The article contains options of balancing between assurance procedures and consulting engagements, and on what to pay attention by internal auditor in case of business process «Sales». The situational model of selection of the audit engagement type depending on the risk is proposed
internal audit, risks, internal control, compliance, due diligence
План работы службы внутреннего аудита состоит из заданий двух типов: гарантии и консультации.
- Гарантии – это проекты по предоставлению независимой оценки, например, оценка эффективности процессов, их соответствия политикам и процедурам Компании, а также законодательным актам. Проверка данных проводится не для выявления конкретных отклонений, а для понимания слабых мест, где текущий контроль 1 и 2 линий защиты неэффективен.
- Консультации – это проекты по предоставлению советов и рекомендаций, содержание которых определяется заказчиком, например, консультации по вопросам выявления рисков и разработки контрольных процедур.
К предоставлению гарантий можно отнести следующие основные виды аудиторских заданий: задания по проверке третьих сторон и соблюдение условий контрактов; задания по проверке качества; задания по проведению комплексного обследования; задания по проверке сохранности персональных данных; задания по операционному аудиту; задания по финансовому аудиту; задания по проверке на соответствие (комплаенс) и другие.
Рассмотрим подробнее некоторые из них.
- Задания по проверке третьих сторон и соблюдение условий контрактов. Совокупностью данных для данной проверки служит реестр доходных и расходных контрактов организации. На примере проверки бизнес-процесса «Продажи» нами разработана классификация контрактов:
- Доходные:
- Государственные контракты на поставку ТРУ (товаров, работ, услуг);
- Оптовые контракты с крупными заказчиками;
- Мелкие договоры с физическими лицами (для организаций, предоставляющих социально значимые услуги населению: медицинские, коммунальные, банковские, услуги связи);
- Расходные:
- На поставку сырья, оборудования, расходных материалов, оказание логистических услуг, необходимых для обеспечения основной деятельности;
- На оказание услуг в сфере цифровых технологий, предоставление права пользования программными продуктами, обслуживания контрольно-кассовой техники, банковских услуг;
- На оказание коммунальных услуг, ремонт офисного оборудования, поставку канцтоваров, доступа в сеть Интернет.
Данную классификацию можно также представить в табличной форме карты рисков (табл. 1).
Таблица 1 – Карта рисков при исполнении контрактов бизнес-процесса «Продажи» в качественной оценке[1]
Вид договоров |
Классификатор |
Возможный риск |
Величина риска |
Доходные |
Гос. контракты |
Попадание в реестр неблагонадежных поставщиков, потеря возможности участия во всех гос. закупках |
Высокий |
Доходные |
Оптовые контракты |
Риск невыполнения условий контракта, валютный риск, сбытовой риск, ценовой риск и пр. |
Средний |
Доходные |
Договоры с физ. лицами |
Судебные разбирательства (некорректное определение объема работ, некачественное описание условий оплаты и пр.) |
Низкий |
Расходные |
На поставку ТРУ для основного производства |
Остановка деятельности организации |
Высокий |
Расходные |
На поставку ТРУ в области ИТ |
Замедление бизнес-процессов |
Средний |
Расходные |
На поставку ТРУ для обеспечения работы офиса |
Дополнительные расходы на заключение новых срочных договоров для обеспечения деятельности офиса; расходы на перевод сотрудников на режим удаленной работы. |
Низкий |
Наибольший возможный риск связан с неисполнением государственных контрактов, заключенных на электронных торговых площадках. Все факты неисполнения или нарушения договора в таком случае будут зафиксированы в информационных системах и доступны всем пользователям. Кроме риска потери дохода от конкретного контракта существует риск внесения организации в реестр неблагонадежных поставщиков, что закроет доступ для участия в остальных закупках. Таким образом, риск неисполнения одного договора может оцениваться в размере дохода от всех государственных контрактов.
Неисполнение крупных оптовых договоров несет в себе средний риск. Его финансовая оценка может варьироваться от цены одного договора с учетов штрафов и пени до общей стоимости нескольких договоров в случае, если пострадает деловая репутация организации.
Наименьший риск несут в себе договоры и соглашения с физическими лицами, финансовые потери при реализации риска будут незначительными, их доля в активах может быть меньше 1%.
В отношении расходных договоров, обеспечение основного производства – первичная функция организации, сбой поставки сырья может привести к остановке деятельности. Таким образом, риски неисполнения условий контрактов в данной сфере самые высокие, так как оценочные значения возможных финансовых потерь могут достигать цены коммерческой организации на рынке.
Несоблюдение договоров на цифровое и программное обслуживание может существенно замедлить выполнение бизнес-процессов, что может привести к нарушениям сроков поставок, проведения платежей, а далее – к потере заказов.
Самые незначительные риски относятся к возможным потерям от неисполнения договоров на обеспечение офисной деятельности.
Риски, связанные с неисполнением контрактов организацией или контрагентами, существуют всегда. Владельцами рисков в данном случае являются менеджеры, курирующие направление, которое инициирует заключение конкретного договора. Контроль за соблюдением закупочных процедур и исполнением договора, а также проверка участников закупки на отсутствие в реестре недобросовестных поставщиков, по умолчание, также закреплены за владельцем договора и риска. Правильность проведения закупочных процедур контролирует Отдел закупок, а юридические вопросы заключения договора – Юридический отдел. Таким образом, первичный контроль полностью организован силами первой линии защиты.
Если обобщить, то каждый риск по договору является следствием неисполнения или ненадлежащего исполнения договорных обязательств. Владельцы таких рисков – линейные менеджеры. Отдельные категории рисков принадлежат вспомогательным структурам:
- Отдел закупок берет на себя риски штрафов за нарушение законов о закупочной деятельности;
- Юридический отдел берет на себя риски, связанные с оформлением договорных отношений. Также существует риски того, что договор будет признан судом как ничтожный, оспоримый или не имеющий исковой силы.
- Задания по проверке качества.Всеобщее управление качеством – концепция непрерывного развития организации в трех основных направлениях: качество продукции, качество внутренних процессов, система управления качеством.Для реализации концепции используются шесть основных принципов и их компонентов:
- Акцент на потребителя (изучение спроса на товары данной категории; балансирование ожиданий потенциальных клиентов и возможностей коммерческой организации; получение обратной связи).
- Вовлеченность высшего руководства в процесс управления качеством. Подразумевает: стандартизацию качества; приспособление к изменениям в отрасли и мире; развитие перспективных направлений; утверждение корпоративного Кодекса этики.
- Всеобщее участие в работе, что предполагает создание системы поощрений сотрудников за новаторские идеи и развитие профессиональных навыков.
- Внимание к процессам (подробная декомпозиция бизнес-процессов с выделением входных и исходящих элементов, участников процесса, условия осуществления и ограничения, выстраивание иерархии, определение KPI для участников процесса).
- Непрерывное развитие.
- Оперирование фактами, непрерывный мониторинг, сбор и анализ информации.
Цели выполнения аудиторских заданий по проверке качества проклассифицирована нами в таблице 2:
Таблица 2 – Задачи внутреннего аудита при проверке качества[2]
Вид аудита |
Цель |
Решаемые задачи |
Процессно-ориентированный |
Оценить отдельные элементы процессов и операций и их влияние на качество |
|
Продукто-ориентированный |
Проанализировать, отвечает ли продукт всем требованиям качества |
|
Системо-ориентированный |
Оценить эффективность системы управления качеством в организации |
|
Определение задачи проверки качества позволяет сформировать программу проверки в выбранной области.
- Комплексное обследование, или процедура duediligence, применяется для полной оценки покупаемой или продаваемой коммерческой организации. Процедура включает исследование финансовой, инвестиционной, отраслевой и иных областей деятельности.Процедура duediligence направлена на снижение следующих рисков: покупка бизнеса по завышенной цене; неполучение задолженности от контрагента; причинение ущерба, в том числе нефинансового (например, потеря деловой репутации); судебные разбирательства и их последствия; потеря части имущества и ценных бумаг в виде ареста, взыскания; привлечение к административной, уголовной или налоговой ответственности; конфликты внутри организации или группы компаний и другие.
В зависимости от области исследования можно разделить аудиторские задания на 4 группы:
- В области финансов (комплексный анализ финансовой деятельности; оценка возможных областей развития; оценка бухгалтерского и управленческого учета; оценка внутреннего и внешнего контроля).
- В области правовой деятельности (анализ учредительных документов; анализ правоустанавливающих документов; проверка законности деятельности организации, сделок с ценными бумагами; проверка споров и судебных тяжб с контрагентами и третьими лицами).
- В сфере налогов (анализ текущих расчетов с налоговыми органами).
- В области операционной деятельности (оценка положения организации в отрасли, конкурентных преимуществ, маркетинговой политики, ценовой политики; оценка процессов закупок и продаж).
Для формирования аудиторского задания необходимо определить исследуемый риск, а также ограничить область проверки.
- Операционный аудит в качестве объекта проверки рассматривает сегмент бизнес-процесса или бизнес-функции, отдельные действия.Операционный аудит проводится с целью оценки эффективности и результативности выполнения операций. Результативность показывает степень достижения поставленной цели (достижения показателя, количество обработанных заявок), а эффективность определяет соотношения затрат ресурсов на выполнение операции и достигнутого результата.
В рамках оценки средств внутреннего контроля и мероприятий, проводимых первой и второй линиями защиты, одна из важнейших задач внутреннего аудита – выявление такой оптимизации, которая повышает эффективность и результативность одной конкретной операции, но снижает их для других операций или для всего бизнес-процесса.
Например, одна из ключевых операций бизнес-процесса «Продажи» - обработка заявок от потенциальных клиентов. В качестве контрольного мероприятия менеджерами может вводиться требование об обязательном минимальном количестве обработанных заявок в единицу времени. Эффективность и результативность повышаются, так как уменьшается время ожидание клиента, но появляется риск того, что сотрудник невнимательно изучил документы, вынес необоснованное суждение о кредитоспособности клиента, что может привести к финансовым потерям.
- Финансовый аудит – это проверка корректности финансовых показателей деятельности организации, их расчета, предпосылок отражения, полноты и своевременности. Задача финансового аудита – оценка достоверности финансовой отчетности.
В рамках проверки аудитор проверяет риски искажения статей финансовой отчетности в их взаимосвязи с основными предпосылками, а именно: существование; возникновение; стоимостная оценка измерение; полнота представления и учета информации; права и обязательства, раскрытие и представление информации в соответствии с принятой системой отчетности.
Например, финансовый аудит бизнес-процесса «Продажи» может исследовать следующие риски в их взаимосвязи с предпосылками (табл. 3):
Таблица 3 – Взаимосвязь рисков бизнес-процесса «Продажи» и предпосылок формирования финансовой отчетности[3]
Риск |
Статья финансовой отчетности |
Предпосылка |
Неверно определен срок оплаты основной части долга |
Дебиторская задолженность |
Раскрытие и представление |
Несоблюдение обязательств по договору |
Дебиторская задолженность |
Стоимостная оценка |
Неверно применяется метод учета запасов |
Запасы Себестоимость продаж |
Стоимостная оценка Измерение |
- Аудит на соответствие (комплаенс) – это проверка соблюдения коммерческой организацией внешних и внутренних нормативных документов.
В процессе проверки комплаенса аудитор должен обладать пониманием регламентируется ли какой-либо вид деятельности организации на государственном уровне, какие требования предъявляют нормативные документы к отчетности, организационной структуре, процессам, методологии, а также какой орган является регулятором [1].
Наиболее важная часть заданий на соответствие – экологический аудит. Он предполагает проверку в области соблюдения законов о природопользовании, охране труда и утилизации отходов. Риски в данной сфере могут как финансовые (штрафы за загрязнение окружающей среды), административные (за травмы на производстве по вине работодателя) и репутационные.
Консультационные услуги чаще всего выполняются в следующих видах:
- Тренинги по внутренним контролям. Специалисты СВА могут проводить обучение для первой и второй линий защиты.
- Документирование бизнес-процессов.Такой тип консультации особенно характерен для новых организаций, а также внедрения, расширения или реинжиниринга бизнес-процессов. Аудитор составляет текстовое описание, инструкцию для сотрудников целевого подразделения и блок-схему бизнес-процесса, учитывая ресурсы входа, детальное описание операций и продукты на выходе.
- Бенчмаркинг т.е. анализ и сравнение бизнес-процесса с идеальной, эталонной моделью.
- Проектирование и разработка систем. Внутренний аудит часто принимает активное участие в процессе разработки информационных систем. Данная область имеет большое значение для успеха бизнеса, поэтому контрольные функции должны исполняться с самых первых этапов существования информационной среды.
- Дизайн системы показателей измерения деятельности. Консультации в данной сфере начинаются с анализа целей коммерческой организации. Критерии достижения цели и есть показатели измерения деятельности, или KPI.
Показатели для всей организации разукрупняются по центрам ответственности, подразделениям, а далее – разделяются с учетом функций сотрудников. Таким образом, каждый работник вносит свой вклад в достижение целевых показателей [2].
Таким образом, формирование и выбор модели аудиторского задания зависит, в первую очередь, от вида предоставляемых аудитором услуг, гарантий или консультаций, а также от области проверки, необходимой степени детализации и масштаба проверки.
После определения модели аудиторского задания наступает процесс разработки индивидуального задания.
Исходя из вышеизложенного нами разработана ситуационная модель выбора заданий внутренним аудитором на основе описанной ранее модели бизнес-процесса «Продажи». Ситуационная модель представлена в таблице 4.
Таблица 4 – Ситуационная модель выбора типа аудиторского задания в зависимости от риска[4]
Отдел |
Риски |
Контроли |
Аудиторское задание |
Отдел продаж |
Заказы не были аккуратно зафиксированы |
Письменное подтверждение заказов. |
Операционный аудит Проверка качества |
Выставление фиктивного заказа |
Сверка покупателей с утвержденным перечнем клиентов |
Операционный аудит Комплаенс Проверка безопасности |
|
Выставление заказа с неавторизованными ценами |
Наличие списка установленных тарифов в системе |
Проектирование и разработка информационных систем |
|
Несвоевременное уведомление клиента |
Наличие процедур с установленным сроком рассмотрения заявки на покупку |
Операционный аудит Проверка качества Комплаенс |
|
Кредитный отдел |
Согласование кредита неплатежеспособным покупателями |
Установление кредитных лимитов, реестры (и их регулярное обновление) покупателей с рейтингом кредитоспособности |
Операционный аудит Проектирование и разработка информационных систем Проверка третьих сторон и соблюдения условий качества
|
Несвоевременная передача информации |
Наличие процедур с установленным временем проверки потенциальных дебиторов |
Операционный аудит Проектирование и разработка информационных систем Проверка третьих сторон и соблюдения условий качества Проверка качества |
|
Отдел учета запасов |
Ошибочное подтверждение несуществующего товара на складе |
Периодические инвентаризации |
Операционный аудит Проектирование и разработка информационных систем Проведение комплексного обследования |
Отдел биллинга (выставления счетов) |
Несвоевременное выставление счетов |
Наличие процедур по выставлению счетов (с указанием лимита времени) |
Операционный аудит Проектирование и разработка информационных систем |
Некорректные данные (реквизиты клиента) |
Наличие автоматических контролей |
Операционный аудит Проектирование и разработка информационных систем |
|
Отдел отгрузки (логистики) |
Отгруженные товары не соответствуют заказу Реквизиты получателя некорректны, что приводит к возврату товара и повторной отгрузке |
Сверка с заказом и упаковочным листом Автоматическое заполнение реквизитов на основе подтвержденного заказа на покупку |
Операционный аудит Проектирование и разработка информационных систем |
Отдел учета дебиторской задолженности |
Ошибочное отнесение отгрузки на другого дебитора или в неправильной сумме |
Сверка данных с документами на отгрузку и согласованным заказом на покупку |
Операционный аудит Проектирование и разработка информационных систем |
Регулярные сверки с дебиторами |
Финансовый аудит Комплаенс |
Данная модель рекомендуется нами для использования при составлении годового плана аудиторских проверок. Использование модели позволяет экономить финансовые и человеческие ресурсы и снижать объем аудиторских заданий путем проведения точечных проверок по ранее выявленным рискам.
1. Kevorkova Zh.A. Conceptual provisions of compliance as a form of internal control in economic entities. Zh.A. Kevorkova, N.G. Sapozhnikova // Accounting. Analysis. Audit. 2020. No. 2.
2. Vasilchuk O.I. Performance audit: definitions, meaning, activity control / O.I. Vasilchuk, O.V. Schneider, E.S. Chueva // Scientific vector in Balkanite. 2020. No. 1 (7).
Authors: Dvoryaninov S. A.