Аудит
Аудит — это добровольная проверка для улучшения показателей
Аудит (audit)— это проверка финансовой и хозяйственной деятельности предприятия. Основная цель проверки — изучение и анализ достоверности финансовой отчётности.
Могут анализироваться также все производимые предприятием продукты, и проекты, которые оно реализует. Аудит очень похож на контрольную проверку или ревизию, но отличается целями.
Основная задача аудита — выявление ошибок и поиск путей их устранения. В отличие от ревизии, которая всегда принудительна, аудит может проводиться и добровольно, с целью улучшения показателей.
Существует множество различных видов и направлений аудита. Например, по отношению к аудируемой организации можно выделить внешний, внутренний и инициативный аудит.
- Внешний аудит — процедура, как правило, добровольная. Она проводится с привлечением сторонних независимых специалистов — аудиторской компании. Цель — получить точный и максимально объективный анализ.Так как контролирующие лица не ангажируемы и не заинтересованы в определённых результатах проверки, аудит может значительно помочь при оптимизации бизнес-процессов
- Внутренний аудит производится собственными силами предприятия и его инвесторов, и обеспечивает защиту инвесторов и руководства. В данном случае аудит — это контроль соблюдения персоналом стандартов профессиональной деятельности.
- Инициативный аудит предпринимается по желанию руководства. Его цель — выявление ошибок и недочётов в бухгалтерском учёте, поиск недоработок при составлении отчётности или документов по налогообложению.
Регулярное проведение аудита позволяет в динамике оценить финансовую и экономическую деятельность предприятия, повысить уровень доверия со стороны инвесторов, снизить налоговые риски.
При проведении аудиторской проверки разрабатываются рекомендации, с помощью которых можно оптимизировать бизнес-процессы.
К объектам аудита могут относиться:
- ресурсы. финансы, трудовые ресурсы, различные нематериальные активы, например, авторские или имущественные права;
- результаты деятельности предприятия. Рентабельность как общая, так и отдельных производственных процессов и линий. Себестоимость сырья. Объёмы выпускаемых заготовок и готовой продукции;
- методы организации и управления, и их рентабельность (например, планирование и контроль).
В любом виде аудита, в том числе и обязательном, заинтересовано само руководство компании.
В его ходе проверяется правильность оформление деклараций, ведения бухгалтерской отчётности, трудовых соглашений в плане их соответствия законодательству.
Аудит, скорее, носит консультативный характер, что следует даже из самого перевода этого слова с латыни. Аудит означает — слушающий.
Когда аудит бывает обязательным
Обязательной процедура аудита бывает в следующих случаях:
- кредитные и страховые сообщества, акционерные группы, государственные и муниципальные унитарные предприятия, участники рынка ценных бумаг обязаны проходить процедуру аудита ежегодно;
- компании, объём выручки которых за год в 500 000 тысяч раз превысил МРОТ;
- активы предприятия на конец года превышают МРОТ в 200 000 раз;
- активы и прибыли ООО превысили норму, заданную уставом.
Обязательный аудит проводится только специализированными компаниями, у частных специалистов таких полномочий нет. Аудирование оценивает, как соотносятся ресурсы, расходы, объём продукции, и конечная прибыль предприятия. Допустим, с ресурсами и расходами всё в порядке, но прибыль — слишком мала. Специалист — аудитор будет анализировать производственные процессы и систему управления. Совсем не обязательно, что на фирме вскроется мошенничество или злой умысел.
Чаще проблема заключается в неумении оптимизировать процессы и в ошибках управления, которые отметит аудитор.
Понятие аудиторской проверки
Наиболее частая причина аудиторской проверки — это изменение состава учредителей предприятия, или смена собственника.
После аудиторской проверки выдаётся заключение (если аудит был обязательным) или отчёт о проверке, с выводами и рекомендациями. Сама аудиторская проверка выполняется в соответствии с проверенным алгоритмом.
На этапе организации и планирования аудитору предоставляется документация: налоговые и бухгалтерские отчёты, с помощью которых можно получить представление о деятельности предприятия по всем его направлениям. Составляется план аудиторской проверки и выявляются её риски.
На следующем этапе выполняются контрольные процедуры: средства контроля проверяются на соответствие, применимость для конкретных условий.
По результатам проверок формулируются выводы о достоверности фактов, указанных в документах, и о том, насколько документы соответствуют нормативным актам. В конце подготавливается итоговый документ, в котором обобщаются все доказательства, он предоставляется руководству предприятия.
Особенность аудиторской проверки — ограниченные сроки для неё.
Методы проведения аудитов
- Исследования, включающие внешний осмотр оборудования и техники, например, взвешивание материалов, полуфабрикатов; лабораторные анализы, позволяющие оценивать соответствие качеству.
- Сопоставление. Сравнивается действительное состояние объекта с тем, каким оно представляется по нормативным документам. Например, выработавшее свой ресурс оборудование может быть заявлено как новое. Или в технологическом процессе отражены лишние операции или манипуляции с сырьём.
- Аналитический анализ и оценка – результат аудирования.
Дополнительно используются общенаучные методы, такие как эксперименты, вычисления, опросы, и специальные, характерные только для данной сферы.
Деятельность аудиторских компаний
Направления аудиторской деятельности могут быть разными, и определяются спецификой предприятия, и целью аудиторской проверки.
- Финансовый аудит. Проверяется экономическое состояние предприятия, оценивается достоверность и перспективы развития.
- Инвестиционный. Аудит инвестиционных фондов и участников рынка ценных бумаг.
- Промышленный. Комплексная проверка финансового и технического состояния предприятия. Определяются фактически выполненные объёмы работ и их соотношение с заявленными в документах. Выявляется точность соответствия требованиям строительных или производственных норм и правил.
- Управленческий. Диагностика системы управления предприятием — его производственной, коммерческой и социальной деятельностью.
Помимо общих направлений аудиторской деятельности существует и целый ряд узкоспециализированных. Наиболее востребованные:
- операционный аудит. Проверка системы хозяйствования — смет, целевых программ, оценивается эффективность;
- кадровый аудит. Оценивается кадровый потенциал компании, его соответствие целям развития;
- аудит сайта. Комплексная проверка сетевого ресурса на соответствие требованиям поисковых систем;
- экологический. Оценка соблюдения экологических нормативов и требований, подготовка необходимых рекомендаций.
Подход к аудиту
Под термином «подход» к аудиту понимается проведение проектов внутреннего аудита по определенной тематике и с использованием определенной методологии. Разумеется, базовая методология внутреннего аудита довольно универсальна – необходимо составлять рабочие документы, необходимо формировать доказательную базу, необходимо использовать выборочное тестирование и т. д. Однако тематика проекта предполагает использование методологических приемов, специфичных только для конкретных задач того или иного проекта.
В целом можно выделить пять ключевых подходов к аудиту, а именно:
• операционный;
• бухгалтерский;
• комплаенс;
• ревизионный;
• риск-ориентированный.
Операционный подход к аудиту. В первую очередь при использовании данного подхода анализируется структура и содержание бизнес-процессов, а также их систем контроля. Основная задача заключается в выявлении факторов, препятствующих достижению целей бизнес-процессов. В большинстве случаев перед анализом бизнес-процесса и его системы внутреннего контроля необходимо задокументировать данный процесс, т. е. составить графическое и словесное описание. Также широко применяется тестирование адекватности и эффективности внутренних контрольных процедур бизнес-процессов, имеющее специфичную методологию. Операционный подход к аудиту позволяет получить максимум информации о нюансах работы любого предприятия. Это имеет колоссальное значение для понимания деятельности предприятия и формирования подхода к эффективному управлению. К сожалению, большинство российских управленцев не обладают достаточной информацией и не представляют деятельность предприятия как систему взаимодействующих бизнес-процессов.
Бухгалтерский подход к аудиту. Типичным примером данного подхода является деятельность внешних аудиторов. Как известно, их основной задачей является аудит финансовой отчетности для подтверждения ее достоверности. Внешние аудиторы не документируют бизнес-процессы, не оценивают адекватность и эффективность внутренних контрольных процедур. Поле их деятельности весьма ограниченно. Многие внутренние аудиторы были в прошлом внешними аудиторами, однако нередко данное обстоятельство является скорее недостатком, а не достоинством. Многие внутренние аудиторы после ухода из сферы внешнего аудита продолжают использовать тот же подход в работе. Это приводит к тому, что ряд ПВА во многом дублируют работу внешних аудиторов, занимаясь аудитом достоверности финансовой отчетности и оценкой правильности расчета налоговых отчислений. На мой взгляд, эти задачи по силам самой дирекции по экономике и финансам. Все, что нужно, – это создать методологический отдел по бухгалтерскому и налоговому учету, а также проводить регулярное обучение сотрудников по данной тематике. Услугами внешних аудиторов необходимо пользоваться для оценки, в том числе, эффективности деятельности методологического отдела и эффективности программ обучения.
Комплаенс-подход к аудиту. Суть данного подхода заключается в оценке полноты и правильности соблюдения разного рода внешних и внутренних правил. Внешние правила определяются законами, постановлениями, приказами, предписаниями и прочими в основном письменными директивами государственных и негосударственных регулирующих органов. Внутренние – корпоративными и локальными регламентами и стандартами, внутренней организационно-распорядительной документацией (приказы, распоряжения и прочее). Условно комплаенс-подход можно разделить на поверхностный и углубленный. При поверхностном подходе фиксируется только факт нарушения без оценки его последствий. Рекомендации по исправлению нарушения довольно прямолинейны, так как в основном рекомендуется соблюдать нарушенные правила. При углубленном подходе могут оцениваться последствия нарушения, а также предлагаться варианты исправления ситуации, включающие внесение изменений в сами правила (например, в случае их устаревания). Однако использование углубленного подхода требует довольно высокой квалификации команды внутренних аудиторов, наличия интегрированных знаний. По этой причине чаще встречается поверхностный подход, что в большинстве случаев создает минимальную добавленную стоимость для компании. Исключением являются две ситуации, когда нарушение грозит очевидными серьезными последствиями, например отсутствие лицензии, влекущее приостановку деятельности (внешние правила), и когда регламенты и стандарты компании оптимальны (внутренние правила). Однако в отношении первой ситуации все равно необходима оценка последствий, а это под силу не каждому комплаенс-аудитору и не в каждом случае. Что касается второй ситуации, то есть один нюанс. Большинство регламентов подобны автомобилям – как новый автомобиль теряет определенную стоимость сразу после схода с конвейера (и теряет ее на протяжении всей своей жизни), так и новый регламент теряет часть своей актуальности сразу после выпуска (и продолжает терять ее в дальнейшем). Этот процесс ускоряется, если компания находится в стадии активных перемен и/или развития. Таким образом, возвращаясь к оценке полезности поверхностного подхода, можно сделать следующий вывод: полезность является во многом случайной величиной, поэтому здесь нужно брать количеством проанализированного материала. Многое зависит от позитивного внимания менеджмента к работе команды внутренних аудиторов (необходимость в дополнительной оценке полезности, просеивании информации). Если менеджмент будет штудировать результаты работы команды внутренних аудиторов, то он найдет полезное для себя. В этой ситуации для команды внутренних аудиторов на первое место выходит способность обеспечить достаточно большой охват анализируемого материала и доступность результатов своей работы для восприятия и понимания.
Ревизионный подход к аудиту. При данном подходе в чистом виде основная работа ПВА состоит в оценке системы обеспечения сохранности имущества компании. При использовании данного подхода ПВА направляет много ресурсов, попросту говоря, на работу с риском мошенничества. В силу ограниченности перечня анализируемых вопросов ревизионная деятельность нередко приводит к типовым однотипным проверкам. Особенно ярко данная тенденция прослеживается, например, в розничной торговле. В некоторых случаях ревизионная деятельность может требовать специальных знаний (техпроцессы, технология и т. д.), однако даже такая серьезная подготовка направлена на выявление только случаев злоупотребления и халатности. Обычно ревизоры не рассматривают проблему в комплексе. От этого их рекомендации или даже требования по исправлению негативной ситуации зачастую имеют карательный характер – наказать, оштрафовать, объявить выговор и т. п. В отличие от правильного внутреннего аудитора, который при обнаружении проблемы старается создать систему предотвращения ее повтора, ревизор при обнаружении проблемы старается вызвать перманентное ощущение неотвратимости наказания. Однако нельзя сказать, что тактика ревизионной деятельности в корне неправильна. Просто основной слабостью данного подхода является отсутствие системного анализа и признания того, что причинно-следственные связи могут оказаться сложнее, чем кажется.
Риск-ориентированный подход к аудиту. Ключевым ограничением предыдущих четырех подходов является их тематическая и методологическая предопределенность. С одной стороны, это хорошо, так как узкоспециализированный подход позволяет повысить качество и увеличить объем выполняемой работы на единицу используемых ресурсов. С другой стороны, все эти подходы страдают ограничениями и не позволяют выполнять более приоритетные задачи, если они не попадают в поле экспертизы. Простой пример – с точки зрения бухгалтерского и даже налогового учета приобретение имущества по завышенной цене (при условии правильного и полного составления всех первичных документов и правильного и полного отражения операций в учете) не идентифицируется как проблема. При использовании риск-ориентированного подхода данная проблема с высокой вероятностью попадет в поле зрения команды внутренних аудиторов, так как, во-первых, изначально риск возникновения подобных ситуаций довольно высок, во-вторых, в большинстве случаев такие ситуации являются следствием пробелов в системе внутреннего контроля. Таким образом, рискориентированный подход позволяет избавиться от большинства ограничений других подходов и нацелен на выявление наиболее приоритетной тематики работы ПВА. При его использовании вся деятельность предприятия рассматривается с точки зрения рисков и возможностей. Как только риск обретает определенные параметры (в результате сочетания рискобразующих факторов), ключевым из которых является способность препятствовать достижению целей предприятия, он включается в тематику работы ПВА. К сожалению, рискориентированный подход не лишен собственных ограничений. Наиболее серьезным из них являются повышенные требования к составу и квалификации сотрудников ПВА, так как наиболее существенные риски могут быть связаны с разными аспектами деятельности предприятия и касаться разных бизнес-процессов. Хорошая новость заключается в том, что правильное использование методологии анализа и оценки бизнес-процессов и систем внутреннего контроля способно существенно нивелировать ключевое ограничение риск-ориентированного подхода.
Формирование риск-ориентированного подхода к проведению проектов внутреннего аудита.
• риск;
• фактор риска;
• владелец риска.
Риск. Под риском понимается событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб. Риск может быть результатом как действия, так и бездействия. Из этого следует, что даже если мы ничего не предпринимаем, то все равно рискуем. Поэтому риск является неотъемлемой частью нашей повседневной жизни. Основная сложность в построении процесса управления рисками заключается в двойственной природе риска. Это выражается в том, что риск является одновременно и риском, и фактором риска для других взаимосвязанных рисков. Проиллюстрируем эту двойственность на следующем примере. Возьмем цепочку из трех взаимосвязанных событий – работник пришел на предприятие пьяным, он совершил производственную ошибку, на производстве произошла авария. Каждое из указанных событий по отдельности может быть риском. Приведенная цепочка событий-рисков является одним из наиболее распространенных вариантов причинно-следственной связи в подобной ситуации. Разумеется, у каждого из этих рисков может быть несколько причин. Например, работник может совершить производственную ошибку не только вследствие алкогольного опьянения, но и по невнимательности, неосторожности, из-за плохого настроения, отвлекающего фактора. Также и авария на производстве может произойти не только вследствие ошибки пьяного работника, но и по причине устаревшего оборудования, форс-мажорных обстоятельств, неправильного техпроцесса и т. д. Вернемся, однако, к нашей цепочке. После того как первый риск реализовался, т. е. негативное событие произошло, этот риск становится фактором риска для следующего негативного события (производственная ошибка). Присутствие пьяного сотрудника на рабочем месте повышает вероятность и усиливает негативный эффект производственной ошибки, а значит, является фактором риска для данного события. Аналогичная логика используется при анализе следующего элемента цепочки – производственной ошибки-аварии. С практической точки зрения полезно также разобраться в понятиях «исходный риск» и «остаточный риск». Под исходным понимается риск в конкретной ситуации без какоголибо вмешательства в ход событий (что будет, если ничего не предпринимать). Соответственно, под остаточным понимается риск в конкретной ситуации после того, как все целесообразные меры управления данным риском были предприняты. Довольно часто в процессе выявления и оценки рисков в силу различных причин происходит смешение исходных и остаточных рисков. Это, безусловно, влияет на эффективность процесса управления рисками.
Фактор риска. Под фактором риска понимается результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события. Можно решить, что фактор риска эквивалентен причине реализации риска, однако это не совсем корректно. Причина реализации риска является фактором риска, но не каждый фактор риска является причиной его реализации. Рассмотрим эти понятия на примере. Непотушенный окурок сигареты может стать причиной пожара в доме. С этим никто не спорит. Однако у риска возникновения пожара в доме может быть несколько причин, если под причиной понимать появление неконтролируемого источника огня. Если дом деревянный, напичкан скарбом, сделанным из горючих и легковоспламеняющихся материалов, пожар произойдет с высокой вероятностью и дом сгорит дотла. Указанные обстоятельства (деревянный дом и скарб) сами по себе не являются причиной пожара, но образуют факторы риска этого события – они увеличивают вероятность его возникновения и усиливают негативный эффект. Выяснив различия понятий «причина риска» и «фактор риска», я предлагаю… забыть о них. Для простоты будем оперировать только понятием «фактор риска».
Владелец риска. Это владелец процесса, наиболее заинтересованный в управлении выбранным риском. Такая заинтересованность объясняется тем, что устранение конкретного риска способствует достижению цели процесса. Существует немало рисков, для которых, на первый взгляд, довольно сложно определить одного владельца. К ним в первую очередь относятся риски, имеющие несколько причин возникновения. Например, возьмем риск затоваривания складов готовой продукцией. Навскидку у него может быть три основных причины:
• дирекция по продажам и маркетингу;
• дирекция по логистике;
• дирекция по производству.
С другой стороны, можно отказаться от уточнения формулировки риска и определить владельца исходного риска исходя из оценки заинтересованности в управлении данным риском. При таком подходе необходимо понять цели процессов.
Запрос информации на этапе планирования проекта
Как уже говорилось, в большинстве случаев процедура планирования проекта стартует с формирования запроса информации у объекта аудита, особенно если объект аудита впервые попал в план. Однако существуют ситуации, когда запрос информации приносит скорее вред, чем пользу. Речь идет о том, что по терминологии ревизоров называется внезапными проверками. В подавляющем большинстве случаев такие проверки носят карательный характер и направлены в первую очередь на выявление особо гнусных злоупотреблений. Надеюсь, вам никогда не придется участвовать в мероприятиях такого рода, поскольку они проходят более напряженно с психологической точки зрения, чем обычные проекты внутреннего аудита. Содержание запроса полностью зависит от целей проекта. Можно выделить несколько нюансов правильного запроса.
Нюанс 1. Следуйте принципу снайпера! Вы не можете себе позволить сформировать запрос, большая часть которого не будет исполнена, так как дурной пример заразителен. Запрос должен быть лаконичным и конструктивным, требующим минимум затрат ресурсов на его исполнение. Тогда у вас будут хотя бы формальные основания требовать его исполнения.
Нюанс 2. Запрашивайте то, что существует. Другими словами, запрос должен касаться информации и данных, которые уже есть в управленческом или ином учете. Следует избегать, особенно на первых порах, запросов такой информации или данных, которые требуют дополнительной обработки (например, запрос таблицы, получаемой путем объединения двух других таблиц). Во-первых, это усложняет запрос и увеличивает шансы его саботажа. Во-вторых, повышается вероятность ошибок в предоставляемой информации или данных, так как они подвергаются дополнительной обработке.
Нюанс 3. Запрос должен быть понятным. Непонимание рождает антипатию и раздражение, что негативно сказывается на качестве исполнения запроса. Если вы не уверены, что запрос будет понятен, не ждите, что за вами будут бегать с вопросами по его содержанию. Свяжитесь с адресатом запроса самостоятельно. Так вы и факт получения запроса проконтролируете, и ответите своевременно на возникшие вопросы.
Нюанс 4. Запрос должен содержать четкие указания по его исполнению. Это подразумевает однозначные ответы на вопросы «что?», «когда?», «кому?», «куда?» и «в каком виде?». Именно по этим вопросам и можно контролировать качество исполнения запроса. Нет ответов на эти вопросы, нет оснований для контроля и предъявления претензий.
Запрос направляется руководству объекта аудита в виде официального письма, состоящего из сопроводительного письма и собственно запроса. В сопроводительном письме к запросу обычно указываются основания для начала проекта внутреннего аудита, например утвержденный план работы на период или распорядительный документ соответствующего руководства. Кроме того, в нем часто имеет смысл описать основные параметры предстоящего проекта (сроки, участники со стороны команды аудиторов, ключевые требования к объекту аудита и т. д.)