проведение ревизии отделом внутреннего аудита является контролем каким
Внутренний аудит: риски и контроли
Автор: Артем Горлов, директор по внутреннему контролю и аудиту АО «РТИ», член Ассоциации «Институт внутренних аудиторов»
Действия сотрудников компании, направленные на повышение вероятности достижения поставленных перед организацией целей, называются контролями. Совокупность таких действий внутри организации называется системой внутренних контролей.
События, которые могут оказать негативные воздействия на организацию и ее целевые показатели, называются рисками.
Проще говоря, риск – это всё, что ставит под угрозу достижение целей, а контроль – это все действия, которые минимизируют риски и, соответственно, повышают вероятность достижения целей.
Риски, цели и контроли тесно взаимосвязаны с друг другом. Постановка целей компании автоматически означает принятие рисков, связанных с достижением данных целей.
Внутренние аудиторы постоянно работают с рисками и контролями, рекомендуя организации меры по повышению эффективности процессов корпоративного управления, управления рисками и контроля.
Рис. 1. Взаимосвязь целей, рисков и контролей
Разберем данную взаимосвязь на простом примере: на небольшом заводе, специализирующемся на производстве и продаже пластиковых бутылок, руководитель принимает решение о запуске производства пластиковых игрушек. Такое решение сопровождается с несколькими рисками, основные из которых: неконкурентная цена и неудачный дизайн игрушек. Далее менеджмент компании, осознавая данные риски, внедряет контрольные процедуры, позволяющие снизить вероятность наступления некоторых рисков, например, подготавливая исследование нового рынка, проводя анализ себестоимости нового продукта и сравнивая себестоимость с плановыми (ожидаемыми) значениями для достижения конкурентоспособной цены. Таким образом, если в компании эффективная система внутренних контролей, руководство получает разумную уверенность в том, что поставленные цели буду достигнуты.
Добавим в данный пример внутренних аудиторов:
Внутренние аудиторы будут собирать и анализировать информацию, на основе которой можно сказать о качестве имеющихся контролей. Например, внутренние аудиторы могут выявить, что исследование рынка не содержит достоверную информацию о предложении и спросе на рынке, поскольку его готовили те же люди, что отвечают за показатели по новому продукту, и они манипулируют данной информацией в своих целях. Или внутренние аудиторы могут обратить внимание, что анализ себестоимости делается неверно, так как часть переменных затрат, относящихся к производству игрушек, учтена в переменных затратах по производству пластиковых бутылок, что «на бумаге» занижает стоимость игрушек, но в реальности она выше. Далее внутренние аудиторы формулируют свои выводы руководству и рекомендуют варианты, каким образом можно улучшить систему внутренних контролей, например, они могут рекомендовать следующие действия:
нанять внешнюю компанию, которая будет периодически готовить исследование рынка,
утвердить организационную политику, в которой одним из ключевых принципов будет нетерпимость к мошенничеству,
ежегодного проводить производственные тестирования и пересматривать переменные затраты по продуктам, а также доработать алгоритмы расчета себестоимости в корпоративной системе учета.
Предназначение как контролей, так и рисков не всегда напрямую связано с достижением поставленных перед организацией целей. Ниже представлены три возможных области:
Область рисков и контролей
Описание
Эффективность и результативность операций
Выполнение операционных и финансовых целей организации, включая обеспечение сохранности активов.
Достоверность и полнота финансовой отчетности
Подготовка и публикация надёжной и достоверной финансовой отчетности.
Соблюдение применимых законов и правил
Соблюдение законов и нормативных требований, которые распространяются на деятельность организации.
Контроли, как и риски, могут функционировать (присутствовать) на трех уровнях: корпоративный, операционный и транзакционный. Ниже даны определения данных видов контролей из примера с заводом:
утверждение организационной политики – это корпоративный контроль, так как связан с основополагающими устоями/ценностями компании,
ежегодное проведение производственных тестирований – это операционный контроль, так как связан с контролем за повседневной деятельностью предприятия,
доработка алгоритмов расчета себестоимости в учете – транзакционный контроль, так как связан с настройками систем и достоверностью учета.
Необходимо отметить, что наиболее полезными являются контроли, которые выявляют и предотвращают негативные для компании события до того, как они произошли. Такие контроли называются упреждающими, или превентивными: например, разделение обязанностей между сотрудниками или проверка финансовой благонадежности покупателя перед отгрузкой продукции в кредит. Другой вид контролей – это детективные, или выявляющие (контроль по результатам). Такие контроли выявляют проблему уже после того как она произошла: например, периодическая кассовая инвентаризация.
Внутренний аудитор также всегда должен обращать внимание на стоимость внедрения контроля, иначе он рискует попасть в ситуацию, когда контроль, который он рекомендует, превышает стоимость потенциальных убытков от реализации рисков. Если бы внутренние аудиторы на заводе по производству пластика и игрушек рекомендовали привлекать на постоянной основе крупную международную компанию, чьи услуги стоят больших денег, то, возможно, стоимость такого контроля превышала бы прибыль, которую компания могла бы получать от продажи нового продукта.
Иногда контроль подробно описан в регламентах и максимально прозрачен, а иногда контроль абсолютно не формализован, тем не менее, такой контроль может быть эффективным. В качестве примера эффективного контроля можно привести действия руководителя, когда он на еженедельных собраниях уточняет у сотрудников статус по поставленным перед ними задачам и по итогам принимает решения, которые позволят достичь поставленных целей.
Для того, чтобы контроль был эффективным, он должен состоять из трех частей: постановка цели, сопоставление факта с ожиданиями, принятие корректирующих действий. Как вы видите, несмотря на то, что выше приведен пример неформализованного контроля, он всё равно содержит три действия. Перед встречами руководитель поставил цели, в процессе встречи он сопоставлял факт со своими ожиданиями и в итоге принимал корректирующие действия.
Эффективно работающая система внутренних контролей представляет собой взаимосвязь целей, компонентов и подразделений организации. Такая система несет выгоды как для руководства компании, так и для внешних агентов (законодательные и регулирующие органы, внешние аудиторы и даже потребители продукции или услуг).
В мире существуют множество моделей, демонстрирующих лучшие практики в построении системы внутренних контролей. В 1992 году Комитет спонсорских организаций Комиссии Тридуэя (COSO) разработал и описал наиболее известную модель взаимосвязи всех компонентов внутри организации (Internal control integrated framework). А в 2004 году COSO представил модель управления рисками организаций (Enterprise risk management integrated framework). Принятие и использование основ, заложенных в данных моделях, позволяет организациям построить эффективные системы корпоративного управления.
Проведение ревизии отделом внутреннего аудита является контролем каким
7 МИН
Как провести внутренний аудит
Задача внутреннего аудита — предугадать финансовые риски и повысить эффективность менеджмента. Разбираемся, как проверить работу собственной компании.
Что такое внутренний аудит компании
Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации аудитора.
В ходе аудита решаются следующие задачи:
По закону все предприятия должны проводить общий внутренний контроль или, проще говоря, проверку хозяйственной деятельности. Процедуру и итоги проверки компания обязана регламентировать самостоятельно, но строгих требований в законе нет, ответственности за нарушение не предусмотрено.
Ч. 1 ст.19 402-ФЗ
П. 17 ч. 4 Информации Минфина России № ПЗ-11/2013
П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013
Каким бывает внутренний аудит
Существует несколько видов внутреннего аудита. У каждого из них свои функции.
1
Операционный
Это контроль бизнес-процессов компании: эффективности работы подразделений, выполнения бизнес-планов, смет, политики управления и т. д.
1
Финансовый
Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель — оценить эффективность расходования средств компании и выявить риски.
1
Криминальный
Контроль рисков, связанных с нарушением норм законодательства. В первую очередь инспектируются налоговый учёт и платежи.
1
Аудит соответствия
Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые кодексы, корпоративная политика.
1
Экологический аудит
Его цель — проверить, выполняет ли компания требования по защите окружающей среды. Например, не превышен ли уровень вредных выбросов.
1
Аудит информационных технологий
Контроль безопасности информационных систем организации и эффективности процессов управления в области IT.
С чего начинается внутренний аудит
Согласно информации Минфина, положения о внутреннем контроле являются частью учредительных документов. В них прописывается общая процедура проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры, масштабов, документооборота.
П. 11 ч. 3 Информации Минфина России № ПЗ-11/2013
Проверка должна проходить на основании приказа руководителя, который содержит следующее:
Факторы эффективной проверки
Важное условие — независимость и непредвзятость тех, кто проводит внутренний аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии, поскольку финансовая отчётность — один из главных объектов проверки.
Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При этом Министерство финансов рекомендует несколько вариантов: например, аудитором может быть действующая комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а в больших компаниях — специально созданное для этого подразделение. Допустимо также приглашать внешних консультантов.
Сроки и частота проверки устанавливается руководителем. Проводить аудит можно как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается аудиторская компания, сроки прописываются в договоре.
Как проводится внутренний аудит организации
Первый этап — планирование, для проверяющих готовят методологические документы. Они должны описывать:
Перед каждой проверкой составляется чек-лист. Он включает в себя предмет и метод проверки, сроки, контрольные вопросы, план выборочных бесед с работниками, результаты проверки и комментарии проверяющих.
Второй этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей проверки и отвечают на вопросы. После этого начинается процедура по установленному заранее чек-листу.
Третий этап — подведение итогов и написание аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или генеральный директор.
Аудиторское заключение должно содержать следующую информацию:
При этом по итогам финансовой проверки аудиторская организация или индивидуальный аудитор обязаны уведомить уполномоченные органы, если заподозрили проверяемую компанию в отмывании денег, а Федеральная налоговая служба имеет право потребовать у аудитора предоставить информацию, которую тот получил в ходе проверки.
П. 2.1 ст.7.1 115-ФЗ
Пп. 1–2 ст. 93.2 НК РФ
Как провести внутренний аудит на предприятии
Внутренний аудит на предприятии: цели, задачи и виды
Внутренний аудит представляет собой деятельность по контролю за фактами хозяйственной жизни, возникающими в процессе работы предприятия. Организовать такую деятельность обязывает п. 1 ст. 19 закона «О бухгалтерском учете» от 06.12.2011 № 402-ФЗ. Однако собственники или руководителей предприятия также заинтересованы в аудите, поскольку полученная в результате контрольных мероприятий информация позволяет предпринимать своевременные шаги для роста эффективности бизнеса.
Цель внедрения внутреннего аудита — эффективное систематическое наблюдение за всеми обстоятельствами, значимыми для деятельности организации, чтобы оперативно влиять на эти обстоятельства. При этом детализировать их перечень вправе само предприятие в зависимости от масштабов. Юрлицам, подлежащим обязательному аудиту, особое место в этом перечне придется отвести контролю за ведением бухучета и формированием бухотчетности (п. 2 ст. 19 закона № 402-ФЗ).
Задачи внутреннего аудита:
Организуемый внутренний контроль дает возможность оперативно выявлять факторы, отрицательно сказывающиеся на деятельности предприятия, качестве его продукции и финансово-экономических показателях, и быстро выбирать оптимальные меры для исправления ситуации.
Среди видов внутреннего аудита выделяются связанные с контролем:
Последний из видов обязателен для каждого предприятия, поскольку именно он обеспечивает выполнение предъявляемого к бухотчетности требования о достоверности (п. 1 ст. 13 закона № 402-ФЗ). Прочие виды контроля устанавливаются на усмотрение собственника/руководителя предприятия.
Функции и принципы внутреннего аудита
Функции внутреннего аудита сводятся не только к контролю. Также это:
Деятельность службы внутреннего аудита базируется на положениях:
В сравнении с внешним аудитом, проводимым, как правило, при уже составленной за период отчетности и оценивающим деятельность предприятия в целом, внутренний аудит позволяет более детально и оперативно отслеживать отдельные процессы.
Принципы внутреннего аудита схожи с действующими для аудиторов, приглашаемых со стороны:
Согласно Международному стандарту аудита 610 «Использование работы внутренних аудиторов», введенному в действие на территории РФ приказом Минфина России от 24.10.2016 № 192н, результаты работы службы внутреннего аудита могут быть использованы внешними аудиторами.
Как создается и функционирует служба внутреннего аудита в организации
Служба внутреннего аудита в организации создается на основании приказа руководителя. Для нее разрабатываются необходимые методологические документы. К работе могут привлекаться сторонние специалисты (п. 18.2 информации Минфина России № ПЗ-11/2013).
Образец приказа о проведении внутреннего аудита вы можете скачать в КонсультантПлюс. Это можно сделать бесплатно, оформив пробный доступ к системе.
Методологические документы должны содержать описание:
Каждая внутренняя проверка (вне зависимости от того, плановая она или внеплановая) обязательно будет состоять из трех этапов:
Образец плана внутреннего аудита организации скачайте в КонсультантПлюс. Пробный доступ к системе можно получить бесплатно.
Составить заключение по результатам проведения внутреннего аудита вам поможет образец, который можно скачать в КонсультантПлюс, бесплатно, оформив пробный доступ к системе.
Подлежащие проверке вопросы вносятся в чек-лист, отражающий:
Чек-лист позволяет логически правильно организовать процесс контроля, поэтому это основной рабочий документ при проведении проверки.
Образец разработанного порядка хранения документов по внутреннему аудиту смотрите в КонсультантПлюс. Если у вас еще нет доступа к системе, получите пробный доступ. Это бесплатно.
Примеры вариантов службы внутреннего аудита
Объем формируемой на предприятии службы внутреннего аудита определяют стоящие перед ней задачи. Круг этих задач зависит:
Качество же проверки напрямую определяет компетентность проводящих ее специалистов.
Поэтому вариантов такой службы множество. Минфин России в информации № ПЗ-11/2013 (п. 18.1) в качестве примеров службы внутреннего аудита на предприятии называет:
То есть служба внутреннего аудита может быть представлена как самостоятельной разветвленной структурой со своими органами управления, так и отдельным специалистом. На предприятиях с филиалами возможно создание таких служб в каждом из филиалов. На малом предприятии все функции по контролю может взять на себя руководитель (п. 20 информации Минфина России № ПЗ-11/2013).
Итоги
Организация внутреннего аудита на предприятии предусмотрена законом № 402-ФЗ, т. е. предполагает контроль за процессами, отраженными в бухучете и бухотчетности. Однако круг задач такого аудита может быть шире. Определяет сферу применения внутреннего контроля само предприятие. Оно же разрабатывает структуру службы, осуществляющей контрольные мероприятия, перечень функций и методологию проведения проверок.
Что нужно знать бизнесу о внутреннем аудите
Внутренний аудит нужен компании для улучшения экономической стабильности — по результатам исследования собственник или руководитель видит финансовые риски и понимает, ждут ли бизнес потенциальные проблемы с налоговой.
Разберемся, что такое внутренний аудит, для кого он обязателен по закону, а кому будет полезно внедрить его добровольно. Уточним суть методики и виды исследований, а также покажем, как применять аудит на практике.
Что такое внутренний аудит компании
Определений у термина «аудит» несколько. Например, можно использовать трактовку из Федерального закона от 30.12.2008 № 307-ФЗ. Здесь под аудитом понимают независимую проверку бухгалтерской и финансовой отчетности для уточнения ее достоверности.
В профессиональной среде допустимо упрощенное определение — это форма контроля работы бизнеса. Процедура настраивается таким образом, что собственник или руководитель может определить эффективность работы конкретных подразделений, оценить риски и заранее узнать о возможных проблемах в деятельности компании.
Внутренний аудит делят на добровольный и обязательный.
Кто обязательно должен проводить внутренний аудит
В ст. 19 Федерального закона от 06.12.2011 № 402-ФЗ прописана обязанность любого экономического субъекта организовать и проводить внутренний контроль. Процедуру самостоятельной проверки хозяйственной деятельности компания обязана регламентировать сама.
Так как формулировки обтекаемы и не содержат конкретики, бизнес обычно исполняет эту обязанность «на бумаге». Проще говоря, компании прописывают эту функцию в должностных обязанностях штатного сотрудника, например, гендиректора, а затем игнорируют — требований к внутреннему контролю закон не устанавливает, ответственности за нарушение тоже нет.
Но в этой же статье есть уточнение: если компания находится в перечне экономических субъектов, которые должны проводить обязательный аудит, то руководитель такого бизнеса обязан организовать и проводить внутренний контроль ведения бухгалтерского учета и составления бухгалтерской и финансовой отчетности. Такой процесс условно называют в том числе не просто аудитом или контролем, но и внутренним аудитом, хотя для его проведения нередко привлекают независимых подрядчиков.
Обязательный аудит — это проверка достоверности бухгалтерской отчетности. Обязательный аудит поможет найти и исправить проблемы в отчетности еще до отправки ее в госорганы. Еще такой процесс может выявить возможные экономические резервы — вы увидите, где компания может оптимизировать финансовые потоки.
Большинство организаций, которые должны проводить обязательный аудит, перечислены в ст. 5 Федерального закона от 30.12.2008 № 307-ФЗ. В основном это компании, попадающие под один из двух критериев: или объем выручки от продажи продукции превышает 800 млн руб., или сумма активов бухгалтерского баланса по состоянию на конец года превышает 400 млн руб.
Но есть и другие компании: обязанности проводить аудит устанавливаются ключевыми нормативными документами, регулирующими отрасль. Например, по п. 5 ст. 67.1 ГК РФ это акционерные общества, по Федеральному закону от 18.07.2009 № 190-ФЗ — кредитные потребительские кооперативы, по Федеральному закону от 12.01.96 № 7-ФЗ— некоммерческие организации, выполняющие функции иностранного агента. Можно посмотреть справочную информацию с полным списком.
Остальные компании могут проводить внутренний аудит в добровольном порядке.
Федеральным законом от 29.12.2020 № 476-ФЗ предусмотрено, что бухотчетность экономического субъекта может подлежать обязательному аудиту при наличии любого основания, предусмотренного законодательством, даже если такой субъект не включен в Федеральный закон «Об аудиторской деятельности» в число тех, кто обязан проводить аудит. Например, субъект малого предпринимательства, созданный как АО, обязан проводить аудит.
Нужен ли внутренний аудит ИП
Обязательный аудит, судя по определению из ст.19 Федерального закона от 06.12.2011 № 402-ФЗ, предполагает изучение бухгалтерской документации. Согласно п. 1 ч. 2 ст. 6 402-ФЗ, ИП вместо бухучета ведут учет доходов или доходов и расходов. Одним словом, вместо бухучета они ведут налоговый учет.
Более того, существуют разъяснения Минфина, в которых прямо указано, что ИП освобождены от обязанности сдавать бухгалтерскую отчетность (Письмо Минфина РФ от 20.03.2018 № 03-11-11/17116).
Соответственно, нет бухгалтерии — нет и обязательного аудита.
При этом ИП не запрещено обращаться к независимым подрядчикам за проведением внутреннего аудита. Заключение экспертов бизнесмен может изучать и анализировать самостоятельно, чтобы улучшить свою финансовую деятельность. В этом случае аудиторы будут исследователь не бухгалтерскую документацию, а экономические процессы ИП.
Ответственность для тех, кто обязательно должен проводить аудит
За непредоставление аудиторского заключения установлена ответственность. На основании ст. 15.11 КоАП РФ должностное лицо за это может быть оштрафовано на 5 000 — 10 000 руб. Повторное нарушение — 10 000 — 20 000 руб. или дисквалификация на срок до двух лет.
Кто может проводить обязательный аудит
Обязательный аудит регламентируется государством — его могут проводить только аудиторские организации или частные аудиторы, у которых есть квалификационные аттестат. Еще одно требование — членство в СРО аудиторов.
Выбирать аудитора организация может самостоятельно, так же как и договариваться о стоимости услуг и других нюансах работы.
Есть исключение — компании, ценные бумаги которых допущены к организованным торгам, страховые организации, негосударственные пенсионные фонды и бизнес, в уставных капиталах которого доля госсобственности превышает 25 %. Они могут привлекать к обязательным аудитам только аудиторские организации. Услугами частных специалистов пользоваться нельзя.
Результат обязательного аудита
После исследования руководитель компании или ответственное лицо по доверенности получает аудиторское заключение. В нем должны быть:
Обратите внимание: если аудитор выявит нарушения, он должен сообщить о них руководству компании и получить в ответ согласование сроков устранения этих проблем.
Если аудитор заподозрит компанию в отмывании денег или других нелегальных схемах, он должен сообщить об этом в налоговую службу. ФНС имеет право требовать у аудитора информацию, которую он получил во время проверки.
Что делать с аудиторским заключением
В инструкциях до 2020 года было указано передавать аудиторские заключения в Росстат. С 1 января 2020 года годовую бухгалтерскую отчетность вместе с аудиторским заключением нужно передавать в ФНС, через государственный информационный ресурс.
Обязательный экземпляр отчетности нужно сдавать не позднее трех месяцев после окончания отчетного периода. Аудиторское заключение представляется в виде электронного документа вместе с отчетностью. Или вы можете передать заключение в течение 10 рабочих дней после формирования этого документа, но не позднее 31 декабря года, следующего за отчетным годом.
Кроме налоговой заключение нужно передать в Единый федеральный ресурс сведений о фактах деятельности юридических лиц — еще его называют Федресурсом.
Какие еще бывают аудиты
Внутренний обязательный аудит предполагает подробное изучение бухгалтерской отчетности компании. Если же аудит добровольный, то исследователи могут затрагивать и другие документы и процессы бизнеса. Например, существуют такие виды аудита:
Как проводят аудит
Добровольный внутренний аудит руководитель может организовать самостоятельно — нужно выделить штатное место или найти подрядчика. Следите, чтобы у специалиста было профильное образование, или направьте своего штатного сотрудника на курсы.
Для добровольного аудита универсального плана действий нет. Но можно воспользоваться инструментами из обязательного аудита:
Это не полный список — конкретные пункты зависят от того, что вы хотите выяснить в результате аудита.
Кратко о том, что такое внутренний аудит и кому он нужен
Не пропустите новые публикации
Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.