CC BY
15
Вестник Томского государственного университета. Экономика. 2022. № 59. С. 248-260. Tomsk State University Journal of Economics. 2022. 59. рр. 248-260.
Научная статья УДК 657.6
(М: 10.17223/19988648/59/15
Оценка эффективности внутреннего контроля в риск-ориентированных проверках
Тарас Анатольевич Земцов1, Максим Александрович Сорокин2
1 ООО «Газпром трансгаз Томск», Томск, Россия 2 ООО «НалогИнфо», Томск, Россия 1 zetaan@mail.ru 2 paiytchne@mail. ги
Аннотация. Статья посвящена объединению нормативно закрепленных в российском законодательстве принципов внутреннего контроля с целями внутреннего аудита по оценке эффективности внутреннего контроля организаций. Одной из главных задач внутренних риск-ориентированных аудиторских проверок является оценка эффективности внутреннего контроля организаций, осуществляемая внутренними аудиторами для получения уверенности о наличии в обществе достаточного по количеству и масштабу комплекса контрольных процедур, способных минимизировать идентифицированные риски, наличия нормативно закрепленного контроля за их выполнением, а также полноты их выполнения сотрудниками Организации. Общеизвестно, что внутренний контроль и управление рисками взаимосвязаны. В российских нормативных документах процедуры управления рисками входят в элементы внутреннего контроля. При практическом внедрении в производственную деятельность российские организации аналогично либо объединяют системы внутреннего контроля и управления рисками, либо выделяют в параллельные механизмы управления Организацией. Описываемая в нормативных документах МФ РФ и ФНС России система внутреннего контроля достаточна для интуитивного понимания принципов ее построения. Но не дает внутренним аудиторам ответов, каким образом качественно и количественно оценивать системы внутреннего контроля. При проведении внутреннего аудита бизнес-процессов авторами изначально делался упор на выявление и оценку рисковых событий и только затем на организацию внутреннего контроля в целом, что и обусловило рассматриваемый в статье подход к оценке внутреннего контроля организаций. Таким образом, в статье механизм оценки эффективности внутреннего контроля построен на основе анализа полноты регламентации и качества выполнения Контрольной процедуры, авторское определение которой отличается от понятия процедур внутреннего контроля, представленных в российском законодательстве. Проанализирована сущность и практическое проявление понятия «Контрольная процедура», охватывающая, по нашему мнению, все элементы внутреннего контроля. Предлагается достаточный для проведения качественного риск-ориентированного внутреннего аудита алгоритм оценки эффективности внутреннего контроля путем определения эффективности дизайна Контрольной процедуры, степени выполнения Контрольной процедуры, значимости события, значимости Контрольной процедуры, результативности Контрольной процедуры. Предложены качественные и количественные критерии определения показателей эффективности внутреннего кон© Земцов Т. А., Сорокин М.А., 2022
троля, позволяющие практически оценить систему внутреннего контроля в Организации. На основе практического опыта оценки внутреннего контроля авторами представлен пример расчета эффективности внутреннего контроля. Ключевые слова: эффективность внутреннего контроля, эффективность дизайна Контрольной процедуры, степень выполнения Контрольной процедуры, значимость события, значимость Контрольной процедуры, результативность Контрольной процедуры
Для цитирования: Земцов Т.А., Сорокин М.А. Оценка эффективности внутреннего контроля в риск-ориентированных проверках // Вестник Томского государственного университета. Экономика. 2022. № 59. С. 248-260. doi: 10.17223/19988648/59/15
Original article
Evaluation of the effectiveness of internal control in risk-oriented audits
Taras A. Zemtsov1, Maksim A. Sorokin2
1 Gazprom Transgaz Tomsk OOO, Tomsk, Russian Federation 2 NalogInfo OOO, Tomsk, Russian Federation 1 zetaan@mail.ru 2 paiytchne@mail. ru
Abstract. The article aims to integrate the principles of internal control, established in the Russian legislation, with the objectives of internal audit and evaluation of the effectiveness of organizations' internal control. One of the main tasks of internal risk-oriented audits is to assess the effectiveness of organizations' internal control by internal auditors to gain confidence about the presence in the company of a sufficient number of control procedures for minimizing identified risks, the presence of regulatory control over their implementation, as well as the completeness of their implementation by employees of the organization. It is well known that internal control and risk management are interrelated. In Russian regulatory documents, risk management procedures are part of internal control. When practically implementing them into production activities, Russian organizations either combine internal control and risk management systems, or separate them into parallel organization management mechanisms. The internal control system described in the regulatory documents of the Ministry of Finance of the Russian Federation and the Federal Tax Service of Russia is sufficient for an intuitive understanding of the principles of its construction, but it does not give internal auditors answers on how to evaluate internal control systems qualitatively and quantitatively. When conducting an internal audit of business processes, the authors initially focused on the identification and evaluation of risk events, and only further on the organization of internal control as a whole, which led to the approach to the evaluation of organizations' internal control the article discusses. Thus, the mechanism for evaluating the effectiveness of internal control is based on an analysis of the completeness of regulation and the quality of the control procedure (the authorial definition of control procedure differs from the concept of internal control procedures presented in Russian legislation). The essence and practical manifestation of the concept "control procedure", which, in the authors' opinion, covers all elements of internal control, is analyzed. An algorithm sufficient for conducting a quali-
tative risk-based internal audit is proposed to evaluate the effectiveness of internal control by determining the effectiveness of the design of the control procedure, the degree of implementation of the control procedure, the significance of the event, the significance of the control procedure, the effectiveness of the control procedure. Qualitative and quantitative criteria for determining the effectiveness of internal control indicators are proposed; they make it possible to practically evaluate the internal control system in an organization. Based on the practical experience of evaluating internal control, the authors present an example of calculating its effectiveness. Keywords: effectiveness of internal control, effectiveness of design of control procedure, degree of implementation of control procedure, significance of risk event, significance of control procedure, effectiveness of control procedure
For citation: Zemtsov, T.A. & Sorokin, M.A. (2022) Evaluation of the effectiveness of internal control in risk-oriented audits. Vestnik Tomskogo gosudarstvennogo universiteta. Ekonomika — Tomsk State University Journal of Economics. 59. pp. 248260. (In Russian). doi: 10.17223/19988648/59/15
В настоящее время крупными российскими организациями уделяется огромное внимание созданию системы внутреннего контроля. Но при его организации имеется возможность ориентироваться только на международные и российские стандарты по менеджменту риска и аудиту [1-3] или выполнять требования двух нормативных документов Министерства финансов РФ (далее - МФ РФ) и Федеральной налоговой службы России (далее - ФНС) [4, 5]. При этом следует отметить, что международные стандарты имеют содержание общего характера по организации внутреннего контроля (далее - ВК), а нормативные документы МФ РФ, ФНС в первую очередь ориентированы на обеспечение полноты и своевременности уплаты (перечисления) налогов, сборов, страховых взносов и по детализации информации об организации ВК организаций сопоставимы с международными стандартами.
Исходя из этого, в условиях недостаточности информации и практических рекомендаций, необходимых для организации ВК, существует проблема достижения целей внутреннего аудита по оценке эффективности ВК и разработке мероприятий по совершенствованию ВК организаций.
Оценка эффективности ВК в рамках внутренних аудиторских проверок осуществляется внутренними аудиторами в целях получения уверенности о наличии в Организациях достаточного по количеству и масштабам комплекса Контрольных процедур, способных минимизировать идентифицированные риски. Эффективность внутреннего контроля определяется для событий, процессов и бизнес-процесса в целом.
В Информации МФ РФ № ПЗ-11/2013 [5] и иных документах, раскрывающих сущность системы ВК, используется термин «процедуры внутреннего контроля» как одного из основных элементов ВК экономического субъекта, тогда как в настоящей статье применяется термин «Контрольные процедуры», несмотря на то, что данные термины фактически являются синонимами.
Различие терминов заключается в том, что в рамках данной статьи под термином «Контрольные процедуры» подразумевается не только действия,
направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта в рамках осуществления ВК, но и действия, осуществляемые при реализации в организациях всех элементов внутреннего контроля.
В вышеуказанной Информации МФ РФ, по нашему мнению, недостаточно точно определено понятие «процедуры внутреннего контроля», которые описываются как действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта.
Следует отметить, что любые действия сотрудников влияют на достижение целей экономического субъекта, вопрос в том, в какой мере и какого характера влияние, позитивное или негативное.
Второй вопрос в том, что бездействия также влияют на достижение целей экономического субъекта и их влияние зачастую более значимое, чем у действий.
Третий вопрос заключается в том, что все элементы внутреннего контроля - это системы упорядоченных и нормативно закрепленных действий, выполняемых ответственными сотрудниками организаций.
И четвертый вопрос состоит в том, что цель не минимизировать риск, но оптимизировать, в отдельных случаях даже игнорировать.
Вкладываемый нами смысл в термин «Контрольные процедуры» также не совпадает с аналогичным термином из Приказа ФНС № ЕД-7-23/518@ [4] вследствие того, что в рассматриваемом Приказе ФНС в качестве контрольных процедур предусмотрен широкий, но тем не менее закрытый список также только действий.
В качестве примера рассмотрим такой элемент внутреннего контроля, как оценка рисков. Оценка рисков представляет собой процесс выявления и анализа рисков, который состоит из процедур, напрямую направленных именно на минимизацию рисков влияющих на достижение целей экономического субъекта.
Другим элементом ВК является оценка внутреннего контроля, которая таким же образом состоит из процедур, напрямую направленных на минимизацию рисков, влияющих на достижение целей экономического субъекта.
Учитывая, что на протяжении последних нескольких лет в крупных организациях системы ВК организовывается по модели трех линий защиты [6, 7], согласно которой внутренний аудит является третьей линией защиты, т. е. осуществляет надзор за системой управления рисками и внутреннего контроля, то и процедуры оценки внутреннего контроля в рамках настоящей статьи являются контрольными процедурами, тестирование которых необходимо для оценки эффективности внутреннего контроля.
Исходя из вышеизложенного, рассмотрим осуществляемый в ходе проведения риск-ориентированных проверок подход к оценке эффективности внутреннего контроля через определение основных понятий ВК и определение эффективности дизайна Контрольной процедуры, степени выполнения Контрольной процедуры, значимости события, значимости Контрольной процедуры, результативности Контрольной процедуры. Термины, использу-
емые в настоящей статье, раскрыты в ранее изданных статьях «Планирование внутренних риск-ориентированных проверок», «Оценка рисков в риск-ориентированных проверках подразделениями внутреннего аудита» [8, 9].
При оценке эффективности ВК в рамках внутренних аудиторских проверок следует учитывать, что:
- по отобранным для проведения оценки процессам бизнес-процесса определяются составляющие их контрольные процедуры, для контрольных процедур устанавливаются события, влекущие реализацию рисков.
- по каждому риску выполнение 100% контрольных процедур, предусмотренных нормативной документацией Организации, подзаконными актами органов власти, законодательством РФ, позволяет снизить риск до несущественного уровня (при отсутствии фактов выявления внутренними аудиторами контрольных процедур, необходимых для достижения целей бизнес-процесса, но не предусмотренных вышеуказанными нормативными документами);
- особенности порядка оценки эффективности внутреннего контроля по каждому из бизнес-процессов необходимо уточнять конкретной Методикой проведения риск-ориентированной проверки бизнес-процесса [8].
Проанализировав сущность и практическое проявление понятия «Контрольная процедура», мы пришли к выводу, что наиболее точным в целях проведения аудита будет следующее определение: Контрольная процедура - это способы исключения (снижения) вероятности реализации риска и предотвращения (смягчения) последствий наступления неблагоприятных событий, возникающих вследствие реализации риска. В целом следует отметить, что нами в рамках проводимого исследования в качестве контрольных процедур рассматриваются любые действия и бездействия, регламентируемые и не регламентируемые нормативной документацией и учредительными документами Организации, которые влияют на вероятность реализации риска и значимость последствий реализации риска.
Оценка эффективности внутреннего контроля складывается из оценок:
1) значимости события;
2) значимости каждой Контрольной процедуры;
3) результативности Контрольной процедуры в соответствующей системе контрольных процедур.
Оценка значимости события осуществляется исходя из степени его значимости (в %) в достижении целей процесса или бизнес-процесса в целом с учетом следующих принципов:
- если на достижение целей влияет одно событие, степень его влияния составит 100%;
- если на достижение целей влияет несколько событий одновременно, то степень влияния каждого будет пропорциональна их количеству (т.е. =100%/п, где п - количество влияющих событий). При разной значимости событий степень влияния каждого определяется экспертным путем;
- при оценке степени влияния учитываются также неконтролируемые события (не охваченные комплексом контрольных процедур);
- общий вес всех событий соответствующего процесса/бизнес-процесса в целом составляет 100%;
- источник риска является событием в рамках оценки значимости события.
Оценка значимости Контрольной процедуры в системе контрольных
процедур осуществляется исходя из степени влияния (в %) оцениваемой Контрольной процедуры на предотвращение соответствующего события:
- если определенное событие становится возможным при отсутствии (нерезультативности) нескольких контрольных процедур, степень влияния каждой Контрольной процедуры будет пропорциональна их количеству (т.е. = 100%/п, где п - количество необходимых контрольных процедур для данного события). Если при этом отдельные контрольные процедуры представляются более существенными среди прочих контрольных процедур, определение степени влияния производится экспертным путем;
- при оценке степени влияния учитываются также дополнительно внесенные в Карту проверки отсутствующие, но необходимые контрольные процедуры;
- общий вес всех контрольных процедур соответствующей оцениваемой системы контрольных процедур составляет 100%.
Оценка результативности Контрольной процедуры складывается из оценок:
1) эффективности дизайна Контрольной процедуры;
2) степени выполнения Контрольной процедуры.
Оценка эффективности дизайна Контрольной процедуры осуществляется в целях получения уверенности о качестве организации Контрольной процедуры и ее способности минимизировать риски при условии, что контрольные процедуры будут выполняться в полном объеме и в полном соответствии с нормативной документацией головной организации и Организации. Эффективность дизайна контрольных процедур оценивается по следующим параметрам:
1. Наличие нормативно зафиксированного требования о необходимости проведения Контрольной процедуры.
2. Описание порядка организации Контрольной процедуры в нормативной документации Организации.
3. Достаточность детализации Контрольной процедуры в нормативной документации Организации.
Контрольная процедура признается достаточно детализированной, если в нормативной документации Организации закреплены:
- лица, ответственные за выполнение каждой из контрольных процедур (указано ли в нормативной документации Организации лицо (подразделение), ответственное за выполнение Контрольной процедуры), назначен ли сотрудник (и его дублер), ответственный за выполнение Контрольной процедуры, если нормативная документация Организации не утверждает лиц, ответственных за выполнение);
- порядок выполнения Контрольной процедуры (по какому принципу, с помощью каких инструментов, программного обеспечения, установленных
схем или алгоритмов выполняется Контрольная процедура или же должно быть указано или должно быть однозначно понятно, что степень выполнения Контрольной процедуры зависит только от компетентности исполнителя (например, оценочная деятельность);
- необходимость выполнения Контрольной процедуры для всех осуществляемых операций или же имеются исключения, для которых проведение Контрольной процедуры не обязательно, обоснованы ли такие исключения, не несут ли дополнительных рисков для Организации;
- правила фиксирования документальных подтверждений выполнения Контрольной процедуры (документирование факта осуществления Контрольной процедуры);
- порядок осуществления контроля за качеством выполнения Контрольной процедуры, в том числе:
a) правила фиксирования документальных подтверждений осуществления контроля (документирование факта проведения контроля, визирование результатов контролером);
b) ответственность конкретных лиц (по должностному уровню, кадровой позиции, функциональной роли или конкретному исполнителю) за качественное выполнение Контрольной процедуры;
c) периодичность осуществления контроля (по факту выполнения, ежедневно, еженедельно, ежемесячно);
ф ответственность конкретных лиц (по должностному уровню, кадровой позиции, функциональной роли или конкретному лицу) за проведение контроля выполнения Контрольной процедуры и качества выполнения Контрольной процедуры.
4. Актуальность описания в нормативной документации Организации порядка функционирования Контрольной процедуры с учетом действующей организационной и кадровой структуры, замены ответственных лиц и исполнителей на период их отсутствия и т.п.
5. Ограничение вероятности возникновения конфликта интересов (применяется ли принцип разделения обязанностей и предупреждения конфликта интересов).
6. Компетентность ответственных исполнителей. Если из нормативной документации следует, что качество выполнения Контрольной процедуры зависит от компетентности исполнителей, следует выяснить, назначено ли для выполнения отдельных функциональных обязанностей лицо (и его дублер), обладающее достаточной компетенцией или опытом работы в своей области, или соответствующий должностной уровень контролера и исполнителя, или предусмотрено ли нормативной документацией Организации проведение внутреннего обучения и аттестации, проводятся ли фактически такие обучение и аттестация и т. д.
7. Надежность информации, используемой в рамках Контрольной процедуры. Оценивается возможность использования ненадежной информации, когда исполнитель имеет возможность передавать результаты своего труда на следующий этап процесса, если эти результаты предварительно
не проверяются или не контролируются должным образом или если факт проведения контроля не задокументирован.
Оценка эффективности дизайна Контрольной процедуры осуществляется по возможности с применением всех 7 приведенных выше параметров. Допускается оценка по части приведенных параметров в зависимости от применимости отдельных параметров к конкретной Контрольной процедуре, количества контрольных процедур, процессов, особенностей построения бизнес-процессов.
Оценка эффективности дизайна Контрольной процедуры по приведенным параметрам осуществляется на этапе подготовки (актуализации) Карты проверки или на этапе проведения проверки на основании требований об организации Контрольной процедуры, содержащихся в нормативной документации головной организации и Организации.
Оценка эффективности дизайна Контрольной процедуры по приведенным параметрам осуществляется в баллах с применением шкалы, приведенной в табл. 1.
Таблица 1. Шкала оценки эффективности дизайна Контрольной процедуры
Качество дизайна Баллы Характеристика оценки качества дизайна
Плохое 0 Контрольная процедура не предусмотрена нормативной документацией Организации
Неудовлетворительное 1 Контрольная процедура предусмотрена нормативной документацией Организации, но не детализируется процедура ее выполнения
С недостатками 2 Контрольная процедура предусмотрена, но недостаточно детализирована в нормативной документации Организации
Хорошее 3 Контрольная процедура предусмотрена и достаточно детализирована в нормативной документации Организации для текущего и последующего контроля
Оценка эффективности дизайна Контрольной процедуры по приведенным параметрам осуществляется также на этапе непосредственно проведения проверки, если отдельные контрольные процедуры организованы и выполняются на практике, но не задокументированы в нормативной документации Организации. В этом случае по вышеуказанным параметрам оценивается фактическая организация выполнения Контрольной процедуры и при необходимости указывается на недостаточность детализации Контрольной процедуры в нормативной документации Организации. При наличии таких процедур в отчетных документах по результатам риск-ориентированной проверки также отмечают данный факт с рекомендацией внести изменения и дополнения в нормативную документацию Организации с целью перевода указанных Контрольных процедур из разряда добровольно выполняемых в разряд обязательных.
Оценка эффективности дизайна Контрольной процедуры, полученная в ходе проведения проверки, может снизить ранее присвоенную (при составлении или актуализации Карты проверки) оценку эффективности дизайна Контрольной процедуры, но до уровня не ниже «Дизайн Контрольной процедуры с недостатками». Снижение оценки применяется в том случае, когда в части задокументированных параметров присвоена высокая оценка, а в части незадокументированных параметров фактическая организация процедуры имеет недостатки.
Оценка эффективности дизайна Контрольной процедуры, полученная в ходе проведения проверки, может повысить ранее присвоенную (при составлении или актуализации Карты проверки) оценку эффективности дизайна Контрольной процедуры, но до уровня не выше «Дизайн Контрольной процедуры с недостатками». Повышение оценки применяется в том случае, когда в части задокументированных параметров присвоена низкая оценка, а в части незадокументированных параметров фактическая организация процедуры не имеет замечаний.
Оценка степени выполнения Контрольной процедуры осуществляется в целях получения уверенности о качественном выполнении предусмотренного комплекса контрольных процедур, способных минимизировать идентифицированные риски. Оценка осуществляется путем сопоставления фактического выполнения Контрольной процедуры с предусмотренным дизайном Контрольной процедуры.
В ходе анализа степени выполнения Контрольной процедуры необходимо дать оценку выполнения Контрольной процедуры в объеме, порядке и в соответствии с предусмотренным для этой процедуры дизайном с учетом следующего:
- в части параметров, описанных в нормативной документации Организации, оценка степени выполнения Контрольной процедуры осуществляется путем сопоставления с требованиями нормативной документации Организации;
- если какие-либо параметры Контрольной процедуры не регламентированы нормативной документацией Организации, однако организованы на практике, степень выполнения таких параметров Контрольной процедуры оценивается в соответствии с фактически заявленной Организацией Контрольной процедурой;
- если отдельные значимые параметры Контрольной процедуры не регламентированы нормативной документацией Организации и не организованы на практике, степень выполнения Контрольной процедуры оценивается исходя из того, что указанные значимые параметры должны являться составной частью дизайна Контрольной процедуры и должны выполняться.
Оценка степени выполнения Контрольной процедуры осуществляется в баллах с применением шкалы, приведенной в табл. 2, и с учетом требований 7 приведенных выше параметров.
Таблица 2. Шкала оценки степени выполнения Контрольной процедуры
Степень выполнения Контрольной процедуры Баллы Характеристика оценки качества дизайна
Плохое 0 Контрольная процедура не выполняется или выполняется менее чем на 30%
Неудовлетворительное 1 Контрольная процедура практически не выполняется или выполняется с несоблюдением большинства требований (выполняется на 30-60%)
Недостаточное 2 Контрольная процедура выполняется не всегда или выполняется с несоблюдением отдельных требований (выполняется на 60-90%)
Хорошее 3 Контрольная процедура выполняется в основном всегда или с соблюдением всех требований (выполняется более 90%)
Оценка степени выполнения Контрольной процедуры по каждой единице Выборки отображается в рабочих таблицах.
Оценка результативности Контрольной процедуры определяется путем умножения результатов оценки показателей эффективности дизайна Контрольной процедуры и степени выполнения Контрольной процедуры в баллах, с применением шкалы, приведенной в табл. 3.
Таблица 3. Шкала оценки результативности Контрольной процедуры
Общая оценка результативности Контрольной процедуры Интервал баллов
Низкая 0,0-3,9
Средняя 4,0-6,9
Высокая 7,0-9,0
Рассмотрим оценку результативности Контрольной процедуры на примере риска «Нарушение сроков поставок газа вследствие отсутствия МТР для проведения работ по восстановлению работоспособности магистральных газопроводов в результате аварий». В рамках данного риска можно выделить событие «Невыполнение процедур обновления аварийного запаса МТР». Для снижения вероятности возникновения вышеуказанного события одной из контрольных процедур будет являться КП «Выявление МТР АЗ с истекающими сроками хранения при смене лица, ответственного за хранение и техническое состояние МТР».
Далее предположим, что в ходе аудиторских процедур:
- при оценке дизайна Контрольной процедуры выявлено, что в нормативной документации Организации отсутствуют положения, регулирующие порядок смены лица, ответственного за хранение и техническое состояние материально-технических ресурсов аварийного запаса;
- при оценке степени выполнения Контрольной процедуры выявлено, что при смене вышеуказанного ответственного лица фактическая передача дел не осуществлялась, и как следствие, многие материально-технических ресурсы аварийного запаса оказались непригодными для дальнейшего использования по причине истекшего срока годности.
Исходя из предложенной ситуации, производится оценка Результативности контрольной процедуры. Пример оценки результативности контрольной процедуры представлен в табл. 4.
Таблица 4. Пример оценки результативности контрольной процедуры, баллы
Эффективность дизайна Контрольной процедуры Степень выполнения Контрольной процедуры Результативность Контрольной процедуры Выводы
0 0 0 Результативность контрольной процедуры на низком уровне, требуется регламентация контрольной процедуры, риск реализован по причине истекшего срока годности МТР
Итоговая оценка эффективности внутреннего контроля определяется на основании оцененных значений:
- результативности Контрольной процедуры (гр. 1 в табл. 5);
- влияния Контрольной процедуры на риск (гр. 2 в табл. 5);
- влияния события на риск (гр. 4 в табл. 5).
Пример оценки эффективности внутреннего контроля представлен в табл. 5.
Таблица 5. Пример оценки эффективности внутреннего контроля
Результативность Контрольной процедуры (РКП), баллы Влияние Контрольной процедуры на риск Эффективность контроля события (гр. 4 = гр. 1 хгр. 2) Влияние события на риск Эффективность внутреннего контроля процесса (гр. 6 = гр. 4*гр. 5)
1 2 3 4 5 6
Процесс 1
Событие № 1
Контрольная процедура № 1 Средняя (5) 33% (0,33) 48% =(5*0,33+8*0,33+ 0*0,33)/9 (max РКП)
Контрольная процедура № 2 Высокая (8) 33% (0,33) 70% 54,3% =48%*70% +69%*30%
Контрольная процедура № 3 Низкая (0) 33 % (0,33)
Событие № 2 69%
КП № 1 Высокая (9) 30% (0,3) =(9*0,3+5*0,7)/9 30%
КП № 2 Средняя (5) 70% (0,7) (max РКП)
Значение уровня эффективности внутреннего контроля процесса определяется в соответствии со шкалой:
1) высокая эффективность внутреннего контроля - более 90%;
2) средняя эффективность внутреннего контроля - в диапазоне от 60 до 90%;
3) низкая эффективность внутреннего контроля - в диапазоне от 30 до 60%;
4) неудовлетворительная эффективность внутреннего контроля - менее 30%.
Список источников
1. О введении в действие международных стандартов аудита на территории Российской Федерации и о признании утратившими силу некоторых приказов Министерства финансов Российской Федерации: утв. приказом Минфина России от 09.01.2019 № 2н // // БД КонсультантПлюс: справ.-правовая система.
2. ГОСТ Р ИСО 31000-2019 Менеджмент риска. Принципы и руководство: утв. приказом Росстандарта от 10.12.2019 № 1379-ст // БД КонсультантПлюс: справ.-правовая система.
3. ГОСТР 51897-2011/Руководство ИСО 73:2009. Национальный стандарт Российской Федерации. Менеджмент риска. Термины и определения: утв. приказом Росстандарта от 16.11.2011 № 548-ст // БД КонсультантПлюс: справ.-правовая система.
4. Об утверждении требований к организации системы внутреннего контроля, а также форм и форматов документов, представляемых организациями при раскрытии информации о системе внутреннего контроля: утв. приказом ФНС России от 25.05.2021 № ЕД-7-23/518@ // БД КонсультантПлюс: справ.-правовая система.
5. Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности: Информация Минфина России № ПЗ-11/2013 // БД КонсультантПлюс: справ.-правовая система.
6. О рекомендациях руководителям службы внутреннего контроля, службы внутреннего аудита, службы управления рисками финансовых организаций: Информационное письмо Банка России от 24.12.2020 № ИН-06-14/180 // БД КонсультантПлюс: справ.-правовая система.
7. О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах: Информационное письмо Банка России от 01.10.2020 № ИН-06-28/143 // БД КонсультантПлюс: справ.-правовая система.
8. Земцов Т.А., Сорокин М.А. Планирование внутренних риск-ориентированных проверок // Аудит. 2019. № 5. С. 19-24.
9. Земцов Т.А., Сорокин М.А. Оценка рисков в риск-ориентированных проверках подразделениями внутреннего аудита // Вестник Томского государственного университета. Экономика. 2022. № 57. С. 130-144.
References
1. Consultant Plus. (2019) On the introduction of international auditing standards in the territory of the Russian Federation and on the invalidation of certain orders of the Ministry of Finance of the Russian Federation: approved by Order of the Ministry of Finance of the Russian Federation No. 2n of January 09, 2019. Moscow: Consultant Plus. (In Russian).
2. Consultant Plus. (2019) GOST R ISO 31000-2019 Risk management. Principles and guidelines: approved by the order of Rosstandart No. 1379-st of December 10, 2019. Moscow: Consultant Plus. (In Russian).
3. Consultant Plus. (2011) GOSTR 51897-2011/ISO 73:2009Manual. National Standard of the Russian Federation. Risk management. Terms and definitions: approved by the order of Rosstandart No. 548-st of November 16, 2011. Moscow: Consultant Plus. (In Russian).
4. Consultant Plus. (2021) On approval of the requirements for the organization of the internal control system, as well as the forms and formats of documents submitted by
organizations when disclosing information about the internal control system: approved by Order of the Federal Tax Service of Russia No. ED-7-23/518@ of May 25, 2021. Moscow: Consultant Plus. (In Russian).
5. Consultant Plus. (2013) Organization and implementation by an economic entity of internal control of the facts of economic life, accounting and preparation of accounting (financial) statements: Information of the Ministry of Finance of the Russian Federation No. PZ-11/2013. Moscow: Consultant Plus. (In Russian).
6. Consultant Plus. (2020) On recommendations to the heads of the Internal Control Service, Internal Audit Service, Risk Management Service of financial organizations: Information Letter of the Bank of Russia No. IN-06-14/180 of December 24, 2020. Moscow: Consultant Plus. (In Russian).
7. Consultant Plus. (2020) On recommendations on the organization of risk management, internal control, internal audit, the work of the Audit Committee of the Board of Directors (Supervisory Board) in public joint stock companies: Information Letter of the Bank of Russia No. IN-06-28/143 of October 01, 2020. Moscow: Consultant Plus. (In Russian).
8. Zemtsov, T.A. & Sorokin, M.A. (2019) Planning internal risk oriented audits. Audit. 5. pp. 19-24. (In Russian).
9. Zemtsov, T.A. & Sorokin, M.A. (2022) Risk assessment in risk-oriented audits by internal audit units. Vestnik Tomskogo gosudarstvennogo universiteta. Ekonomika — Tomsk State University Journal of Economics. 57. pp. 130-144. (In Russian). DOI: 10.17223/19988648/57/9
Сведения об авторах:
Земцов Т.А. - консультант, ООО «Газпром трансгаз Томск» (Томск, Россия). E-mail: zetaan@mail.ru
Сорокин М.А. - аудитор, ООО «НалогИнфо» (Томск, Россия). E-mail: pai-ytchne@mail.ru
Авторы заявляют об отсутствии конфликта интересов. Information about the authors:
T.A. Zemtsov, consultant, Gazprom Transgaz Tomsk OOO (Tomsk, Russian Federation). E-mail: zetaan@mail.ru
M.A. Sorokin, auditor, NalogInfo OOO (Tomsk, Russian Federation). E-mail: pai-ytchne@mail.ru
The authors declare no conflicts of interests.
Статья поступила в редакцию 16.05.2022; одобрена после рецензирования 01.07.2022; принята к публикации 12.09.2022.
The article was submitted 16.05.2022; approved after reviewing 01.07.2022; acceptedfor publication 12.09.2022.
