6) хранение бухгалтерских документов на бумажных носителях и (или) в памяти ЭВМ;
7) защита активов.
Защита активов представляет собой ограничение доступа к активам и документам, которые контролируют их движение, а также к документам, свидетельствующим об их существовании. Ограничение не распространяется на персонал, имеющий соответствующее разрешение.
Все семь целей контроля могут быть применены к любому предприятию. Их действие распространяется на все хозяйственные операции, а также на все файлы и активы независимо от мероприятий и процедур структуры контроля, установленных для достижения указанных целей.
Хорошо действующая система внутреннего контроля не возникает случайно. На ее образование влияет ряд непременных условий, среди которых:
1) качество управления, т.е. способность руководства эффективно планировать и контролировать работу;
2) квалификация персонала и его способность четко следовать должностным инструкциям;
3) наличие трудовых ресурсов (необходимое условие для разделения и ротации обязанностей);
4) качество внутреннего аудита.
При отсутствии вышеперечисленных факторов эффективность внутреннего контроля не будет достигнута.
2. Понятие «бизнес-риск». Определение величины риска.
Бизнес-риск - вероятность (угроза) потери части своих активов (инвестиций) в результате неправильно выбранного направления в бизнес-деятельности - возникает, как правило, при воздействии на производственно-хозяйственную деятельность предпринимательской фирмы определенных факторов, делающих в условиях неопределенности эту деятельность менее успешной (по сравнению с тем, что запланировано).
За последние несколько лет, значение управления рисками для стабильного корпоративного управления признается все в большей и большей степени. Организациям приходится определять все виды бизнес-рисков, с которыми они сталкиваются, а именно социальные, этические, экологические, а также финансовые и рабочие, и объяснять, как они управляют этими рисками, чтобы те имели приемлемый уровень.
Внутренний аудит в своих обеих ипостасях - подтверждении достоверности информации и консалтинге – вносит свой разнообразный вклад в управление рисками. В 2002 году Институт Внутренних Аудиторов Великобритании и Ирландии выпустил меморандум о «Роли внутреннего аудита в управлении рисками» для обеспечения акционеров руководством о допустимых ролях и мерах безопасности, необходимых для защиты независимости и объективности внутреннего аудитора.
Внутренний аудит представляет собой независимую деятельность по подтверждению достоверности информации и консалтингу. Основной ролью внутреннего аудита в отношении управления рисками компании является объективное подтверждение совету директоров эффективности управления рисками. Совет директоров и внутренние аудиторы соглашаются с тем, что самый важный способ, с помощью которого внутренний аудит придает ценность организации, состоит в предоставлении объективного подтверждения того, что основные бизнес-риски управляются надлежащим образом, и управление рисками и внутренний контроль работают эффективно.
На рис. 1 представлены виды деятельности по управлению рисками в масштабе предприятия, и показана роль, которую должен играть профессиональный эффективный внутренний аудит, равно как и та роль, которую он не должен на себя брать. Ключевые факторы, которые необходимо принимать во внимание при определении роли внутреннего аудита, состоят в том, не угрожает ли деятельность независимости и объективности функции внутреннего аудитора, и возможно ли улучшить управление рисками организации, процессы контроля и управления (рис.1).
Рис.1 Роль внутреннего аудита в управлении рисками в масштабе предприятия
1- Ключевая роль внутреннего аудита в управлении рисками в масштабе предприятия
2- Подтверждение достоверности информации по процессу управления рисками
3- Подтверждение достоверности правильной оценки рисков
4- Оценка процесса управления рисками
5- Оценка отчетов по ключевым рискам
6- Проверка управления ключевыми рисками
7- Ускорение процесса выявления и оценки рисков
8- Тренировка руководства в ответных действиях на риск
9- Координация деятельности по управлению рисками в масштабе предприятия
10- Консолидированные отчеты по рискам
11- Поддержка и развитие механизма управления рисками в масштабе предприятия
12- Поддержка создания управления рисками в масштабе предприятия
13-Разработка стратегии управления рисками для утверждения Советом Директоров
14- Установление «рискового аппетита»
15- Внедрение процесса управления рисками
16- Обеспечение управления рисками
17- Принятие решений в отношении ответных действий на риски
18- Реализация ответных действий на риски от имени руководства
19- отчетность за управление рисками
20- Роль, которую не должен брать на себя внутренний аудит
21- Законная роль внутреннего аудита с мерами предосторожности
Виды деятельности с левой стороны рис.1 относятся к подтверждению достоверности. Они образуют более широкую цель – подтверждение достоверности по управлению рисками. В функции внутреннего аудита в соответствии с Международными стандартами профессиональной практики внутреннего аудита могут и должны входить хотя бы некоторые из этих видов деятельности.
Внутренний аудит может обеспечивать предоставление консалтинговых услуг, улучшающих управление организацией, управление рисками и контроль. Объем консалтинговых услуг, предоставляемых внутренним аудитом по управлению рисками в масштабе предприятия, зависит от других внутренних и внешних источников, доступных совету директоров, полного развития риска организации и вероятно будет меняться с течением времени.
В международной практике сформировался подход, согласно которому знание бизнеса аудируемого субъекта базируется на ряде составляющих.
1. Внешние факторы (понимание отрасли клиента, ее текущего состояния и перспектив развития; осознание общеэкономической ситуации и влияния ее на отрасль в целом; знание специфических норм законов, имеющих отношение к рассматриваемой отрасли и т.д.)
2. Основные характеристики организации (форма собственности; организационная структура; стиль управления организацией; операционная, инвестиционная, финансовая деятельность и т.д.)
3. Стратегия развития организации и поставленных ею целей, а также бизнес-рисков. В контексте данного раздела следует рассмотреть положение организации в отрасли, понимание руководством тенденций развития отрасли, экономики страны в целом. Отсутствие должного внимания со стороны аудитора к данным вопросам может свести на нет всю последующую работу, так как будут упущены существенные искажения управленческого характера. Например, поставленные нереалистичные для достижения цели являются риском существенного искажения отчетности, так как руководство клиента может поддаться соблазну фальсифицировать отчетность, с тем чтобы выдать желаемое за действительное. Необходимо отметить, что бизнес-риск представляет собой более широкое понятие, чем риск, который интересует аудитора, т.е. риск существенного искажения отчетности. Прежде всего указанные обстоятельства имеют отношение к обзорной аудиторской проверке.
4. Оценка системы внутреннего контроля. В международной практике этому вопросу отводится одна из главных ролей. Суть внутреннего контроля можно определить как совокупность применяемых организацией средств и методов, позволяющих снизить бизнес-риски в целом. Эти риски приводят к несоответствию данных финансовой отчетности экономического субъекта фактическому состоянию дел, неэффективности и низкой продуктивности осуществляемых операций, а также к нарушению требований законодательства. В ходе проведения как обзорной проверки, так и комплексного аудита следует помнить, что любая, даже очень качественная, система внутреннего контроля имеет ограничения, которые при определенных обстоятельствах не позволят ей предотвратить искажения отчетности.
Одним из основных объектов внутреннего контроля является оценка рисков. В это понятие включается процесс контроля со стороны администрации проверяемого субъекта за рисками и методикой управления ими. Во время подготовки аудиторской проверки для понимания направленности развития бизнеса в целом аудитор формирует мнение о риск-менеджменте в организации. Для этого он должен уяснить, фиксируются ли бизнес-риски управляющим звеном, верно ли они интерпретируются и какого рода реакция на них следует в каждой из ситуаций.
В отношении оценки рисков международные стандарты предлагают аудитору совершить следующие действия:
· выявить риски, принимая во внимание особенности бизнеса экономического субъекта, его систему внутреннего контроля, среду деятельности, а также типичные классы операций, раскрытия, сделанные в отчетности;
· проанализировать, как выявленные риски могут негативно повлиять на финансовую отчетность на уровне утверждений (предпосылок), сделанных руководством при ее подготовке;
· оценить значительность выявленных рисков; при этом важно точно определить их природу, причину возникновения и характер воздействия на достоверность отчетности с точки зрения тех или иных ее возможных пользователей;
· установить, имеются ли значительные риски, требующие особого внимания со стороны аудитора;
· определить рисковые области, в которых процедуры по существу не позволяют получить достаточных надлежащих аудиторских доказательств.
После того как аудитор выявил значительные риски, ему необходимо оценить степень надежности процедур контроля, направленных на их снижение.