объекта проверки отказывается вносить поправки в финансовую (бухгалтерскую) отчетность, а результаты расширенных (дополнительных) аудиторских процедур не позволяют внутреннему аудитору заключить, что совокупность неисправленных искажений не является существенной, СВА должна данный вопрос довести до сведения соответствующего Совета директоров для принятия решения: дать указание руководству объекта проверки внести в финансовую (бухгалтерскую) отчетность необходимые исправления либо принять риск неисправления искажений на себя.