План работы службы внутреннего аудита состоит из заданий двух типов: гарантии и консультации. Гарантии – это проекты по предоставлению независимой оценки, например, оценка эффективности процессов, их соответствия политикам и процедурам Компании, а также законодательным актам. Проверка данных проводится не для выявления конкретных отклонений, а для понимания слабых мест, где текущий контроль 1 и 2 линий защиты неэффективен.Консультации – это проекты по предоставлению советов и рекомендаций, содержание которых определяется заказчиком, например, консультации по вопросам выявления рисков и разработки контрольных процедур.К предоставлению гарантий можно отнести следующие основные виды аудиторских заданий: задания по проверке третьих сторон и соблюдение условий контрактов; задания по проверке качества; задания по проведению комплексного обследования; задания по проверке сохранности персональных данных; задания по операционному аудиту; задания по финансовому аудиту; задания по проверке на соответствие (комплаенс) и другие.Рассмотрим подробнее некоторые из них.Задания по проверке третьих сторон и соблюдение условий контрактов. Совокупностью данных для данной проверки служит реестр доходных и расходных контрактов организации. На примере проверки бизнес-процесса «Продажи» нами разработана классификация контрактов:Доходные:Государственные контракты на поставку ТРУ (товаров, работ, услуг);Оптовые контракты с крупными заказчиками;Мелкие договоры с физическими лицами (для организаций, предоставляющих социально значимые услуги населению: медицинские, коммунальные, банковские, услуги связи);Расходные: На поставку сырья, оборудования, расходных материалов, оказание логистических услуг, необходимых для обеспечения основной деятельности;На оказание услуг в сфере цифровых технологий, предоставление права пользования программными продуктами, обслуживания контрольно-кассовой техники, банковских услуг;На оказание коммунальных услуг, ремонт офисного оборудования, поставку канцтоваров, доступа в сеть Интернет.Данную классификацию можно также представить в табличной форме карты рисков (табл. 1).Таблица 1 – Карта рисков при исполнении контрактов бизнес-процесса «Продажи» в качественной оценке[1]Вид договоровКлассификаторВозможный рискВеличина рискаДоходныеГос. контрактыПопадание в реестр неблагонадежных поставщиков, потеря возможности участия во всех гос. закупкахВысокийДоходныеОптовые контрактыРиск невыполнения условий контракта, валютный риск, сбытовой риск, ценовой риск и пр.СреднийДоходныеДоговоры с физ. лицамиСудебные разбирательства (некорректное определение объема работ, некачественное описание условий оплаты и пр.)НизкийРасходныеНа поставку ТРУ для основного производстваОстановка деятельности организацииВысокийРасходныеНа поставку ТРУ в области ИТЗамедление бизнес-процессовСреднийРасходныеНа поставку ТРУ для обеспечения работы офисаДополнительные расходы на заключение новых срочных договоров для обеспечения деятельности офиса; расходы на перевод сотрудников на режим удаленной работы.Низкий Наибольший возможный риск связан с неисполнением государственных контрактов, заключенных на электронных торговых площадках. Все факты неисполнения или нарушения договора в таком случае будут зафиксированы в информационных системах и доступны всем пользователям. Кроме риска потери дохода от конкретного контракта существует риск внесения организации в реестр неблагонадежных поставщиков, что закроет доступ для участия в остальных закупках. Таким образом, риск неисполнения одного договора может оцениваться в размере дохода от всех государственных контрактов.Неисполнение крупных оптовых договоров несет в себе средний риск. Его финансовая оценка может варьироваться от цены одного договора с учетов штрафов и пени до общей стоимости нескольких договоров в случае, если пострадает деловая репутация организации.Наименьший риск несут в себе договоры и соглашения с физическими лицами, финансовые потери при реализации риска будут незначительными, их доля в активах может быть меньше 1%. В отношении расходных договоров, обеспечение основного производства – первичная функция организации, сбой поставки сырья может привести к остановке деятельности. Таким образом, риски неисполнения условий контрактов в данной сфере самые высокие, так как оценочные значения возможных финансовых потерь могут достигать цены коммерческой организации на рынке. Несоблюдение договоров на цифровое и программное обслуживание может существенно замедлить выполнение бизнес-процессов, что может привести к нарушениям сроков поставок, проведения платежей, а далее – к потере заказов. Самые незначительные риски относятся к возможным потерям от неисполнения договоров на обеспечение офисной деятельности. Риски, связанные с неисполнением контрактов организацией или контрагентами, существуют всегда. Владельцами рисков в данном случае являются менеджеры, курирующие направление, которое инициирует заключение конкретного договора. Контроль за соблюдением закупочных процедур и исполнением договора, а также проверка участников закупки на отсутствие в реестре недобросовестных поставщиков, по умолчание, также закреплены за владельцем договора и риска. Правильность проведения закупочных процедур контролирует Отдел закупок, а юридические вопросы заключения договора – Юридический отдел. Таким образом, первичный контроль полностью организован силами первой линии защиты.Если обобщить, то каждый риск по договору является следствием неисполнения или ненадлежащего исполнения договорных обязательств. Владельцы таких рисков – линейные менеджеры. Отдельные категории рисков принадлежат вспомогательным структурам:Отдел закупок берет на себя риски штрафов за нарушение законов о закупочной деятельности;Юридический отдел берет на себя риски, связанные с оформлением договорных отношений. Также существует риски того, что договор будет признан судом как ничтожный, оспоримый или не имеющий исковой силы.Задания по проверке качества.Всеобщее управление качеством – концепция непрерывного развития организации в трех основных направлениях: качество продукции, качество внутренних процессов, система управления качеством.Для реализации концепции используются шесть основных принципов и их компонентов:Акцент на потребителя (изучение спроса на товары данной категории; балансирование ожиданий потенциальных клиентов и возможностей коммерческой организации; получение обратной связи).Вовлеченность высшего руководства в процесс управления качеством. Подразумевает: стандартизацию качества; приспособление к изменениям в отрасли и мире; развитие перспективных направлений; утверждение корпоративного Кодекса этики.Всеобщее участие в работе, что предполагает создание системы поощрений сотрудников за новаторские идеи и развитие профессиональных навыков.Внимание к процессам (подробная декомпозиция бизнес-процессов с выделением входных и исходящих элементов, участников процесса, условия осуществления и ограничения, выстраивание иерархии, определение KPI для участников процесса).Непрерывное развитие.Оперирование фактами, непрерывный мониторинг, сбор и анализ информации.Цели выполнения аудиторских заданий по проверке качества проклассифицирована нами в таблице 2: Таблица 2 – Задачи внутреннего аудита при проверке качества[2]Вид аудитаЦельРешаемые задачиПроцессно-ориентированныйОценить отдельные элементы процессов и операций и их влияние на качествоОценка соответствия процессов регламентирующим документам;Выявление слабых мест, сложных этапов, которые могут приводит к снижению качества;Определение параметров производительностиПродукто-ориентированныйПроанализировать, отвечает ли продукт всем требованиям качестваКонтроль качества продукции;Анализ динамики показателей качества.Системо-ориентированныйОценить эффективность системы управления качеством в организацииОценка степени внедрения элементов системы контроля качества;Выявление важных отсутствующих элементов;Проверка исполнения корректирующих мероприятий по результатам предыдущих проверок или являющихся частью плана внедрения системы управления качества. Определение задачи проверки качества позволяет сформировать программу проверки в выбранной области.Комплексное обследование, или процедура duediligence, применяется для полной оценки покупаемой или продаваемой коммерческой организации. Процедура включает исследование финансовой, инвестиционной, отраслевой и иных областей деятельности.Процедура duediligence направлена на снижение следующих рисков: покупка бизнеса по завышенной цене; неполучение задолженности от контрагента; причинение ущерба, в том числе нефинансового (например, потеря деловой репутации); судебные разбирательства и их последствия; потеря части имущества и ценных бумаг в виде ареста, взыскания; привлечение к административной, уголовной или налоговой ответственности; конфликты внутри организации или группы компаний и другие.В зависимости от области исследования можно разделить аудиторские задания на 4 группы:В области финансов (комплексный анализ финансовой деятельности; оценка возможных областей развития; оценка бухгалтерского и управленческого учета; оценка внутреннего и внешнего контроля).В области правовой деятельности (анализ учредительных документов; анализ правоустанавливающих документов; проверка законности деятельности организации, сделок с ценными бумагами; проверка споров и судебных тяжб с контрагентами и третьими лицами).В сфере налогов (анализ текущих расчетов с налоговыми органами).В области операционной деятельности (оценка положения организации в отрасли, конкурентных преимуществ, маркетинговой политики, ценовой политики; оценка процессов закупок и продаж).Для формирования аудиторского задания необходимо определить исследуемый риск, а также ограничить область проверки.Операционный аудит в качестве объекта проверки рассматривает сегмент бизнес-процесса или бизнес-функции, отдельные действия.Операционный аудит проводится с целью оценки эффективности и результативности выполнения операций. Результативность показывает степень достижения поставленной цели (достижения показателя, количество обработанных заявок), а эффективность определяет соотношения затрат ресурсов на выполнение операции и достигнутого результата.В рамках оценки средств внутреннего контроля и мероприятий, проводимых первой и второй линиями защиты, одна из важнейших задач внутреннего аудита – выявление такой оптимизации, которая повышает эффективность и результативность одной конкретной операции, но снижает их для других операций или для всего бизнес-процесса.Например, одна из ключевых операций бизнес-процесса «Продажи» - обработка заявок от потенциальных клиентов. В качестве контрольного мероприятия менеджерами может вводиться требование об обязательном минимальном количестве обработанных заявок в единицу времени. Эффективность и результативность повышаются, так как уменьшается время ожидание клиента, но появляется риск того, что сотрудник невнимательно изучил документы, вынес необоснованное суждение о кредитоспособности клиента, что может привести к финансовым потерям.Финансовый аудит – это проверка корректности финансовых показателей деятельности организации, их расчета, предпосылок отражения, полноты и своевременности. Задача финансового аудита – оценка достоверности финансовой отчетности.В рамках проверки аудитор проверяет риски искажения статей финансовой отчетности в их взаимосвязи с основными предпосылками, а именно: существование; возникновение; стоимостная оценка измерение; полнота представления и учета информации; права и обязательства, раскрытие и представление информации в соответствии с принятой системой отчетности.Например, финансовый аудит бизнес-процесса «Продажи» может исследовать следующие риски в их взаимосвязи с предпосылками (табл. 3):Таблица 3 – Взаимосвязь рисков бизнес-процесса «Продажи» и предпосылок формирования финансовой отчетности[3]РискСтатья финансовой отчетностиПредпосылкаНеверно определен срок оплаты основной части долгаДебиторская задолженностьРаскрытие и представлениеНесоблюдение обязательств по договоруДебиторская задолженностьСтоимостная оценкаНеверно применяется метод учета запасовЗапасыСебестоимость продажСтоимостная оценкаИзмерение Аудит на соответствие (комплаенс) – это проверка соблюдения коммерческой организацией внешних и внутренних нормативных документов. В процессе проверки комплаенса аудитор должен обладать пониманием регламентируется ли какой-либо вид деятельности организации на государственном уровне, какие требования предъявляют нормативные документы к отчетности, организационной структуре, процессам, методологии, а также какой орган является регулятором [1].Наиболее важная часть заданий на соответствие – экологический аудит. Он предполагает проверку в области соблюдения законов о природопользовании, охране труда и утилизации отходов. Риски в данной сфере могут как финансовые (штрафы за загрязнение окружающей среды), административные (за травмы на производстве по вине работодателя) и репутационные.Консультационные услуги чаще всего выполняются в следующих видах:Тренинги по внутренним контролям. Специалисты СВА могут проводить обучение для первой и второй линий защиты.Документирование бизнес-процессов.Такой тип консультации особенно характерен для новых организаций, а также внедрения, расширения или реинжиниринга бизнес-процессов. Аудитор составляет текстовое описание, инструкцию для сотрудников целевого подразделения и блок-схему бизнес-процесса, учитывая ресурсы входа, детальное описание операций и продукты на выходе.Бенчмаркинг т.е. анализ и сравнение бизнес-процесса с идеальной, эталонной моделью. Проектирование и разработка систем. Внутренний аудит часто принимает активное участие в процессе разработки информационных систем. Данная область имеет большое значение для успеха бизнеса, поэтому контрольные функции должны исполняться с самых первых этапов существования информационной среды. Дизайн системы показателей измерения деятельности. Консультации в данной сфере начинаются с анализа целей коммерческой организации. Критерии достижения цели и есть показатели измерения деятельности, или KPI.Показатели для всей организации разукрупняются по центрам ответственности, подразделениям, а далее – разделяются с учетом функций сотрудников. Таким образом, каждый работник вносит свой вклад в достижение целевых показателей [2].Таким образом, формирование и выбор модели аудиторского задания зависит, в первую очередь, от вида предоставляемых аудитором услуг, гарантий или консультаций, а также от области проверки, необходимой степени детализации и масштаба проверки.После определения модели аудиторского задания наступает процесс разработки индивидуального задания.Исходя из вышеизложенного нами разработана ситуационная модель выбора заданий внутренним аудитором на основе описанной ранее модели бизнес-процесса «Продажи». Ситуационная модель представлена в таблице 4.Таблица 4 – Ситуационная модель выбора типа аудиторского задания в зависимости от риска[4]ОтделРискиКонтролиАудиторское заданиеОтдел продажЗаказы не были аккуратно зафиксированыПисьменное подтверждение заказов.Операционный аудитПроверка качестваВыставление фиктивного заказаСверка покупателей с утвержденным перечнем клиентовОперационный аудитКомплаенсПроверка безопасностиВыставление заказа с неавторизованными ценамиНаличие списка установленных тарифов в системеПроектирование и разработка информационных системНесвоевременное уведомление клиентаНаличие процедур с установленным сроком рассмотрения заявки на покупкуОперационный аудитПроверка качестваКомплаенсКредитный отделСогласование кредита неплатежеспособным покупателямиУстановление кредитных лимитов, реестры (и их регулярное обновление) покупателей с рейтингом кредитоспособностиОперационный аудитПроектирование и разработка информационных системПроверка третьих сторон и соблюдения условий качества Несвоевременная передача информацииНаличие процедур с установленным временем проверки потенциальных дебиторовОперационный аудитПроектирование и разработка информационных системПроверка третьих сторон и соблюдения условий качестваПроверка качестваОтдел учета запасовОшибочное подтверждение несуществующего товара на складеПериодические инвентаризацииОперационный аудитПроектирование и разработка информационных системПроведение комплексного обследованияОтдел биллинга (выставления счетов)Несвоевременное выставление счетовНаличие процедур по выставлению счетов (с указанием лимита времени)Операционный аудитПроектирование и разработка информационных системНекорректные данные (реквизиты клиента)Наличие автоматических контролейОперационный аудитПроектирование и разработка информационных системОтдел отгрузки (логистики)Отгруженные товары не соответствуют заказу Реквизиты получателя некорректны, что приводит к возврату товара и повторной отгрузкеСверка с заказом и упаковочным листомАвтоматическое заполнение реквизитов на основе подтвержденного заказа на покупкуОперационный аудитПроектирование и разработка информационных системОтдел учета дебиторской задолженностиОшибочное отнесение отгрузки на другого дебитора или в неправильной суммеСверка данных с документами на отгрузку и согласованным заказом на покупкуОперационный аудитПроектирование и разработка информационных системРегулярные сверки с дебиторамиФинансовый аудитКомплаенс Данная модель рекомендуется нами для использования при составлении годового плана аудиторских проверок. Использование модели позволяет экономить финансовые и человеческие ресурсы и снижать объем аудиторских заданий путем проведения точечных проверок по ранее выявленным рискам. [1] Таблица составлена на основании результатов авторского исследования.[2] Таблица составлена на основании результатов авторского исследования.[3] Таблица составлена на основании результатов авторского исследования.[4] Таблица составлена на основании результатов авторского исследования.