Юлия Хачатурян, генеральный директор компании Nika, risk plan

Вы узнаете: 

Что такое внутренний аудит и чем он отличается от внешнего?
Какие требования законодательства существуют относительно внутреннего аудита.
Чем может помочь внутренний аудитор в работе предприятия.

До недавнего времени внутренний аудит был обязателен лишь для некоторых категорий организаций (банков, страховых организаций и пр.) Их деятельность по внутреннему аудиту регламентируетcя большим количеством специальных нормативных актов (касающихся непосредственно их отрасли), которые требуют отдельного рассмотрения. И мы не будем уделять им внимание в данной статье.

Для иных организаций внутренний аудит (контроль) стал обязательным после вступления в силу Федерального закона "О бухгалтерском учете" от 06.12.2011 N 402-ФЗ. В частности, в данном законе в ст. 19 данного закона сказано следующее: «экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни. Экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя).»

Чуть позже мы проанализируем это требование законодательства. Сейчас же мы обратим внимание на несколько существенных моментах:

  • Условно внутренний аудит (контроль) можно разделить на общий внутренний контроль (который, согласно Федеральному закону № 402-ФЗ должен проводиться во всех организациях и специальный, нормативные требования по которому существуют достаточно давно (касающийся банков, страховых организаций и пр.))
  • Нормативно-правовая база, касающаяся общего внутреннего аудита (контроля) достаточно лаконичная. Мы проанализируем ее чуть позже.
  • Четкой юридической ответственности за нарушение законодательства об осуществлении общего внутреннего контроля нет. С достаточно большой натяжкой в данном случае можно применить статью КоАП, устанавливающую санкции за нарушение правил ведения бухгалтерского учета. Поэтому многие организации требования ст. 19 Федерального закона №402-ФЗ считают декларативными.
  • Несмотря на то, что четкая ответственность за нарушение требования Федерального закона «О бухгалтерском учете» не установлена, осуществление внутреннего аудита (контроля) может быть более чем полезно для самой организации и ее учредителей.

Общий внутренний контроль

К сожалению, до сих пор значительное количество людей считает, что внутренний контроль (аудит) аналогичен внешнему. То есть внутренний аудитор осуществляет проверку правовой, кадровой и бухгалтерской документации, так же как и внешний. Разница состоит лишь в том, что внутренний аудитор является сотрудником аудируемой организации, а внешний – нет. Однако, это абсолютно не так. И если мы внимательно изучим Информацию Минфина N ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности», то увидим, что эта точка зрения не верна.

Во-первых, внутренний аудит может осуществляться внешними специалистами. В п.18.2. Информации Минфина сказано: «Организация и оценка внутреннего контроля может осуществляться экономическим субъектом самостоятельно или (и) внешним консультантом (в том числе аудиторской организацией).»

Кроме того, содержание внутреннего аудита более чем значительно отличается от внешнего.

Родоначальником общего внутреннего аудита считается Международный институт внутренних аудиторов США, созданный в 1941 году. Согласно американской концепции, задача внутреннего аудитора – просчитать те риски, которые может ожидать предприятие (они могут быть связаны как с внутренними, так и с внешними причинами); оценить вероятность их возникновения; вычленить те из них, к которым бизнес не толерантен и разработать меры по их минимизации.

Пример 1.

Задачей внутреннего аудитора является анализ изменений в результате политических событий внешнеэкономической ситуации; прогнозирование убытков от потери одних экономических партнеров и необходимости поиска предприятием иных поставщиков и покупателей.

При этом сфера деятельности внутреннего аудитора не ограничивается только бухгалтерскими вопросами, вопросами правильного ведения кадровой и юридической документации, он касается всех сфер деятельности предприятия, например, сферы HR.

Пример 2.

В одной производственной компании рабочим были установлены мизерные зарплаты. В результате это привело к текучке кадров; большим затратам на перманентный поиск персонала, воровству рабочими продукции с предприятия. Кроме того, чтобы мотивировать людей остаться и выплачивать им большую зарплату, начальники некоторых цехов (погрузочно-разгрузочного, логистики) писали, что их подчиненные-сдельщики выполнили больше работ, чем они на самом деле сделали. В результате подобная экономия на зарплате привела к большим потерям финансов компании.

Если бы у фирмы был внутренний аудитор – он должен был бы просчитать негативные последствия такой экономии.

Таким образом, работа внутреннего аудитора касается всех сфер деятельности предприятия: это и проверка эффективности правил построения бюджета; контроллинг; оценка инвестиционных проектов; разработка стратегии по защите активов; контроль за созданием системы мер по минимизации злоупотреблений внутри организации; расследование мошенничества внутри организации; контроль за учетом затрат; анализ контроля качества выпускаемой продукции; оценка контроля качества обслуживания клиентов и многое другое. приоритетными направлениями внутреннего аудита являются: способствование получение прибыли компанией и сохранность активов.
В целом эта концепция нашла отражение в Информации Минфина N ПЗ-11/2013.

Требования российского законодательства к внутреннему контролю (аудиту)

Рассмотрим теперь нормы российского законодательства, касающиеся внутреннего аудита. Во-первых, обратим внимание на то, что в ст. 19 Федерального закона «О бухгалтерском учете» все же есть небольшое противоречие.

Согласно ей, все экономические субъекты должны осуществлять внутренний контроль. Априори предполагается, что этот внутренний контроль необходимо осуществлять во всех сферах деятельности организации. Но в части 2 той же статьи уточняется, что экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности (за исключением случаев, когда его руководитель принял обязанность ведения бухгалтерского учета на себя). Возникает логическая загадка, а что в остальных сферах (помимо бухгалтерского учета и отчетности), экономический субъект осуществлять внутренний аудит в отличие от остальных организаций не обязан? По идее, требования к внутреннему контролю таких организаций, наоборот, должны быть более строгими, чем по отношению к тем фирмам, которые не подлежат обязательному внешнему аудиту.  Или законодатель подразумевает, что внутренний аудит для всех организаций обязателен (в том числе в сфере контроля за ведением бухгалтерской документации); а для фирм, подлежащих внутреннему аудиту он строго обязателен? В общем, статья оставляет обширное поле деятельности для ее толкования.
Следующий нормативный акт, в котором мы можем найти требования к внутреннему аудиту – это Постановление правительства РФ от 23 .09.2002  № 696 «Об утверждении федераль

ных правил (стандартов) аудиторской деятельности»). Обратим внимание сразу же на то, что в данный документ не внесено свежих изменений и дополнений после вступления в силу закона о бухучете. Поэтому отдельные его нормы не совсем соответствуют точке зрения Минфина, высказанной в информации. Например, согласно данному документу, внутренний аудит - контрольная деятельность, осуществляемая внутри аудируемого лица его подразделением - службой внутреннего аудита (как мы видим, данная норма идет в разрез с информацией Минфина, ведь согласно ей внутренний аудит может осуществлять и сторонняя организация). Безусловно, объясняя это противоречие, можно сослаться на то, что в информации Минфина говорится о внутреннем контроле, в то время как в постановлении Правительства РФ речь идет о внутреннем аудите. Но по сути, эти два понятия являются идентичными.
По мнению авторов данного постановления, функции службы внутреннего аудита включают мониторинг адекватности и эффективности системы внутреннего контроля. Объем и цели внутреннего аудита в каждом случае различны и зависят от размера и структуры аудируемого лица и требований его руководства. Обычно функции службы внутреннего аудита включают один или несколько следующих элементов:

  • мониторинг эффективности процедур внутреннего контроля;
  • исследование финансовой и управленческой информации;
  • контроль экономности, эффективности и результативности, включая нефинансовые средства контроля аудируемого лица;
  • контроль за соблюдением законодательства Российской Федерации, нормативных актов и прочих внешних требований, а также политики, директив и прочих внутренних требований руководства.

Проанализируем более детально некоторые пункты Информации Минфина N ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности.
По мнению Минфина, эффективность внутреннего контроля может быть ограничена:

  • изменением экономической конъюнктуры или законодательства, возникновением новых обстоятельств вне сферы влияния руководства экономического субъекта;
  • превышением должностных полномочий руководством или иным персоналом экономического субъекта, включая сговор персонала;
  • возникновением ошибок в процессе принятия решений, осуществления фактов хозяйственной жизни, ведения бухгалтерского учета, в том числе составления бухгалтерской (финансовой) отчетности.

Фактически в данном случае говорится о том, что создать систему контроля, которая ни при каких обстоятельствах не даст сбоя, невозможно. Приведем два конкретных примера, соответствующих первому и второму пункту.

Пример 3.

Как известно, ситуация на Украине повлекла введение санкций. С партнерами из одних стран российские бизнесмены прекратили работать, вместо них появились другие поставщики и покупатели. Наверняка есть предприятия, которые в момент перестройки своего бизнеса (поиска новых партнерах в странах, которые не ввели санкции) понесли некоторые убытки. Можно ли было предугадать такую экономическую ситуацию в будущем (когда санкции еще не были введены) – вопрос достаточно сложный. Возможно, на некоторых предприятиях есть гениальные специалисты, которые смогли просчитать вероятность таких событий и их руководство заблаговременно начало искать новые каналы сбыта-поставок. Однако, большинство служб внутреннего контроля скорее всего не смогло этого сделать.

Пример 4.

Даже в негосударственной организации есть место коррупционным схемам: начальник отдела закупок закупает товары у тех поставщиков, которые дают ему самый большой откат; финансовый директор разрабатывает бюджет по отделам в пользу большего финансирования (обучения сотрудников, выплаты заработных плат и т.д.), чей начальник выплачивает ему в благодарность неформальное вознаграждение; на многих производствах осуществляется кража продукции; завышается количество часов, которые якобы отработали работники и которые должны быть оплачены и т.д. Как правило, эффективная система внутреннего контроля предполагает такое разделение обязанностей, которое может исключить возможность мошеннических действий со стороны работников. Однако, есть незыблемое правило, любую систему, разработанную в противодействие коррупционным и мошенническим схемам можно обойти путем сговора трех сотрудников, между которыми соответствующие обязанности в целях минимизации злоупотреблений и были разделены.

Минфин называет следующие элементы внутреннего контроля:

  • контрольная среда;
  • оценка рисков;
  • процедуры внутреннего контроля;
  • информация и коммуникация;
  • оценка внутреннего контроля.

1. Контрольная среда представляет собой совокупность принципов и стандартов деятельности экономического субъекта, которые определяют общее понимание внутреннего контроля и требования к внутреннему контролю на уровне экономического субъекта в целом.

2. Оценка рисков представляет собой процесс выявления и анализа рисков. Под риском понимается сочетание вероятности и последствий недостижения экономическим субъектом целей деятельности.

Минфин обращает внимание на то, что одним из важных направлений оценки рисков является оценка риска возникновения злоупотреблений (возможные варианты злоупотреблений внутри организации названы в Примере 4). В Информации сказано, что злоупотребления могут быть связаны с приобретением и использованием активов, ведением бухгалтерского учета, в том числе составлением бухгалтерской отчетности, совершением действий, являющихся коррупциогенными (включая коммерческий подкуп). Оценка данного риска предполагает выявление участков (областей, процессов), на которых могут возникать злоупотребления, а также возможностей для их совершения, в том числе связанных с недостатками контрольной среды и процедур внутреннего контроля экономического субъекта.

3. Процедуры внутреннего контроля представляют собой действия, направленные на минимизацию рисков, влияющих на достижение целей экономического субъекта.

Обратимся к примеру 2, чтобы проиллюстрировать, что имеется в виду.

Продолжение примера 2.

Злоупотребление в данном случае выражалось в завышении часов работы сотрудников предприятии (фактически нормы времени). Задачей внутреннего аудитора соответственно является выявление данного риска и его минимизации. В данном случае, на наш взгляд, мог быть предложен комплекс мер: разумное повышение заработных плат; проставление отработанных часов начальником цеха и подтверждение этих часов иным, независимым сотрудником (например, из отдела ОТиЗ).

Минфин указывает, что экономический субъект может применять следующие процедуры внутреннего контроля:

  • а) документальное оформление (например, осуществление записей в регистрах бухгалтерского учета на основе первичных учетных документов);
  • б) подтверждение соответствия между объектами (документами) или их соответствия установленным требованиям (например, проверка оформления первичных учетных документов на соответствие установленным требованиям при принятии их к бухгалтерскому учету). К данным процедурам внутреннего контроля относятся также процедуры контроля взаимосвязанных фактов хозяйственной жизни (например, соотнесение перечисления денежных средств в оплату материальных ценностей с получением и оприходованием этих ценностей);
  • в) санкционирование (авторизация) сделок и операций, обеспечивающее подтверждение правомочности совершения их;
  • г) сверка данных (например, сверка расчетов экономического субъекта с поставщиками и покупателями для подтверждения сумм дебиторской и кредиторской задолженности);
  • д) разграничение полномочий и ротация обязанностей;
  • е) процедуры контроля фактического наличия и состояния объектов, в том числе физическая охрана, ограничение доступа, инвентаризация;
  • ж) надзор, обеспечивающий оценку достижения поставленных целей или показателей и т.д.

Для целей противодействия злоупотреблениям наиболее эффективными процедурами внутреннего контроля являются санкционирование (авторизация) сделок и операций, разграничение полномочий и ротация обязанностей, контроль фактического наличия и состояния объектов.

Приведем конкретный пример, иллюстрирующий меру по предотвращению рисков в виде ротации.

Пример 5.

В отделе по закупкам есть несколько менеджеров (каждый из которых занимается закупкой в своей сфере). Один из них выбирает поставщиков за откаты. В случае ротации менеджера по закупкам, который занимается неблаговидной деятельностью с добросовестным работником – коррупционная схема будет сломана. Для того, чтобы на новом участке договориться об откатах и пр. у менеджера по закупкам – мошенника уйдет много времени и сил.

4. Коммуникация представляет собой распространение информации, необходимой для принятия управленческих решений и осуществления внутреннего контроля. Например, персонал экономического субъекта должен быть осведомлен о рисках, относящихся к сфере его ответственности, об отведенной ему роли и задачах по осуществлению внутреннего контроля и информированию руководства.

5. Оценка внутреннего контроля осуществляется не реже одного раза в год. Объем оценки внутреннего контроля определяется руководителем или внутренним аудитором (службой внутреннего аудита) экономического субъекта. Одним из ее видов является непрерывный мониторинг внутреннего контроля. Он может осуществляться руководством экономического субъекта в форме регулярного анализа результатов деятельности экономического субъекта, проверки результатов выполнения отдельных хозяйственных операций, регулярной оценки и уточнения внутренней организационно-распорядительной документации и других формах.

Отдельная глава информации Минфина посвящена документированию внутреннего контроля. Из нее можно сделать вывод, что в организации должны быть следующие документы:

  • матрица рисков (включает количественное и качественное описание риска)
  • документ, в котором описываются в текстовой или графической форме бизнес-процессы и процедуры работы организации;
  • документы, в которых бы были отражен порядок организации и осуществления внутреннего контроля (это может быть отдельный документ, а могут быть нормы, прописанные в различных документах компании (приказов, распоряжений, положений, должностных и иных инструкций, регламентов, методик, стандартов бухгалтерского учета экономического субъекта). Для удобства автор данной статьи советовал бы фирме разработать отдельное положение, посвященное внутреннему контролю. Не исключено использование в таком документе ссылочной техники (когда по тому или иному вопросу Положение будет отсылать пользователя к иным локальным актам организации).
  • Документы, устанавливающие правила коммуникации;

Ими могут являться: положение об информационной политике (в области внешних и внутренних коммуникаций), графики предоставления данных и составления отчетности, должностные инструкции.

  • Документы, регламентирующие оценку дизайна внутреннего контроля.

Документация, оформляющая организацию внутреннего контроля, должна регулярно обновляться (не реже одного раза в год).

Руководствуясь данной информацией Минфина, вы можете оценить, насколько ваше предприятие подвержено рискам, дать им количественную и качественную оценку, определить, к каким рискам ваше предприятие будет толерантно, а к каким – нет, разработать меры по минимизации рисков (в информации, как мы продемонстрировали выше, перечислены меры противодействия рискам). Таким образом, следуя этим рекомендациям при желании вы можете создать действенную систему контроля в организации.