CC BY
162
АУДИТ. КОНТРОЛЬ. УПРАВЛЕНИЕ РИСКАМИ
УДК .332 .146; 338 . 26
Проведение подразделением внутреннего аудита оценки эффективности контролей корпоративного уровня
В статье рассмотрены основные принципы организации работы по оценке подразделением внутреннего аудита компании эффективности контролей корпоративного уровня в целях разработки и реализации мер по совершенствованию системы внутреннего контроля
Ключевые слова: аудит, контроль, контроли корпоративного уровня, проверка, система внутреннего контроля, оценка эффективности
Важнейшим элементом формирования действенной системы внутреннего контроля предприятия, фирмы, компании, корпорации является создание и внедрение методологии оценки эффективности внутрикорпоративных контролей, осуществляемых подразделением внутреннего аудита
Проверка контролей корпоративного уровня проводится с целью формирования мнения о реальном состоянии существующей контрольной среды, формах и методах контроля в компании в целом или отдельных объектах внутреннего аудита . Результаты оценки указанных контролей используются при подготовке заключения об эффективности системы внутреннего контроля (СВК) как в компании в целом, так и в ее подразделениях, дочерних обществах или других бизнес-единицах
Для обеспечения на предприятии, в организации, компании системной работы в этом направлении целесообразна разработка внутрикорпоративного положения (или стандарта), регламентирующего порядок и методологию проведения оценки подразделением внутреннего аудита эффективности контролей корпоративного уровня Стандарт должен стать в указанной сфере практическим руководством и определять: подход к классификации контролей корпоративного уровня; порядок планирования и проведения оценки эффективности внутренних контролей; подход к оценке эффективности контролей корпоративного уровня; порядок формирования
© Иванов О. Б . , 2017
О.Б. Иванов
отчета по результатам оценки эффективности контролей и СВК компании в целом
Оценка эффективности контролей корпоративного уровня проводится в рамках внутренних аудиторских проверок компании, дочерних и зависимых обществ, а также других объектов внутреннего аудита . Руководители проверки должны в обязательном порядке включать оценку эффективности контролей корпоративного уровня, относящихся к объекту внутреннего аудита, в план каждой внутренней аудиторской проверки . При этом оценка эффективности контролей включает следующие этапы:
а) планирование оценки эффективности внутренних контролей, в том числе:
- сбор и анализ информации о контролях корпоративного уровня, относящихся к объекту внутреннего аудита;
- определение объема работ для проведения оценки эффективности внутрикорпоративных контролей;
- формирование плана внутренней аудиторской проверки с учетом особенностей объекта аудита, объема оценки эффективности внутренних контролей;
б) проведение оценки эффективности контролей корпоративного уровня, в том числе: выполнение аудиторских процедур и сбор аудиторских доказательств; оценка эффективности внутрикорпоративных контролей;
в) подготовка отчета по результатам проведения оценки эффективности внутрикорпоративных контролей, процессных контролей, формирование плана мероприятий по устранению выявленных аудитом недостатков, ошибок, нарушений .
В рамках проводимого аудита руководитель подразделения внутреннего аудита должен назначить работника, ответственного за ведение и поддержание в актуальном состоянии матриц (реестра) контролей корпоративного уровня, который документирует существующие контроли корпоративного уровня по установленной форме
При описании или актуализации данных контроля в указанном реестре отражаются следующие характеристики контроля корпоративного уровня:
- направление деятельности или бизнес-процесс, к которому относится контроль (заполняется для прямых контролей корпоративного уровня);
- компонент системы внутреннего контроля, к которому относится контроль корпоративного уровня (контрольная среда, оценка рисков, средства контроля, информация и коммуникация, мониторинг);
- наименование контроля — краткое его описание;
- цель контроля;
- описание (дизайн) контроля корпоративного уровня;
- владелец корпоративного контроля;
- исполнитель контроля;
- тип контроля корпоративного уровня (прямой или косвенный);
- ссылки на конкретные нормативные документы, содержащие описание контрольной процедуры
Контроли корпоративного уровня — это внутрикорпоративные управленческие механизмы, которые определяют цели, принципы, нормы и правила деятельности компании Они формализуются в политиках, стратегиях, стандартах, регламентах, приказах и других нормативных документах организации для формирования единой контрольной среды, позволяющей создать основу для эффективного функционирования внутренних контролей Они делятся на прямые процедуры, которые оказывают прямое влияние на совокупность рисков бизнес-процессов компании и обеспечивают своевременное управление ими; а также косвенные, которые не оказывают прямого влияния на риски (совокупность рисков) бизнес-процессов, но формируют общую контрольную среду безотносительно каких-либо бизнес-процессов и создают условия для эффективного функционирования прямых контролей корпоративного уровня и контрольных процедур процессного уровня При этом следует подчеркнуть, что бизнес-процессы делятся также на производственные (основные и вспомогательные, обеспечивающие) и на управленческие Основные бизнес-процессы преобразуют ресурсы (материалы, труд) в готовые товары, работы, услуги для клиентов компании Вспомогательные бизнес-процессы преобразуют ресурсы в продукцию, работы, услуги, необходимые для осуществления основных бизнес-процессов. Управленческие (административные) процессы преобразуют управленческую информацию Сюда относятся процессы, связанные с обеспечением основных бизнес-процессов кадровыми ресурсами, техническими средствами, нормативными, правовыми и информационными функциями; учетом, планированием, бюджетированием Соответствующим образом классифицируются и контроли корпоративного уровня
Контроли корпоративного уровня классифицируются также по объектам воздействия как унифицированные, предназначенные для формирования контрольной среды (выполняются во всех или нескольких подразделениях компании), и на контроли корпоративного уровня, предназначенные для формирования контрольной среды (выполняются в отдельных подразделениях)
Кроме того, контроли корпоративного уровня классифицируются по компонентам системы внутреннего контроля:
1) контрольная среда;
2) оценка рисков;
3) средства контроля;
4) информация и коммуникации;
5) мониторинг.
Возвращаясь более детально к вопросам планирования проверок контролей корпоративного уровня, следует подчеркнуть, что аудит проводится в соответствии с утвержденным в организации, компании положением или внутрикорпоративным стандартом по планированию внутренних аудиторских проверок подразделением внутреннего аудита .
При планировании проверок контролей корпоративного уровня осуществляется сбор информации о них с целью: получения общего понимания о прямых и косвенных контролях; определения владельцев контролей корпоративного уровня — руководителей компании по соответствующим направлениям деятельности; определения непосредственных исполнителей контролей корпоративного уровня; определения объема работ по проверке.
Для планирования проверок контролей корпоративного уровня руководитель проверки использует матрицы контролей корпоративного уровня и типовые требования по основным и «поддерживающим» направлениям деятельности, бизнес-процессам
В ходе проверки (аудита) контролей корпоративного уровня исследуются нормативные документы и другая информация, касающаяся данной сферы управления, в том числе:
- положение о совете директоров компании и его комитетах;
- положение о правлении компании;
- положение о системе внутреннего контроля;
- положение об организации внутреннего аудита в компании;
- положения о подразделениях внутреннего контроля и внутреннего аудита;
- документы, регламентирующие функционирование системы управления рисками;
- документы, отражающие результаты функционирования системы управления рисками (карты и реестры рисков компании, отчеты по мониторингу статуса рисков и мероприятий по управлению ими, отчеты по реализовавшимся рискам);
- стратегия компании, функциональные стратегии компании и отчеты по их реализации;
- организационная структура компании и нормативные документы, определяющие ключевые показатели эффективности деятельности для подразделений и работников;
- информация об обучении работников: списки работников, прошедших обучение в отчетном году, планы обучения на следующий отчетный год; программа, по которой проходило обучение работников;
- сведения об информационных системах, используемых для поддержания бизнес-процессов компании;
- информация о рисках и мероприятиях по управлению ими, полученная в рамках проведения внутренних аудиторских проверок подразделением внутреннего аудита;
- прочая информация, относящаяся к планированию внутренних аудиторских проверок подразделением внутреннего аудита
На основе полученной информации о контролях корпоративного уровня определяется объем работ по проверке
В перечень проверяемых подразделений в обязательном порядке должно быть включено подразделение, руководитель которого является владельцем контроля корпоративного уровня При этом выбор подразделений осуществляется путем проведения риск-факторного анализа . Определяется объем выборки и метод ее формирования
При проведении тестирования контролей корпоративного уровня участники группы проверки должны получить достаточные свидетельства того, что контроли функционируют в соответствии с исходным дизайном
В рамках внутренних аудиторских проверок объектов внутреннего аудита аудиторские процедуры по проверке контролей корпоративного уровня включаются в программу и План внутренней аудиторской проверки, либо при проведении отдельных проверок контролей корпоративного уровня формируется отдельный План внутренней аудиторской проверки контролей корпоративного уровня
При проверке контролей корпоративного уровня в обязательном порядке проводится оценка операционной эффективности контроля корпоративного уровня Определяется, прежде всего, соответствует ли дизайн контроля корпоративного уровня целям контроля При этом следует исходить из того, что целью косвенных контролей корпоративного уровня является создание эффективной контрольной среды в компании в целом, безотносительно каких-либо направлений деятельности или бизнес-процессов . Целью же прямых контролей корпоративного уровня является создание эффективной контрольной среды по отдельным направлениям деятельности или бизнес-процессам компании . Также изучается вопрос — формализован ли контроль корпоративного уровня в нормативных документах компании и не вступают ли эти документы в противоречие с иными нормативными правовыми актами и распорядительными документами компании
При оценке дизайна контроля проверяющие должны проанализировать: актуальность нормативных документов (политик, стратегий, стандартов, регламентов и прочего), в которых задокументированы контроли корпоративного уровня (в том числе на предмет их соответствия изменениям в бизнес-процессах);
- определены ли владельцы и исполнители контроля корпоративного уровня и соответствуют ли функции и обязанности владельца в рамках разработки или актуализации дизайна контроля корпоративного уровня его должностным инструкциям;
- соблюдается ли соответствующее распределение полномочий или разделение обязанностей, отсутствуют ли дублирующие функции;
- определена ли процедура отчетности по итогам выполнения контроля корпоративного уровня
По итогам оценки дизайна контроля корпоративного уровня участники группы проверки определяют, эффективны или неэффективны по дизайну контроли корпоративного уровня . И делается вывод: способен ли контроль корпоративного уровня своевременно предотвращать или обнаруживать события, которые могут препятствовать достижению целей компании или ее подразделений
В случае отсутствия замечаний контроль корпоративного уровня признается эффективным по дизайну. В противном случае определяются недостающие или не отраженные в нормативных документах компании контро-ли корпоративного уровня Для этого сопоставляют типовые требования по направлениям деятельности, бизнес-процессам и существующие контроли корпоративного уровня с целью выявления недостающих звеньев
Руководитель проверки включает недостающие или не задокументированные контроли корпоративного уровня в матрицу контролей
В ходе аудита важно также определить операционную эффективность контролей корпоративного уровня: насколько фактическое исполнение контроля соответствует дизайну и исполнялся ли контроль в течение оцениваемого периода Проверка операционной эффективности осуществляется только для контролей корпоративного уровня, дизайн которых был признан эффективным
При описании недостатков, выявленных в рамках проверки контролей корпоративного уровня, участники группы проверки определяют вид недостатка:
1) отсутствие контроля корпоративного уровня;
2) неэффективный дизайн контроля корпоративного уровня или выполнение контроля корпоративного уровня не в соответствии с его дизайном (в том числе не в соответствии с внутренними нормативными документами компании, ее дочерних и зависимых обществ и других бизнес-единиц) .
Важно определить и отметить, был ли выявлен данный недостаток при проведении предыдущих проверок (то есть недостаток выявлен впервые или носит системный, повторяющийся характер)
Результаты проверки документируются по установленной форме, и формулируется вывод об эффективности контролей корпоративного уровня:
- контроль корпоративного уровня эффективен, значимых недостатков не выявлено;
- контроль корпоративного уровня эффективен, но требует улучшений, выявлены отдельные, не являющиеся существенными, недостатки операционной эффективности контроля, при этом дизайн контроля корпоративного уровня признан эффективным;
- контроль корпоративного уровня неэффективен .
При необходимости в ходе проведения проверки руководитель проверки может вносить изменения в программу проверки, составленную на этапе планирования, в случаях: выявления недостающих или не задокументированных контролей корпоративного уровня; существенного изменения дизайна контролей корпоративного уровня
Пересмотр или корректировка программы проверки осуществляется в порядке, установленном внутрикорпоративным документом, регламентирующим порядок и методику проведения внутренней аудиторской проверки подразделением внутреннего аудита
Результатом проверки контролей корпоративного уровня, полученным в рамках проверки объекта внутреннего аудита и включенным в отчет по результатам внутренней аудиторской проверки, должна стать разработка плана мероприятий по устранению выявленных нарушений и недостатков и совершенствованию системы внутреннего контроля компании
В этих целях после получения отчета о результатах внутреннего аудита владельцы контролей корпоративного уровня в рамках своей ответственности организуют подготовку и утверждение планов мероприятий по совершенствованию системы внутреннего контроля в порядке, определенном внутрикорпоративными документами компании При этом владельцы контролей корпоративного уровня обязаны:
- уведомить ответственных работников компании и ее дочерних и зависимых обществ об их обязанностях и ответственности в рамках реализации указанного плана мероприятий;
- обеспечить своевременное и надлежащее выполнение плана мероприятий по совершенствованию системы внутреннего контроля;
- своевременно уведомлять подразделение внутреннего аудита о реализации мероприятий
За исполнением плана мероприятий должен осуществляться текущий контроль, а также необходимо проводить повторные контрольные проверки, что обеспечит наиболее эффективную реализацию мер по совершенствованию системы внутреннего контроля компании
Литература
1 . Иванов О.Б. Построение риск-ориентированной системы внутреннего
контроля и аудита в крупной корпорации (на примере ОАО «Российские железные дороги) // Вестник Российского экономического ун-та им. Г В. Плеханова. 2015 . №6(84). С. 26-39.
2 . Стандарты и руководства Международной организации высших орга-
нов финансового контроля (ИНТОСАИ) . URL: http: //iktosai . org/ (дата обращения: 12 августа 2017 года) .
3 . The Institute of Internal Auditors . The Professional Practices Framework .
The Institute of Internal Auditors Research Foundation, 2005
References
1 . Ivanov O. B . Postroenie risk-orientirovannoj sistemy vnutrennego kontrolya
i audita v krupnoj korporacii na primere OAO "Rossijskie zheleznye dorogi" [Construction of the risk-oriented internal control system and audit in large corporations (on the example of JSC "Russian Railways")] // Vestnik Rossijskogo ekonomicheskogo un-ta im. G.V. Plekhanova [Vestnik of Russian University of Economics named after G .V. Plekhanov], 2015 . No . 6(84), pp . 26—39 (in Russian)
2 . The standards and guidelines of the International organization of the Supreme
bodies of financial control (INTOSAI). Available at: http: //iktosai.org/ (accessed July 25, 2017; in Russian) .
3 . The Institute of Internal Auditors. The Professional Practices Framework.
The Institute of Internal Auditors Research Foundation, 2005 .
