Внутренний аудит: риски и контроли

Автор: Артем Горлов, директор по внутреннему контролю и аудиту АО «РТИ», член Ассоциации «Институт внутренних аудиторов»

Действия сотрудников компании, направленные на повышение вероятности достижения поставленных перед организацией целей, называются контролями. Совокупность таких действий внутри организации называется системой внутренних контролей.

События, которые могут оказать негативные воздействия на организацию и ее целевые показатели, называются рисками.

Проще говоря, риск – это всё, что ставит под угрозу достижение целей, а контроль – это все действия, которые минимизируют риски и, соответственно, повышают вероятность достижения целей.

Риски, цели и контроли тесно взаимосвязаны с друг другом. Постановка целей компании автоматически означает принятие рисков, связанных с достижением данных целей.

Внутренние аудиторы постоянно работают с рисками и контролями, рекомендуя организации меры по повышению эффективности процессов корпоративного управления, управления рисками и контроля.

Рис. 1. Взаимосвязь целей, рисков и контролей

Разберем данную взаимосвязь на простом примере: на небольшом заводе, специализирующемся на производстве и продаже пластиковых бутылок, руководитель принимает решение о запуске производства пластиковых игрушек. Такое решение сопровождается с несколькими рисками, основные из которых: неконкурентная цена и неудачный дизайн игрушек. Далее менеджмент компании, осознавая данные риски, внедряет контрольные процедуры, позволяющие снизить вероятность наступления некоторых рисков, например, подготавливая исследование нового рынка, проводя анализ себестоимости нового продукта и сравнивая себестоимость с плановыми (ожидаемыми) значениями для достижения конкурентоспособной цены. Таким образом, если в компании эффективная система внутренних контролей, руководство получает разумную уверенность в том, что поставленные цели буду достигнуты.

Добавим в данный пример внутренних аудиторов:

Внутренние аудиторы будут собирать и анализировать информацию, на основе которой можно сказать о качестве имеющихся контролей. Например, внутренние аудиторы могут выявить, что исследование рынка не содержит достоверную информацию о предложении и спросе на рынке, поскольку его готовили те же люди, что отвечают за показатели по новому продукту, и они манипулируют данной информацией в своих целях. Или внутренние аудиторы могут обратить внимание, что анализ себестоимости делается неверно, так как часть переменных затрат, относящихся к производству игрушек, учтена в переменных затратах по производству пластиковых бутылок, что «на бумаге» занижает стоимость игрушек, но в реальности она выше. Далее внутренние аудиторы формулируют свои выводы руководству и рекомендуют варианты, каким образом можно улучшить систему внутренних контролей, например, они могут рекомендовать следующие действия:

• нанять внешнюю компанию, которая будет периодически готовить исследование рынка,

• утвердить организационную политику, в которой одним из ключевых принципов будет нетерпимость к мошенничеству,

• ежегодного проводить производственные тестирования и пересматривать переменные затраты по продуктам, а также доработать алгоритмы расчета себестоимости в корпоративной системе учета.

Предназначение как контролей, так и рисков не всегда напрямую связано с достижением поставленных перед организацией целей. Ниже представлены три возможных области:

Область рисков и контролей	Описание
Эффективность и результативность операций	Выполнение операционных и финансовых целей организации, включая обеспечение сохранности активов.
Достоверность и полнота финансовой отчетности	Подготовка и публикация надёжной и достоверной финансовой отчетности.
Соблюдение применимых законов и правил	Соблюдение законов и нормативных требований, которые распространяются на деятельность организации.

Контроли, как и риски, могут функционировать (присутствовать) на трех уровнях: корпоративный, операционный и транзакционный. Ниже даны определения данных видов контролей из примера с заводом:

• утверждение организационной политики – это корпоративный контроль, так как связан с основополагающими устоями/ценностями компании,

• ежегодное проведение производственных тестирований – это операционный контроль, так как связан с контролем за повседневной деятельностью предприятия,

• доработка алгоритмов расчета себестоимости в учете – транзакционный контроль, так как связан с настройками систем и достоверностью учета.

Необходимо отметить, что наиболее полезными являются контроли, которые выявляют и предотвращают негативные для компании события до того, как они произошли. Такие контроли называются упреждающими, или превентивными: например, разделение обязанностей между сотрудниками или проверка финансовой благонадежности покупателя перед отгрузкой продукции в кредит. Другой вид контролей – это детективные, или выявляющие (контроль по результатам). Такие контроли выявляют проблему уже после того как она произошла: например, периодическая кассовая инвентаризация.

Внутренний аудитор также всегда должен обращать внимание на стоимость внедрения контроля, иначе он рискует попасть в ситуацию, когда контроль, который он рекомендует, превышает стоимость потенциальных убытков от реализации рисков. Если бы внутренние аудиторы на заводе по производству пластика и игрушек рекомендовали привлекать на постоянной основе крупную международную компанию, чьи услуги стоят больших денег, то, возможно, стоимость такого контроля превышала бы прибыль, которую компания могла бы получать от продажи нового продукта.

Иногда контроль подробно описан в регламентах и максимально прозрачен, а иногда контроль абсолютно не формализован, тем не менее, такой контроль может быть эффективным. В качестве примера эффективного контроля можно привести действия руководителя, когда он на еженедельных собраниях уточняет у сотрудников статус по поставленным перед ними задачам и по итогам принимает решения, которые позволят достичь поставленных целей.

Для того, чтобы контроль был эффективным, он должен состоять из трех частей: постановка цели, сопоставление факта с ожиданиями, принятие корректирующих действий. Как вы видите, несмотря на то, что выше приведен пример неформализованного контроля, он всё равно содержит три действия. Перед встречами руководитель поставил цели, в процессе встречи он сопоставлял факт со своими ожиданиями и в итоге принимал корректирующие действия.

Эффективно работающая система внутренних контролей представляет собой взаимосвязь целей, компонентов и подразделений организации. Такая система несет выгоды как для руководства компании, так и для внешних агентов (законодательные и регулирующие органы, внешние аудиторы и даже потребители продукции или услуг).

В мире существуют множество моделей, демонстрирующих лучшие практики в построении системы внутренних контролей. В 1992 году Комитет спонсорских организаций Комиссии Тридуэя (COSO) разработал и описал наиболее известную модель взаимосвязи всех компонентов внутри организации (Internal control integrated framework). А в 2004 году COSO представил модель управления рисками организаций (Enterprise risk management integrated framework). Принятие и использование основ, заложенных в данных моделях, позволяет организациям построить эффективные системы корпоративного управления.

Первая статья цикла «Введение во внутренний аудит»: «Понятие внутреннего аудита и различия между внешним и внутренним аудитом».