AV_12_2015
.pdf
Теоретические основы аудита системы внутреннего контроля
щейся системы внутреннего контроля;
ü внутренняя коммуникация поддерживает понимание по достижению целей компании;
ü внешняя коммуникация дает третьим лицам представление об основных событиях, обстоятельствах, значимых для отчетности.
Мониторинг за системой внутреннего контроля в организации:
ü проводятся последовательные оценки, которые дают возможность руководству правильно оценить достаточность и действенность внутреннего контроля в вопросах финансовой отчетности;
ü осуществляются идентификация и предоставление своевременной информации ответственным лицам о недостатках в системе внутреннего контроля в отношении финансовой отчетности. В случае необходимости данная информация передается руководству и контролирующим органам.
На этапе планирования аудиторской проверки производится оценка внутреннего риска. Значение этого риска играет очень важную роль для всей проверки. Переоценка значения риска СВК ведет к переоценке надежности компонентов СВК, безосновательно уменьшает количество процедур по существу, аследовательно,инадежностьпроверки. Недооценка же в свою очередь увеличивает затраты и время на проведение аудита и снижает его эффективность. Поэтому ауди-
торским организациям необходимо иметь такую методологию анализа СВК, которая бы позволяла максимально точно определить риск СВК.
О необходимости наличия сильной системы внутреннего контроля заговорили во всем мире после скандалов с крупнейшими американскими компаниями Энрон и ВорлдКом, реакцией на которые стал закон Сарбейнса-Оксли [17]. Этот закон был принят 30 июля 2002 г. в США, и под его действие попадают все компании, которые зарегистрированы Комиссией по ценным бумагам США. Исключения для иностранных компаний не предусмотрены, на них распространяются аналогичные правила.
Согласно главе 404 данного закона компании обязаны включать в годовые отчеты за финансовый год отчет руководства о состоянии системы внутреннего контроля, который содержит следующие пункты:
ü заявление, содержащее признание ответственности руководствазаустановлениеиподдержание эффективной системы внутреннего контролянадподготовкойфинансовой отчетности в компании;
ü заявление, содержащее описание системы, используемой руководством для проведения требуемой оценки эффективности внутреннего контроля над подготовкой финансовой отчетности;
ü результаты оценки руководством эффективности внутрен-
12/2015 Аудиторские ведомости |
21 |
|
|
|
Теория и практика аудита
него контроля над составлением финансовой отчетности в компании на конец последнего отчетного периода, включая заявление об эффективности системы внутреннего контроля над составлением финансовой отчетности. Оценка должна включать раскрытие информации о любых значительных недостатках внутреннегоконтролянадподготовкой финансовой отчетности, выявленных руководством. Руководство не должно давать положительную оценкусистемевнутреннегоконтроля над составлением финансовой отчетности в компании при наличии одного или более значительных недостатков в ее функционировании;
ü заявление о том, что независимая зарегистрированная аудиторская фирма, которая проводила аудитгодовойфинансовойотчетности, выпустила отчет, содержащий мнение о справедливости данной руководством оценки состояния системы внутреннего контроля за составлением финансовой отчетности.
Взаконеговорится,чторуководство несет ответственность за эффективность системы внутреннего контролянадподготовкойфинансовой отчетности компании; обязано проводить постоянную оценку эффективности внутреннего контроля на основе адекватных критериев эффективности контрольных процедур; должно иметь достаточные доказательствадлявыводовобэффективности системы внутреннего
контроля,втомчисленеобходимую документацию. Необходимо также, чтобы независимые аудиторы дали свое заключение об эффективности системы внутреннего контроля, включая эффективность процедур оценки системы внутреннего контроля руководством компании.
Согласно главе 404 закона Сарбейнса-Оксли анализ системы внутреннего контроля должен проходить в разрезе пяти пунктов, описанных в модели COSO. Сама модель COSO тоже не стоит на месте, а продолжает развиваться. Так, воктябре2004г.былаопубликована модель концептуальных основ для управления рисками организации COSO–EnterpriseRiskManagement- Models (COSO – ERM). Под данной моделью понимается процесс, осуществляемый советом директоров, менеджментом и остальным персоналом организации, применяемый для определения стратегических целей организации с учетом системы внутреннего контроля с целью идентификации и устранения потенциальных событий с обеспечением разумной уверенности, которые могут нанести ущерб организации.
Применение оценки СВК
ваудите
ВРоссийской Федерации аудит системы внутреннего контроля регулируется ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков
22 |
12/2015 Аудиторские ведомости |
|
Теоретические основы аудита системы внутреннего контроля
существенного искажения аудиру- |
ды» [18]. В новой редакции боль- |
||||||||||||||
емой финансовой (бухгалтерской) |
шое внимание уделяется организа- |
||||||||||||||
отчетности» (в ред. постановлений |
ции проверки системы внутреннего |
||||||||||||||
Правительства РФ от 19.11.08 г. |
контроля. В тексте стандарта го- |
||||||||||||||
№ 863, от 27.01.11 г. № 30). Дейс- |
ворится, что при аудите системы |
||||||||||||||
твующая редакция данного стан- |
внутреннего контроля необходимо |
||||||||||||||
дарта была выпущена взамен ста- |
обращать внимание на пять компо- |
||||||||||||||
рой редакции ФПСАД № 8 «Оценка |
нентов, которые описаны в моде- |
||||||||||||||
аудиторских рисков и внутренний |
ли COSO. Ранее рассматривались |
||||||||||||||
контроль, осуществляемый аудиру- |
только контрольная среда и про- |
||||||||||||||
емым лицом». |
цедуры контроля. Таким образом, |
||||||||||||||
|
Новая редакция приближена |
можноотметить,чтоотечественные |
|||||||||||||
к международному стандарту ау- |
стандарты постепенно приблизи- |
||||||||||||||
дита 315 «Определение и оценка |
лись к лучшим мировым практикам. |
||||||||||||||
рисков существенных искажений на |
В ФПСАД № 8 также кратко ска- |
||||||||||||||
основе знания субъекта и его сре- |
зано, что аудитор после оценки |
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Модель оценки эффективности СВК в риск-ориентированном аудите
12/2015 Аудиторские ведомости |
23 |
|
|
|
Теория и практика аудита
рисков искажения отчетности, понимания среды, а также системы внутреннего контроля должен использовать данную информацию для составления программы дальнейших процедур, но не приведено подробное описание дальнейших действий.
Модель оценки эффективности СВК представлена на рисунке.
Если в ходе оценки системы внутреннего контроля были выявлены слабые стороны, то аудитор обычно стремится получить больше всесторонних аудиторских доказательств от процедур по существу, модифицирует характер аудиторских процедур для получения более убедительных аудиторских доказательств или увеличивает количество и размеры выборок в ходе проверки. Выделяются типологии программ аудита СВК:
ü контрольный подход, который использует как тесты контролей, так и процедуры по существу; ü детальный (независимый) подход к проведению аудита, когда акцент делается на проведение
процедур по существу.
Цель оценки СВК состоит в том, чтобы получить понимание методов ведения бухгалтерского учета компании и оценить средства контроля настолько, чтобы мы смогли установить риск существенного искажения отчетности для каждой цели аудита и спланировать процедуры по существу. Типология оценки аудитором эффективности
СВК определяет стратегию аудита и объем тестов по существу.
Таким образом, в некоторых случаях аудитор может определить, что только при выполнении тестов контроля аудитор может достичь эффективного решения в отношении оцененных рисков существенных искажений по определенному утверждению. В других случаях аудитор может определить, что по определенному утверждению необходимо выполнить только процедуры по существу, и поэтому аудитор исключает влияние контроля из определенной оценки риска. Это может случиться, если процедуры аудитора по оценке риска не выявили эффективного контроля по этому утверждениюилипотому,чтотестирование эффективности контроля не будет целесообразным. Однако аудитор должен удостовериться, что выполнение только процедур по существу по определенному утверждению будет эффективным при снижении риска существенных искажений до приемлемо низкого уровня. Часто аудитор определяет, что комбинированный подход с использованием и тестов контроля, и процедур по существу является более эффективным.
Оценив риск системы внутреннего контроля и поняв остаточные риски, которые следует проверить, на базе выполнения контрольного тестирования аудитор может перейти к процедурам по существу в рамках программы аудита.
24 |
12/2015 Аудиторские ведомости |
|
Теоретические основы аудита системы внутреннего контроля
В целом аудит СВК представляет собой необходимый элемент программы аудита в рамках выбранной стратегии. Методически правильнопроведенныйаудитСВК может существенно снизить трудозатраты аудита при удержании риска в необходимых пределах.
Заключение
Таким образом, теоретические основы СВК обычно охватывают процессы формирования, организации, функционирования и оценку эффективности данной системы применительно как для целей совершенствования бизнеса, так и для успешного проведения аудита. Совершенствование теоретических основ СВК происходит как нормативно, так и на операционном уровне, использующем контрольные инновации.
ЛИТЕРАТУРА
1.ACCA, Paper F8, Audit and Assurance (international). Study text. London, BPP Leaning Media Ltd, 2012. – 448 p.
2.Гузов Ю.Н., Савенкова Н.Д., Стрель-
никова О.В. [и др.]. Актуальные проблемы учета и аудита: Монография./ под ред. Ю.Н. Гузова. – СПб.: СПбГУ–МГУТУ, 2013. – 144 с.
3.Булыга Р.П., Мельник М.В. Аудит бизнеса. Практика и проблемы развития: монография. – М.: ЮНИТИ-ДАНА, 2013. – 263 с.
4.Гузов Ю.Н., Стрельникова О.В.
Практика планирования в риск-ориентиро- ванном аудите // Аудиторские ведомости. – 2015. – № 1. – С. 29–41.
5.Соколов Я.В., Терентьева Т.О. Бухгалтерский учет и аудит: современная
теория и практика: учеб. / Я.В. Соколов, Т.О. Терентьева. – М.: Экономика, 2009. – 438 с.
6. Крышкин О. Настольная книга внут- реннегоаудита:Рискиибизнес-процессы.– М.: Альпина-Паблишер, 2014. – 624 с.
7.Freidank C.,Peemoeller V. Corporate Governance und Interne Revision. Handbuch fuerdieNeuausrichtungdesInternalAuditings. Berlin. 2008. – 996 p.
8.Sawyer Lawrence B, Sawyer’s Internal Auditing, 4th edition / Lawrence B. Sawyer, Mortimer A.Dittenhofer, James H. Scheiner; The Institute of Internal Auditors, Inc. – Florida: 1996. – 688 p.
9.www.minfin.ru
10.www. audit.gov.ru
11.Пучкова А.О. Необходимость оценки системы внутреннего контроля и ее элементов при проведении аудита. // Аудиторские ведомости. – 2012. – № 1/2. – С. 173–179.
12.Кныш М. Система контроля как одна из важнейших структурных частей менеджмента // Управление в условиях со- циально-экономического кризиса. – СПб, 2000. – С. 41.
13.Roland Fuess, Die Interne Revision. Bestandsaufnahme und Entwicklungsperspektiven, – Berlin: Erich Schmidt Verlag, 2007. – Р. 172.
14.Серебрякова Т.Ю. Система внутреннего контроля в интерпретации стандартов аудита //Аудиторские ведомости. – 2010. – № 1. – С. 13.
15.Oliver Bungartz, Handbuch Interne Kontrollsysteme (IKS). Steuerung und Überwachung von Unternehmen, – Berlin, Erich Schmidt Verlag, 2011. – Р. 318.
16.www.coso.org.
17.Гузов Ю.Н. Риск-ориентированный подход и проблемы формирования системы внутреннего контроля аудиторских фирм // Аудиторские ведомости. – 2013. –
№1. – С. 62–71.
18.Табалина С.А., Ремизов Н.А. Аудит. Современнаяметодика:Проверкаразделов отчетности согласно МСА и федеральным ПСАД. – М.: ИД ФБК-Пресс, 2003. – С. 21.
12/2015 Аудиторские ведомости |
25 |
|
|
|
Теория и практика аудита
М.А. ШТЕФАН,
кандидат экономических наук, декан факультета экономики, заведующий кафедрой бухгалтерского учета, анализа и аудита Национального исследовательского университета «Высшая школа экономики» – Нижний Новгород mshtefan@hse.ru
А.Е. БАЛАСАНЯН,
ассистент аудитора Приволжский региональный центр КПМГ, Нижний Новгород armen31@inbox.ru
Метод анализа иерархий в количественной оценке рисков бизнес-процессов
ключевые слова: риск, бизнес-процесс, метод анализа иерархий
Предлагается авторская методика количественной оценки риска бизнес-процессов, основанная на модификации метода анализа иерархий, а также использовании методов морфологического анализа и тестирования. Апробация методики проводится на бизнес-процессе «Управление персоналом».
M.A. Shtefan, A.E. Balasanyan
Hierarchy analysis technique for quantification of business process risks
key words: risk, business process, hierarchy analysis technique
The authors come up with a proprietary technique for assessment of a business process risk, which is based on a modified hierarchy analysis method, and propose to use morphological analysis and testing methods. The method is tested on the HR Management process.
26 |
12/2015 Аудиторские ведомости |
|
Метод анализа иерархий в количественной оценке рисков бизнес-процессов
Введение
Бизнес-процессы составляют основу деятельности любой организации, влияют на результативность финансово-хозяйственной деятельности компании. Чем выше операционная эффективность биз- нес-процессовинижеколичествен- ное значение их риска, тем больше вероятность успеха компании, т.е. вероятность достижения поставленных в организации целей и задач. Определение величины риска бизнес-процессов позволяет руководству осознать существующие проблемы, выявить слабые места
испрогнозировать их влияние на будущие результаты.
Втеории и на практике существуют различные методики количественной оценки рисков бизнеспроцессов: методы тестирования, экспертной оценки, статистические, математические и эконометрические методы. Вопросами оценки рисков занимаются такие отечественные ученые, как А.Г. Бадалова, А.Л. Слободской, Ю.Ю. Кочинев, а также иностранные специ-
алисты – R.W. Houston, M.F. Peters, J.H. Pratt, C. Ingley, N. Van der Walt.
Но, несмотря на востребованность данных методов в работе внутренних аудиторов, экспертов
иконсультантов, их бесспорное значение для развития науки в области учета и аудита, современные исследования не затрагивают вопрос количественной оценки рисков процессов посредством
использования метода анализа иерархий. Метод анализа иерархий (МАИ), разработанный Т. Саати, является многокритериальным приемом оценки, который позволяет устанавливать приоритеты между критериями. Одним из основных назначений предлагаемого Т. Саати подхода является выбор из разнообразных альтернативных вариантов решения той или иной задачи оптимального для компании варианта. Другим способом использования метода анализа иерархий является его применение для расчета весов критериев на основе анализа множества факторов в целях оценки инновационных проектов, данный подход к применению МАИ предложен А.Н. Тихомировой, Е.В. Сидоренко.
В настоящей статье предлагается модификация метода анализа иерархий, позволяющая строить с его помощью интегральные показатели для количественной оценки рисков бизнес-процессов, в качестве объекта анализа будет выступать бизнес-процесс «Управление персоналом».
Обзор предлагаемых в литературе и на практике
методов количественной оценки рисков бизнеспроцесса «Управление персоналом»
В теории и практике современного риск-менеджмента встречаются различные подходы к оценке
12/2015 Аудиторские ведомости |
27 |
|
|
|
Теория и практика аудита
величины так называемого риска |
ность-ущерб» [1]. Данный подход |
|||||
персонала. Как правило, ввиду |
позволяет осуществить |
количес- |
||||
трудоемкости и |
необходимости |
твенную оценку риска без непос- |
||||
сокращения времени на данную |
редственного |
расчета |
значения |
|||
процедуру современные компании |
вероятностей потенциальных со- |
|||||
применяют экспертные оценки, ко- |
бытий путем присваивания риску |
|||||
торые строятся на понимании сущ- |
оцениваемого процесса ранга ве- |
|||||
ности бизнес-процесса, его слабых |
роятности его реализации (высо- |
|||||
мест, событий прошлых периодов. |
кая, средняя, низкая) и величины |
|||||
Так, например, А.Л. Слободс- |
ущерба (большой, средний, ма- |
|||||
кой выделяет метод оценки рис- |
лый). Иллюстрация описываемого |
|||||
ков на основе матрицы «вероят- |
метода представлена в табл. 1. |
|||||
|
|
|
|
Таблица 1 |
||
Реализация метода оценки рисков на основе матрицы |
||||||
|
«вероятность-ущерб» |
|
|
|
||
|
|
|
|
|
||
Ущерб |
|
Вероятность риска |
|
|
||
Высокая (75–100%) |
Средняя (40–75%) |
Низкая (0–40%) |
||||
|
||||||
Большой (75–100%) |
60–100% |
30–75% |
|
0–40% |
||
Средний (40–75%) |
30–75% |
20–60% |
|
0–30% |
||
Малый (0–40%) |
0–40% |
0–30% |
|
0–20% |
||
Основным преимуществом дан- |
на системе Элмери, разработан- |
|||||
ного метода является его просто- |
ный Институтом профессиональ- |
|||||
та, позволяющая с минимальными |
ного здравоохранения Финляндии |
|||||
затратамивременныхресурсовдо- |
и Управлением по охране труда |
|||||
стичь поставленной цели. Однако |
при Министерстве социального |
|||||
именно простота в свою очередь |
обеспечения |
и |
здравоохранения |
|||
определяет возникновение глав- |
Финляндии [2]. Его отличитель- |
|||||
ного недостатка метода – субъек- |
ной особенностью является узкая |
|||||
тивности. Совершенно очевидно, |
специализация, |
направленная на |
||||
что любая экспертная оценка со- |
оценку производственных рисков, |
|||||
пряжена с высокой степенью субъ- |
т.е. рисков на рабочем месте. Ме- |
|||||
ективности и трудно быть уверен- |
тод базируется на необходимости |
|||||
ным в том, что применение метода |
компаниями соблюдать требова- |
|||||
двумя различными независимыми |
ния безопасности труда, при этом |
|||||
экспертами позволит получить аб- |
риск связывается с возможными |
|||||
солютно одинаковые результаты. |
негативными |
последствиями их |
||||
Альтернативным способом ко- |
несоблюдения. |
Величина рисков |
||||
личественной оценки риска персо- |
по описываемой методике рассчи- |
|||||
нала является метод, основанный |
тывается по формуле: |
|
||||
28 |
12/2015 Аудиторские ведомости |
|
Метод анализа иерархий в количественной оценке рисков бизнес-процессов
, |
(1) |
где КПвып – количество выполненных требований;
КПневып – количество невыполненных требований.
Существенным недостатком индекса Элмери является приравнивание значимости факторов, влияющих на его значение, что в определенном смысле искажает общие результаты оценки.
Методы оценки риска персонала не ограничиваются применением экспертных оценок или мониторингом выполнения требований определенныхстандартов.Влитературе с целью построения регрессионных моделей оценки рисков предлагается применять математические и эконометрические методы.
Эконометрические модели строятся на предположении возможности построения регрессионнойзависимостимеждувеличиной риска и определяющими факторами – параметрами, оказывающими непосредственное влияние на риск [3]. В общем виде запись моделей оценки риска выглядит следующим образом:
R = β0 + β1 |
∙ X1 |
+β2 |
∙ Х2+ … |
+ βп ∙∙ Хп , |
|
|
(2) |
где R – значение величины риска; X1 ,…, Хп – факторы, влияющие
на значение уровня риска;
делиβ0., …, βп – коэффициенты мо- Реализация эконометрических моделей включает в себя несколь-
ко этапов:
1.Определяется перечень фак-
торов (X1 , …, Хп), которые оказывают влияние на величину риска.
2.Устанавливаются приемлемые максимальные и минимальные значения рисков.
3.Устанавливаются приемлемые максимальные и минимальные численные значения факторов риска.
4.На основе применения эвристических методов (например, метода экспертных оценок) оценивается изменение функции R при варьировании каждого фактора от минимального до максимального значения.
5.С применением метода наименьших квадратов рассчитываются коэффициенты построенной
линейной модели (β0 , …, βп) [3]. Основными преимуществами
эконометрических методов оценки рисков являются точность получаемых результатов, возможность их использования для анализа большого массива данных, получение на выходе числового показателя, характеризующегостепеньанализируемогориска.Однакоиданныйметод не лишен недостатков, к их числу
впервую очередь относятся сложность применения, трудоемкость прииспользованииматематического аппарата, нехватка и/или сложность
12/2015 Аудиторские ведомости |
29 |
|
|
|
Теория и практика аудита
получения статистических данных для построения моделей.
В качестве специфической модели оценки риска бизнес-процес- са «Управление персоналом» можно использовать методику оценки аудиторского риска, применяемую во внешнем и внутреннем аудите. Речь идет о трехфакторной модели,предусматривающейрасчетвеличины аудиторского риска на основе оценки риска хозяйственной деятельности аудируемого лица, риска средств контроля и риска необнаружения [4]. Аналитически модель в этом случае представляется следующим образом:
Ар = Рхд ∙ Рк∙ Рнб , |
(3) |
где Рхд – риск хозяйственной деятельности;
Рк – контрольный риск; Рнб – риск необнаружения.
Риск хозяйственной деятельности (Рхд) представляет собой риск наличия недостатков в деятельности организации, которые могут быть существенными при допущении отсутствия необходимых средств внутреннего контроля. Именно этот компонент риска можно спроецировать на риск отдельных бизнес-процессов, в том числе риск персонала. Контрольный риск (Рк) представляет собой вероятность того, что существующий в компании внутренний контроль не предотвратит и не выявит существенных ошибок. В свою
очередь риск необнаружения (Рнб) является показателем эффективности и качества работы аудитора, он зависит от порядка проведения аудиторскойпроверки,отквалификации аудиторов, степени их знакомства с деятельностью проверяемого экономического субъекта.
Таким образом, модель оценки риска персонала исходя из методики оценки аудиторского риска, можно представить в следующем виде:
, (4)
где Рп – риск бизнес-процесса «Управление персоналом».
Итак, в специальной литературе и на практике предлагаются различные методы количественной оценки рисков бизнес-про- цесса «Управление персоналом», у каждого из этих методов есть свои преимущества и недостатки. Последние определяют необходимость развития и совершенствования существующих моделей, а иногда подготовки новых вариантов, обладающих высокой долей объективности, применяющих математический инструментарий. На наш взгляд, таким методом является метод анализа иерархий (МАИ). Конечно, он, как и все проанализированные методы, имеет свои недостатки и преимущества. В современной литературе представлены полярные мнения о возможности/невозможности его
30 |
12/2015 Аудиторские ведомости |
|