Представление результатов внутреннего аудита. Аудиторские отчеты

Уже никто не оспаривает несомненную пользу . Правильно проведенный контроль внутри компании позволяет устранить ошибки и недочеты, повысить эффективность деятельности и дисциплинировать сотрудников. Эта форма деятельности организации, как и многие другие, требует документальной работы.

Понятие отчета по внутреннему аудиту

Отчет по ВА - это один из обязательных документов контроля, отражающий данные по результатам внутренней проверки. Изложенная в нем информация должна отражать данные контроля, его результаты и конкретные предложения. Этот документ является важным звеном в процессе устранения недостатков и нарушений, а также в анализе эффективности рабочих процессов.

При проверки узкой части рабочих процессов компании отчет может быть довольно скромный. Особенно если в результате аудита не было обнаружено серьезных недостатков. Глобальный аудит имеет более крупную форму отчета, но и этот документ является основным бланком проведенного контроля.

Данное видео расскажет об отчете по внутреннему аудиту:

Его предназначение

Простое составление отчета ВА с указанием выявленных недочетов лишь отмечает ошибки. Такой отчет не обладает полной информацией и не может считаться полезным документом. Грамотно составленный отчет решает значительно больше задач, чем простое информирование.

Правильный отчет решает следующие задачи:

• Раскрывает и описывает необходимые данные.
• Фиксирует предложения и рекомендации для исправления.
• Указывает смягчающие обстоятельства и излагает план корректирующих мероприятий.

На основании различных аудиторских отчетов допустимо исправление ошибок или окончательное утверждение стратегии компании.

Этот документ по сути является подтверждением правильности организации работы и корректного курса предприятия.

Форма и правила составления

Главными критериями правил составления отчета служат качественно изложенные сведения. Правильный отчет по внутреннему аудиту должен соответствовать 7 требованиям по корректности донесения информации. Сообщения в отчеты должны быть:

1. Ясными.
2. Точными.
3. Краткими.
4. Полными.
5. Объективными.
6. Конструктивными.
7. Своевременными.

На основании этих правил должна базироваться и форма отчета по внутреннему аудиту. Несмотря на то, что отчет по ВА является официальным документом организации, единой формы его составления не существует. Каждая компания в праве использовать удобный формат изложения информации в зависимости от объема отчета и целей его составления.

Ниже будет рассмотрена форма отчета по результатам внутреннего аудита СМК.

Данное видео содержит еще больше полезной информации об отчете по внутреннему аудиту:

При составлении отчета необходимо понимать, что данный документ касается не всех областей деятельности организации, а только в сфере рассматриваемых вопросов. Поэтому вне зависимости от выбранной формы документа, в нем должны отражаться 3 главных части:

1. Вводная.
2. Аналитическая.
3. Итоговая.

В вводной части аудиторского отчета указываются данные предприятия и информация об объекте контроля. Также приводятся сведения о сроках проверки и выносятся основные вопросы, подвергшиеся аудиту. Аналитическая часть документа подразумевает включение всех выявленных недостатков и нюансов, а также должна содержать указания на плюсы, определенные в результате контроля. Итоговая часть содержит выводы и рекомендации.

Пример заполнения отчета о результатах осуществления внутреннего финансового аудита

Отчет о результатах осуществления внутреннего финансового аудита — 1

Отчет о результатах осуществления внутреннего финансового аудита — 2

Отчет о результатах осуществления внутреннего финансового аудита — 3

Отчет о результатах осуществления внутреннего финансового аудита — 4

Отчет о результатах осуществления внутреннего финансового аудита — 5

Отчет о результатах осуществления внутреннего финансового аудита — 6

Отчет по внутреннему аудиту обязательный документ. Без его составления вся деятельность ВА практически утрачивает смысл. Форма его составления произвольная, а содержание должно быть предельно лаконичным и полным. Составить отчет по узкой сфере проверки довольно просто, а умение корректно формировать данные по всей деятельности компании приходит с опытом.

Внутренний аудит представляет собой независимый механизм, действующий с целью проведения проверки эффективности систем управления рисками, процедур контроля и управления Альфа-Банка, его дочерних и связанных компаниях.

Целью Внутреннего аудита является эффективная помощь Совету Директоров и Правлению Альфа-Банка, его дочерним и связанным компаниям в достижении поставленных целей. Для этого Внутренний аудит проводит анализ и оценку деятельности и представляет свои рекомендации и выводы соответствующим лицам.

Внутренний аудит проводит проверку и оценку достаточности и эффективности системы внутреннего контроля и качества исполнения определенных обязательств в Альфа-Банке, его дочерних и связанных компаниях путем координации работы разных подразделений внутреннего аудита. В частности, внутренние аудиторы:

• проверяют достоверность, полноту и своевременность финансовой и операционной информации и средства, используемые для установления подлинности, оценки, классификации и предоставления такой информации;
• проверяют существующую систему на предмет обеспечения соблюдения политики, планов, процедур, законов и инструкций, которые могут существенно повлиять на операции и отчеты;
• проверяют средства защиты активов, а при необходимости проверяют наличие и стоимость таких активов;
• проводят оценку эффективности использования ресурсов;
• проверяют проекты и программы на соответствие результатов заявленным целям и на выполнение их в соответствии с планом;
• проводят аудит, расследования и проверки по запросу руководства банка.

Подотчетность

Внутренние аудиторы представляют беспристрастную и объективную оценку деятельности банка.

Внутренний аудит осуществляет свою работу в соответствии с распоряжениями Совета директоров. Административно внутренние аудиторы подчиняются Председателю Правления Банка.

Взаимоотношения с другими ревизионными структурами

Внешний аудитор может получать отчеты Внутреннего аудита. Аналогичным образом внешние аудиторы сообщают внутренним аудиторам обо всех существенных вопросах, которые могут иметь отношение к Внутреннему аудиту.

Внутренний аудит может и должен быть полезным при определении характера, сроков и объема проведения внешнего аудита. Однако внешний аудитор несет исключительную ответственность за формирование заключения по финансовой отчетности.

Наличие дополнительных подразделений внутри Банка, контролирующих определенные виды деятельности, не освобождает департамент Внутреннего аудита от проверки таких видов деятельности. К таким подразделениям, к примеру, относятся Управление рисками и Управление внутреннего контроля. В целях эффективности Управление внутреннего аудита в своей работе может использовать информацию, подготовленную этими подразделениями.

Стандарты

Управление Внутреннего аудита придерживается Стандартов профессиональной практики внутреннего аудита и Кодекса этики, опубликованных Институтом Внутренних Аудиторов.

Как уже отмечалось, в банке должны быть сформированы и действовать органы специализированного (профессионального) контроля. Такими органами могут быть прежде всего:

• служба внутреннего контроля;
• служба внутреннего аудита;
• комитет по внутреннему контролю и аудиту.

Служба внутреннего контроля

Служба внутреннего контроля (далее – СВК) банка создается конкретно в целях мониторинга за процессом функционирования системы внутреннего контроля в банке, выявления и анализа проблем, связанных с ее функционированием, обеспечения соблюдения всеми сотрудниками организации при выполнении своих служебных обязанностей требований законодательства, а также обеспечения контроля за минимизацией банковских рисков, в том числе рисков, связанных с конфликтами интересов, возникающими в процессе жизнедеятельности банка.

Основной функцией СВК в банке, если сказать в общем плане, должна стать функция создания, отладки и поддержания всех механизмов внутреннего контроля в банке на необходимом уровне. При этом функции СВК нецелесообразно сводить только к методической работе (формирование требований к системе внутреннего контроля), однако они и не должны подменять функции других органов внутреннего контроля в банке.

При этом СВК должна обеспечивать контроль за:

• выполнением сотрудниками банка требований законодательства и нормативных актов регулирующих органов;
• адекватным определением во внутренних документах и соблюдением процедур и полномочий при осуществлении любых операций, при принятии любых решений, затрагивающих интересы банка, его собственников и клиентов;
• выполнением процедур эффективного управления банком своими рисками;
• сохранностью активов и адекватным отражением проводимых операций в бухгалтерском и управленческом учете банка;
• эффективным функционированием всех звеньев системы внутреннего контроля банка.

Для эффективной работы СВК банка необходимо обеспечить особый статус ее сотрудников (контролеров). Контролер должен иметь безусловную возможность доступа ко всей бухгалтерской и прочей документации, к электронным базам данных и к данным на бумаге. При этом режим доступа к информации должен быть таким, чтобы исключалась возможность корректировки данных контролером.

Контролер должен быть независим от деятельности, которую он проверяет. Недопустима зависимость контролера от проверяемой деятельности, обусловленная тем, что он ранее работал в проверяемом подразделении. Недопустимо также наличие менее очевидных связей: работа в настоящее время или в прошлом в проверяемом подразделении родственников, возможность пользоваться какими-либо услугами проверяемого подразделения и др.

Контролер не должен административно зависеть также от исполнительных органов банка. Это очень важный принцип, несоблюдение которого приводит к созданию недееспособной СВК.

Контролер должен обладать полномочиями приостанавливать операции (сделки) банка в случае обнаружения в них грубых нарушений, которые могут привести к убыткам или дополнительным рискам для банка. Это право должно быть зафиксировано в Положении о СВК и внутрибанковских должностных инструкциях.

При проведении административно-правового, управленческого, организационно-управленческого и финансового контроля необходимо постоянно обращать должное внимание на выполнение следующих принципов.

• 1. Деятельность каждого участка банка должна контролироваться путем применения следующих, в частности, стандартных методов:
  • метод "четырех глаз", означающий, что любую значимую операцию проводят два сотрудника банка, один из которых является контролером;
  • нумерации документов, предполагающей, что отчетные документы брошюруются и нумеруются по порядку;
  • ограничения доступа посторонних лиц к документам и ценностям;
  • периодической сверки вычислений, полученных независимым путем.
• 2. Каждая проведенная операция должна оставлять "аудиторский след", что предполагает документальное подтверждение такого факта, т.е. фиксирование в первичных документах, бухгалтерских документах, в проводках, в описательных документах и т.д.
• 3. Контролер должен иметь возможность влиять на ход операции. Инструктивно должно быть закреплено право контролера при известных рисковых обстоятельствах приостанавливать проведение операции (сделки), при этом должны быть четко регламентированы эти самые обстоятельства – условия, наличие которых дает контролеру право и (или) даже обязывает его распорядиться о приостановлении соответствующей операции.
• 4. Для каждой операции должен быть определен порядок ее санкционирования, т.е. следует указывать полномочия конкретных ответственных лиц, которые могут давать разрешение (согласие, распоряжение, указание, приказ) на выполнение операций (группы взаимосвязанных операций).

Аналитический контроль, как уже отмечалось, предполагает выявление отклонений фактических параметров прежде всего финансовой деятельности банка от должных (ожидаемых) и выяснение их причин. Для этого используются финансово-экономические показатели, различные коэффициенты, методики их расчета, а также требуемые (нормативные, плановые) значения указанных показателей и коэффициентов. При этом особые сотрудники банка должны вести регулярный мониторинг значений и динамики данных показателей и коэффициентов и в случае их отклонения от должных значений немедленно сообщать об этом руководителям банка, включая коллегиальные органы управления, имеющие право по своему положению в организации принимать управленческие решения, которые должны будут "ввести" значения таких показателей в необходимые рамки.

СВК обязана выборочно проверять соблюдение указанных должных показателей, имея в виду прежде всего наиболее значимые для банка финансово-экономические показатели (например, правильность начисления резервов под те или иные рисковые активы), а также вести регулярный контрольный мониторинг за тем, как в подразделениях поставлен и ведется аналитический контроль.

Каждый сотрудник СВК в процессе своей работы периодически оказывается в "оппозиции" к сотрудникам проверяемых подразделений. Это неизбежное обстоятельство несет в себе зародыш конфликта, который может вылиться в неприязнь и отторжение коллективом банка сотрудников контролирующих подразделений, что может сильно затруднить проведение контрольных мероприятий и снизить эффективность системы внутреннего контроля в целом. Чтобы этого не произошло, необходимо создание в коллективе банка климата, объединяющего всех, в том числе сотрудников контролирующих служб, вокруг единой цели (целей).

Отдельной функцией СВК является участие в согласовании внутрибанковских нормативных актов и процедур. Данная работа представляет собой фактически предварительный контроль, поскольку в ходе ее определяются, с одной стороны, алгоритмы действий работников, с другой – алгоритмы функционирования контрольных механизмов, призванных предупредить нарушения указанных правил действий работников.

СВК, участвуя в согласовании проектов внутрибанковских нормативных актов и процедур, должна изучать наличие и достаточность этих контрольных механизмов, а затем соответствие описанных в проектах действий работников банка требованиям нормативных актов, т.е. тем самым выполнять уже упомянутые функции (проверять на соответствие и контролировать наличие должного контроля). Понятно, что все согласуемые документы должны проверяться на соответствие нормам законов, правовых актов Банка России, а также международных актов.

Служба внутреннего аудита

Важную роль в системе внутреннего контроля банка может и должен занимать аудит. Аудит банков (внешний) имеет ряд особенностей, которые требуют наличия специализированных аудиторских организаций. Дело в том, что при аудиторских проверках банков и других КО должны рассматриваться самые различные стороны экономической деятельности как самих банков (НКО), так и их клиентов. Это налагает на банковских аудиторов особую ответственность, требует от них особой квалифицированности, объективности и соответственно достоверности конечных выводов.

Практика аудиторских обследований банков показывает, что важным условием успешной деятельности аудиторов является взаимная заинтересованность как проверяемого банка, так и проверяющих лиц в обеспечении достоверности учета и отчетности, в выявлении и устранении причин, мешающих банку достичь более высоких результатов деятельности. Аудитор – лицо, обладающее специальными знаниями, ему должны быть присущи не только высокий профессионализм, но и такие качества, как объективность и честность, умение соблюдать коммерческую тайну, доброжелательность и лояльность по отношению к проверяемым и ряд других черт.

Аудиторы вправе, в частности:

• проверять все бухгалтерские, денежные и другие первичные документы, наличие денег, материальных ценностей и ценных бумаг в кассе, хранилище, у подотчетных лиц, регистры бухгалтерского учета, отчетность, сметы и другие документы по денежным, расчетным (платежным), кредитным и иным операциям банка;
• знакомиться с приказами, распоряжениями правления банка и его председателя, протоколами заседаний совета и правления банка;
• требовать предоставления всех необходимых документов, а также справок, расчетов, копий отдельных документов для приобщения к акту;
• получать устные или письменные объяснения по вопросам, возникающим в ходе проведения аудита;
• осматривать кассовые помещения, кладовые и другие служебные помещения, места и условия хранения ценностей в целях выяснения соответствия их необходимым требованиям.

Что касается обязанностей аудиторов, то они определяются на основе поставленных перед ними задач (в рамках норм законодательства). Основная их обязанность заключается в том, чтобы при выявлении фактов неправильного ведения банковских операций, нарушений установленного порядка бухгалтерского учета, злоупотреблений и т.д. точно определить размер причиненного банку или государству (бюджету) ущерба, выяснить причины вскрытых нарушений, должностных или ответственных лиц, виновных в данных нарушениях. В связи с этим аудитор несет ответственность также за неправильное освещение действительного состояния дел в обследуемом банке, преднамеренное искажение фактов или сокрытие выявленных нарушений или ошибок, допускаемых работниками.

В принципе то же самое относится и к деятельности внутренних аудиторов, хотя их основная задача – в ходе проверок выявлять моменты несоответствия реальной деятельности организации требованиям законодательных и нормативных актов, а также контроль за ходом исправления указанного рода несоответствий. Определенные функции внутренних аудиторов выполняют и ревизорские группы при бухгалтериях крупных банков, подчиненные главному бухгалтеру или финансовому директору, однако функции внутренних аудиторов шире.

Некоторые функции внутреннего аудита называются хозяйственным аудитом. Хозяйственный аудит заключается в систематическом анализе хозяйственной деятельности КО и проводится для определенных целей. Обычно он преследует три цели:

• оценка эффективного управления;
• выявление возможностей улучшения хозяйственной деятельности;
• выработка рекомендаций, касающихся улучшения рыночной деятельности или дальнейших действий в более широком плане.

Внутренний аудит банка – это, по сути, аудит системы внутреннего контроля банка и в этом качестве являет собой часть самой системы внутреннего контроля. Функция аудита системы внутреннего контроля должна быть подотчетна высшему руководству банка в лице совета. Для этого совет (или специальный комитет в его составе) следует своевременно информировать о выявленных недостатках в данной системе и представлять на его рассмотрение рекомендации по совершенствованию ее работы.

Комитет по контролю и аудиту

Для регулярного мониторинга факторов и значений рисков внутри банка целесообразно в рамках корпоративного управления создать комитет по внутреннему контролю и аудиту . Создание такого комитета делает возможным детальное и регулярное рассмотрение и обсуждение проблем, связанных с внутренним контролем и аудитом, и позволяет уделить им необходимое внимание. При этом рекомендуется включать в состав комитета наряду с сотрудниками банка, отвечающими за ключевые направления бизнеса, не работающих в банке специалистов, хорошо разбирающихся в вопросах финансовой отчетности и внутреннего контроля.

Общим результатом функционирования системы внутреннего контроля банка должна являться рациональная организация непрерывного и постоянного контроля его собственно банковской и административно-хозяйственной деятельности, имея в виду разные ее уровни – от рабочего места отдельного сотрудника и от производства отдельного продукта (оказания отдельной услуги) до итоговых параметров деятельности организации в целом.

Контрольные службы: варианты организационного построения

Место, роль и функции контролирующих подразделений банка должны быть определены: в концепции организации внутреннего контроля в банке; в положениях о данных подразделениях; во внутренних регламентирующих документах банка, в которых наряду с описанием порядков работы и взаимодействия между соисполнителями в необходимых случаях указывается порядок контроля за данным направлением работы.

В частности, СВК в банке структурно может быть организована двумя способами. В первом случае она может включать в свой состав подразделения внутреннего контроля, внутреннего аудита, подразделение, занимающееся управлением рисками, а также ряд других аналитических и контролирующих подразделений банка. В этом случае фактически речь идет о многофункциональном департаменте, который должен охватывать различные аспекты деятельности всей организации.

Во втором случае СВК может быть создана как отдельное структурное подразделение в составе банка, взаимодействующее с другими контролирующими подразделениями. При таком варианте СВК должна быть наделена соответствующими полномочиями и правами.

Целесообразно, как это формально и имеет место в большей части российских банков, объединение двух подсистем – контроля и аудита – в единую систему и единую организационную структуру внутреннего контроля, но при условии четкого разделения обязанностей между ними. При таком подходе функции организации и осуществления собственно контроля должны быть поручены подсистеме контроля (СВК в узком понимании этого органа), а оценку ее качества на постоянной основе могла бы вести подсистема внутреннего аудита (далее – СВА). Главная задача СВА при этом – оценка качества (эффективности) системы внутреннего контроля. Для этого данная служба должна быть организована таким образом, чтобы ограничить ее влияние на создание системы внутреннего контроля лишь оценкой ее качества.

Выбор варианта структурной организации зависит в первую очередь от особенностей банка, наличия в нем соответствующих ресурсов, сложившейся практики его деятельности. Однако в обоих случаях цели, функции и методы работы СВК должны быть в главных чертах идентичными и не должны нарушать технологического уклада банка.

Эта статья была написана для специализированного журнала несколько лет назад, однако издание неожиданно закрылось. Текст был скорректирован в соответствии с новыми формулировками международных профессиональных стандартов внутреннего аудита. Предполагается, что он и сегодня не потерял своей актуальности и практического значения относительно вопросов представления результатов внутреннего аудита.

Представление результатов аудита, а проще говоря, написание аудиторского отчета, зачастую превращается в настоящее испытание для внутренних аудиторов. Требования к изложению материала, форматам отчетов, перечню их получателей индивидуальны для каждой компании. Компания сама принимает решение, каким должен быть отчет ее службы внутреннего аудита. Для одной компании в аудиторском отчете достаточно одним предложением указать, что нарушен такой-то внутренний регламент, и виновный будет уволен с работы. Для другой – необходима обоснованная аргументация того, что именно в результате выявленных недостатков контроля компания теряет прибыль, активы, не выполняет планы и т.д.

Итак, исходные данные: две крупные нефтяные компании – публичная американская (назовем ее WorldWideOil, сокращенно WWO) и российская (будем называть ее PetrolUnion, или PU). Обе ведут свою деятельность по всему миру, обе стремятся к росту капитализации и расширению деятельности. Ценные бумаги американской компании котируются на Нью-Йоркской фондовой бирже (NYSE), акции российской – на Лондонской (LSE). В обеих компаниях примерно равные по численности службы внутреннего аудита. Служба внутреннего аудита PU образована в 2002 г. Внутренний аудит WWO значительно старше, однако в том же 2002 г. в результате крупных слияний, которые провела компания WWO, ее служба внутреннего аудита претерпела существенные изменения и фактически была создана заново.

Отчетность о деятельности внутреннего аудита

Международные профессиональные стандарты внутреннего аудита. Стандарт 2060 «Отчетность перед высшим исполнительным руководством и Советом»

Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету .

В идеале считается, что у службы внутреннего аудита должна быть двойная подотчетность: функциональная – совету директоров, точнее, его аудиторскому комитету, и административная – руководителю организации или другому руководителю (финансовому директору, контролеру…), обладающему соответствующим уровнем полномочий для того, чтобы обеспечить повседневную деятельность службы внутреннего аудита. Принято полагать, что подотчетность аудиторскому комитету совета директоров обеспечивает независимость службы внутреннего аудита.

В рассматриваемых компаниях дела обстоят следующим образом.

Административная подотчетность:

WWO: Генеральный аудитор (так называется руководитель службы внутреннего аудита) подотчетен первому вице-президенту по финансам (CFO). То есть все вопросы, касающиеся повседневной деятельности службы внутреннего аудита, решаются через CFO.

PU: Вице-президент (руководитель службы внутреннего аудита) подчинен и подотчетен непосредственно президенту компании.

Функциональная подотчетность:

По этой линии подотчетности службы внутреннего аудита обеих компаний периодически отчитываются перед своими аудиторскими комитетами. Кроме этого, руководитель службы внутреннего аудита PU ежеквартально отчитывается о результатах работы правлению компании.

Обе компании стараются следовать требованиям стандарта 2060. В PU периодичность отчетов аудиторскому комитету не установлена, носит произвольный характер, полностью зависит от плана работы комитета, где указано количество и сроки рассмотрения вопросов, касающихся внутреннего аудита. Специальная типовая форма отчета не разработана. Отчеты содержат общую информацию о характере выявленных недостатков, включая существенные риски и проблемы контроля, а также информацию о количестве проведенных проверок.

Генеральный аудитор WWO в течение года отчитывается перед аудиторским комитетом регулярно: 5-6 раз в течение года представляются отчеты о ходе выполнения годового плана (в виде схемы – status report) и один раз – отчет о работе службы внутреннего аудита за год (в виде доклада).

Отчет о работе службы внутреннего аудита за год содержит информацию:

• о стратегии и целях в области работы с персоналом службы внутреннего аудита;
• квалификации персонала;
• результатах оценки качества внутреннего аудита;
• бюджете внутреннего аудита;
• выполнении службой внутреннего аудита ключевых показателей деятельности и метрик;
• процессе годового планирования аудита;
• выполнении плана аудита текущего года;
• обновлении стратегии внутреннего аудита;
• обосновании плана на следующий год.

Отчеты о ходе выполнении годового плана аудита представляются по форме, установленной службой внутреннего аудита и согласованной с аудиторским комитетом. Они содержат информацию:

• о проведенных аудитах;
• об оценке внутреннего контроля;
• о планах менеджмента по устранению недостатков, а также о ходе выполнения этих планов.

Схематично это выглядит следующим образом:

Статус предусматривает три состояния: выполнено, выполняется, дата выполнения просрочена. В отчете эти состояния отражаются цветами «светофора», соответственно: зелеными, желтыми и красными точками.

Информация для отчетов о ходе выполнения годового плана аудита собирается из отчетов по результатам выполнения конкретных аудиторских заданий. Информация показывается объективная, но при этом «дозируется». Что это значит? Это означает, что не следует ставить в неловкое положение всех участников процесса, включая членов совета директоров; информация о недостатках не раздувается до размера «вселенской катастрофы» (как, например, любит делать современное российское телевидение), негатив не нагнетается. Все по-деловому: обнаружено то-то, планируем сделать для улучшения то-то, уже сделано то-то или не сделано то-то.

Можно вспомнить случай, как однажды руководителю службы внутреннего аудита PetrolUnion подчиненные подготовили отчет аудиторскому комитету по форме, в которой обычно делается доклад на заседании правления: хлесткие фразы о творящихся безобразиях, предрекание последствий гипертрофированных размеров – словом, картина настоящего Апокалипсиса.

Не обойтись без пояснения.

Одно дело информацию в таком виде доводить до членов правления (исполнительного органа компании), которые обязаны адекватно реагировать на сигналы внутреннего аудита, и поэтому, «чем страшнее будет повесть, тем спокойней аудиторская совесть», и другое – до членов аудиторского комитета, которые призваны осуществлять надзорные, но никак не административные функции.

Отчетность по результатам проверки: форма, содержание, сроки, получатели

Группа стандартов 2400-2440 «Информирование о результатах».

Внутренние аудиторы должны сообщать результаты выполненных заданий.

Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

Сообщения должны быть точными, ясными, объективными, ясными, конструктивными, краткими и своевременными.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих сторон.

Типовая форма аудиторского отчета компании WWO менялась на определенных этапах развития функции внутреннего аудита. Сейчас она определена корпоративным регламентом внутреннего аудита и аудиторский отчет выглядит следующим образом:

Рис. 1. Аудиторский отчет нефтегазодобывающей дочерней компании WorldWideOil

Фактически, отчет представляет собой заключение внутреннего аудита WWO о состоянии системы внутреннего контроля тех областей деятельности предприятия или структурного подразделения, которые подверглись проверке. Выводы излагаются кратко.

Непосредственно аудиторский отчет занимает, как правило, одну страницу. В состав аудиторского отчета в обязательном порядке включаются три приложения:

А. Оценка контроля в каждой области особого внимания (см. рис. 2);
В. Перечень недостатков контроля, выявленных в результате аудита;
С. Описание недостатков контроля и план действий менеджмента по их устранению (см. рис. 3).

Рис. 2. Приложение А к аудиторскому отчету нефтегазодобывающей дочерней компании WWO

Пояснение к рис. 2 (приложение А). Внутренний аудит WWO применяет четыре оценки контроля: положительные – эффективный, надежный; отрицательные – нуждающийся в улучшении, слабый. Для каждой оценки определены соответствующие критерии. Например, оценке «надежный» соответствует уровень контроля, которым может быть обеспечена защита от материальных потерь, искажений и ошибок, несоответствия политикам компании. При этом контролю может быть присвоена высшая положительная оценка, даже если аудиторским тестированием в нем выявлены определенные недостатки, но только при условии, что эти изъяны не приводят к искажению отчетности и не нарушают безопасности используемых информационных систем.

Как «слабый» оценивается контроль, недостатки которого существенны: важные контрольные процедуры игнорируются, не выполняются или вообще не определены менеджментом объекты аудита, что приводит к высоким рискам финансовых потерь, утечке конфиденциальной информации, неисполнению политик компании.

Приложение B фактически представляет собой содержание приложения С, т.е. в нем просто по порядку перечисляются все выявленные недостатки контроля.

Рис. 3. Приложение С к аудиторскому отчету нефтегазодобывающей дочерней компании WWO.

Приложение С. При изложении недостатков контроля внутренние аудиторы руководствуются регламентом Внутреннего аудита WWO, в соответствии с которым описание «слабых мест» должно быть кратким и точным (как правило, 2-3 предложения на каждый пример). Несущественные замечания в отчет не включаются. Обязательно указывается, какие контрольные процедуры должны осуществляться, к каким рискам приводят выявленные недочеты, какие конкретно стандарты внутреннего контроля WWO и положения других локальных нормативных актов компании не исполнены. Проект аудиторского отчета готовит руководитель аудиторской (рабочей) группы (Lead Auditor, Auditor In-Charge). Срок – к последнему дню проверки «в поле», к проведению заключительной конференции с объектом аудита. Проект отчета направляется руководству объекта аудита для окончательного согласования и включения в приложение С Плана действий менеджмента по устранению недостатков (Action Plan), в котором менеджеры излагают мероприятия для исправления ситуации. Эта часть аудиторского отчета также должна быть четко сформулирована. В ней указываются ответственные лица за исполнение и сроки устранения недостатков. Выполнение Плана контролируется службой внутреннего аудита, в том числе в ходе последующих проверок.

В связи с тем что информация о мероприятиях по устранению недостатков согласована с менеджментом объекта аудита и включена в аудиторский отчет, никакие распорядительные документы по результатам аудита (приказы, указания, в том числе корпоративного уровня) не издаются.

Срок подготовки окончательного варианта аудиторского отчета в WWO – один из показателей (метрик) оценки работы службы внутреннего аудита. Цель – 14 дней, фактически же окончательные варианты отчетов готовы в среднем через десять дней после завершения проверки!

Аудиторский отчет может формироваться с использованием специальной компьютерной программы (например, TeamMate), которая позволяет автоматически группировать замечания аудиторов в форму аудиторского отчета. Но на практике формулировки замечаний, их состав во многом определяет менеджер внутреннего аудита по направлению деятельности компании, основываясь на результатах совещаний и мнении всех участников аудиторской группы. Замечания, не попавшие в отчет, вносятся в меморандум обсуждения аудита, который также рассматривается на заключительной конференции с менеджерами объекта проверки. Все недостатки, отмеченные как в аудиторском отчете, так и в меморандуме, подлежат безусловному устранению.

Регламентом внутреннего аудита WWO определен перечень получателей аудиторских отчетов. Таковыми являются:

• менеджеры внутреннего аудита (по направлению деятельности);
• генеральный аудитор;
• первый вице-президент по финансам (CFO);
• вице-президент по контроллингу/главный бухгалтер;
• исполнительный вице-президент по направлению деятельности;
• внешний аудитор.

По решению руководителя аудиторской группы в рассылку могут быть включены также менеджеры всех уровней, включая вице-президентов и исполнительных вице-президентов с соответствующими функциональными обязанностями (финансы, информационные технологии, материально-техническое обеспечение и т.д.).

Первому руководителю WWO направляются отчеты только тех аудитов, по результатам которых контроль оценен как «слабый»! Перед этим они в обязательном порядке рассматриваются генеральным аудитором.

В остальных случаях ответственность за качество отчета лежит на менеджерах службы внутреннего аудита.

PU: В PU так же, как и в WWO, разработаны регламенты внутреннего аудита. Это и корпоративные стандарты внутреннего аудита, и стандарты (на уровне методик) проведения проверок по направлениям деятельности (бизнес-сегментам), в которых содержатся в том числе и требования к формированию аудиторского отчета. Так, например, согласно корпоративному стандарту изложение результатов аудиторского задания должно включать наблюдения, выводы (мнение), рекомендации и план действий. Наблюдения должны представлять факты, имеющие отношение к аудиторскому заданию. Наблюдения, необходимые для пояснения (предупреждения неверного понимания) выводов и рекомендаций внутренних аудиторов, должны быть включены в окончательное представление результатов аудиторского задания.

Аудиторские отчеты PU очень объемны, имеют массу приложений, по существу документируют ход выполнения аудиторского задания. Их и читать-то нелегко, а уж писать!..

Сложность заключается еще и в том, что служба внутреннего аудита PU включает в отчет рекомендации по устранению недостатков, в том числе и топ-менеджерам компании. Эти рекомендации оформляются распорядительными документами (приказами, указаниями), которые требуют прохождения процедуры согласования внутри компании и оказывают существенное влияние на продолжительность процесса подготовки окончательного отчета.

Понятны и требования, предъявляемые руководителем службы внутреннего аудита PU к качеству аудиторских отчетов: читать их будет президент! По сути, каждый отчет – «лицо» службы. (Очень ответственно.)

В условиях, когда любая служба внутреннего аудита объективно не может на все 100% быть укомплектована высококвалифицированными специалистами, качество аудиторского отчета попадает в прямую зависимость от количества времени, затраченного на его написание. Говорить о 10 днях на отчет не приходится! Порой процесс затягивается на несколько месяцев, и теряется одно из главных качеств аудиторского отчета – его своевременность.

Однако стоит ли кивать на PetrolUnion, когда подобное положение еще совсем недавно было свойственно службам внутреннего аудита очень крупных международных компаний.

Направляются все аудиторские отчеты президенту компании, так как руководитель службы внутреннего аудита подчинен и подотчетен непосредственно ему. После рассмотрения президент принимает решение о рассылке аудиторского отчета, т.е. определяет круг лиц, которым сообщаются результаты аудиторского задания.

Какой вариант представления отчета лучше? Решать придется самостоятельно. Статистика же такова: имея приблизительно равное количество объектов в аудиторской базе (свыше 500 у каждой компании), служба внутреннего аудита WorldWideOil проводит около 120 аудиторских проверок в год, внутреннего аудита PetrolUnion – чуть больше тридцати. И срок подготовки окончательного варианта аудиторского отчета, конечно, не единственный, но очень важный фактор для объяснения такой разницы. Казалось бы, вывод очевиден – срочно менять порядок представления результатов аудита, упростить структуру отчета и не направлять его первому лицу компании (или направлять только в исключительных случаях). Но здесь стоит задуматься об одном щепетильном моменте.

Представим себе работу внутреннего аудита в условиях более или менее отлаженной работы системы внутреннего контроля, риск-менеджмента, корпоративного управления. Это когда замечания в аудиторском отчете могут звучать примерно так: «не представлено подтверждения того, что сверка счетов за март проводилась в установленном порядке». На самом деле для системы внутреннего контроля это серьезное нарушение, и менеджеры разного уровня это прекрасно понимают. И к виновному будут приняты самые строгие меры. Но это же… момент рабочий. С такими замечаниями на самый верх идти неудобно. И что получается? Работа отлажена лучше некуда, но это не оценивается по достоинству, так как встречи с высшим руководством крайне редки, и, как говорится, со временем происходит « выпадение из обоймы». Поэтому парадокс: чем лучше результаты работы, чем четче работает весь механизм, тем уязвимее со временем позиция, а это и потеря авторитета, и далеко идущие выводы.

Порой, по-видимому, так и происходит на самом деле. Правда, это не касается вышеназванных компаний.

И в завершение. Теоретически процессы формирования и представления результатов выполненного аудиторского задания в компаниях PetrolUnion и WorldWideOil не имеют принципиальных различий, так как внутренний аудит и в той и в другой компании соответствует Международным профессиональным стандартам. Практически же эти различия существенны. Причина кроется в разных задачах, стоящих перед службами внутреннего аудита на сегодняшнем этапе развития компаний.

Первостепенная задача внутреннего аудита компании PetrolUnion – создание современной системы корпоративного управления посредством рекомендаций (в том числе топ-менеджменту), разрабатываемых по результатам аудиторских проверок, и систематического контроля их исполнения.

В WorldWideOil ситуация следующая. Развитию корпоративного управления компании, формализации процессов риск-менеджмента, внутреннего контроля поспособствовала внешняя среда (и в первую очередь – рынок ценных бумаг). Каким образом? Прежде всего, наличием соответствующего законодательства. Внутренний аудит сегодня, в основном, осуществляет проверку соответствия контрольных действий менеджеров и исполнителей принятым регламентам, что вполне соответствует требованиям Закона Сарбейнса-Оксли. В таких условиях проще стандартизировать и аудиторский процесс, и процесс представления результатов аудита. Рекомендаций по результатам проверки внутренний аудит WWO не дает. Соответствие Международному стандарту 2130 достигается путем оказания дочерним предприятиям и структурным подразделениям консультационных услуг, т.е. проведения анализа с целью выработки рекомендаций. Однако количество таких проектов в год очень незначительно, и вот уже сами аудиторы WorldWideOil жалуются на снижение эффективности, на невозможность в связи с нехваткой времени больше внимания уделять выявлению новых рисков и подготовке рекомендаций, направленных на повышение эффективности компании.

Очевидно, единого рецепта нет, но есть главный принцип: не останавливаться на достигнутом, постоянно стремиться к совершенствованию и улучшению методов и процессов.

Внутренний контроль и аудит группы ВТБ функционирует на основе лучших мировых практик и полностью соответствует как требованиям российского законодательства, так и законодательным и нормативным актам стран присутствия Группы. Порядок взаимодействия и подчиненности элементов системы внутреннего контроля обеспечивает необходимый уровень их независимости, что позволяет всей системе функционировать максимально эффективно.

Система внутреннего контроля группы ВТБ обеспечивает:

• эффективность и результативность деятельности Банка и группы ВТБ;
• эффективность управления активами и пассивами (включая сохранность активов) и управления рисками;
• достоверность, полноту и своевременность предоставления финансовой и управленческой информации и отчетности;
• информационную безопасность;
• соблюдение требований законодательства, нормативных актов, правил и стандартов;
• исключение вовлечения группы ВТБ и ее сотрудников в противоправную деятельность.

При Управляющем комитете группы ВТБ работает координационная Комиссия по внутреннему контролю и аудиту, обеспечивающая эффективное функционирование системы внутреннего контроля и аудита в Группе, а также практическое взаимодействие соответствующих профильных специалистов.

Основными задачами внутреннего контроля и аудита группы ВТБ являются:

• независимая оценка эффективности систем внутреннего контроля, управления рисками, бухгалтерского учета и отчетности, бизнес- процессов, деятельности подразделений и сотрудников, а также оценка экономической целесообразности и эффективности совершаемых операций и сделок;
• проверка надежности внутреннего контроля за использованием автоматизированных информационных систем, а также проверка применяемых способов обеспечения сохранности имущества;
• мониторинг основных областей рисков и контрольных механизмов в целях выявления недостатков системы внутреннего контроля, новых рисков, а также создания механизмов превентивного контроля для предупреждения рисковых событий;
• выработка рекомендаций по совершенствованию и повышению эффективности функционирования систем, процессов, процедур, сделок и деятельности подразделений и сотрудников Группы;
• организация эффективного взаимодействия с внешними контролирующими органами и внешними аудиторами.

Внутренний контроль и аудит банка ВТБ

В соответствии с Уставом банка ВТБ, в систему органов внутреннего контроля Банка включаются:

• органы управления Банка (Общее собрание акционеров, Наблюдательный совет, Правление, единоличный исполнительный орган Банка – Президент – Председатель Правления);
• Ревизионная комиссия;
• главный бухгалтер (его заместители);
• руководители филиалов (их заместители) и главные бухгалтера филиалов (их заместители);
• структурные подразделения (ответственные работники) Банка, осуществляющие внутренний контроль.

Комитет по аудиту

Ответственность за надлежащее функционирование системы внутреннего контроля несет Наблюдательный совет банка ВТБ. Для полномасштабного анализа и поддержания эффективной системы внутреннего контроля в структуре Наблюдательного совета действует Комитет по аудиту.

Более подробная информация о составе Комитета по аудиту и его деятельности содержится в разделе «Наблюдательный совет».

Ревизионная комиссия

Контроль за финансово-хозяйственной деятельностью банка ВТБ осуществляет Ревизионная комиссия. Ревизионная комиссия проверяет соблюдение Банком законодательных и других актов, регулирующих его деятельность, постановку внутрибанковского контроля, законность совершаемых Банком операций (сплошной или выборочной проверкой). Ревизионная комиссия избирается на годовом Общем собрании акционеров Банка, которое определяет ее численность и состав на период до следующего годового Общего собрания акционеров.

В соответствии с решением годового Общего собрания акционеров Банка, состоявшегося 19 июня 2014 года, в состав Ревизионной комиссии впервые вошел представитель миноритарных акционеров ВТБ. Акционеры избрали следующий состав Ревизионной комиссии:

• Платонов Сергей Ревазович – Председатель Ревизионной комиссии, заместитель директора Департамента финансовой политики Министерства финансов Российской Федерации;
• Волков Леонид Валерьевич – полномочный представитель Чувашской Республики при Президенте Российской Федерации, член Консультационного совета акционеров Банка (представитель миноритарных акционеров Банка);
• Гонтмахер Евгений Шлeмович – заместитель директора Института мировой экономики и международных отношений Российской академии наук, заместитель директора Фонда Кудрина по поддержке гражданских инициатив, член Правления Института современного развития;
• Кант Мандал Дэнис Ришиевич – начальник отдела по приватизации организаций регулируемых отраслей Управления имущественных отношений и приватизации крупнейших организаций Федерального агентства по управлению государственным имуществом;
• Краснов Михаил Петрович – директор Компании «ВЕРИСЕЛ С. А.» (Швейцария), член Совета директоров ОАО «Российская самолетостроительная корпорация МиГ»;
• Сабанцев Захар Борисович – начальник отдела мониторинга банковского сектора, сводной и аналитической работы Департамента финансовой политики Министерства финансов Российской Федерации.

В связи с избранием нового состава Ревизионной комиссии годовым Общим собранием акционеров из состава Ревизионной комиссии в июне 2014 года вышли:

• Костина Марина Александровна – заместитель начальника Управления отраслевых организаций и зарубежной собственности Федерального агентства по управлению государственным имуществом;
• Миронов Алексей Борисович – член Совета директоров ОАО «Корпорация «Росхимзащита», генеральный директор ООО «ЫЪ»;
• Тихонов Никита Вадимович – начальник отдела Департамента финансовой политики Министерства финансов Российской Федерации;
• Турухина Мария Александровна – начальник отдела финансово-кредитных организаций, нефтяной, газовой, топливно-энергетической, угольной промышленности и природных ресурсов Управления отраслевых организаций и зарубежной собственности Федерального агентства по управлению государственным имуществом;
• Филиппова Ольга Юрьевна – член Ревизионной комиссии.

В 2014 году вознаграждение членам Ревизионной комиссии Банка не выплачивалось.

С информацией о Ревизионной комиссии Банка более подробно можно ознакомиться на сайте банка ВТБ по адресу: http://www.vtb.ru/ir/governance/control/revission_commition/ .

Департамент внутреннего аудита

Для оказания содействия органам управления в обеспечении эффективной работы группы ВТБ в Банке действует Департамент внутреннего аудита (ДВА). ДВА осуществляет мониторинг системы внутреннего контроля, аудиторские проверки, а также предоставляет независимые рекомендации по совершенствованию банковской деятельности и контрольных процедур.

ДВА является самостоятельным структурным подразделением банка ВТБ и напрямую подотчетен Наблюдательному совету. Наблюдательный совет утверждает планы работы ДВА, контролирует их исполнение, рассматривает отчеты ДВА о результатах аудиторских проверок и мониторинга системы внутреннего контроля, а также о выполнении рекомендаций ДВА по устранению выявленных недостатков.

В структуру ДВА входят подразделения, ответственные за текущий мониторинг, координацию систем внутреннего контроля в Группе, аудиторские проверки. В целях повышения эффективности мониторинга системы внутреннего контроля в региональной сети Банка часть сотрудников ДВА работают на постоянной основе в территориальных подразделениях ВТБ.

К компетенции Департамента внутреннего аудита относятся:

• проверка и оценка эффективности системы внутреннего контроля;
• проверка эффективности системы управления банковскими рисками;
• проверка достоверности, полноты, объективности и своевременности бухгалтерского учета и управленческой отчетности;
• проверка соблюдения требований законодательства Российской Федерации, актов регулирующих и надзорных органов;
• проверка адекватности и надежности системы внутреннего контроля за использованием автоматизированных информационных систем;
• обеспечение единства подходов к организации внутреннего контроля в группе ВТБ.

ДВА взаимодействует с Комитетом по аудиту и внешними аудиторами Банка в части предоставления информации о системе внутреннего контроля, а также основных недостатках, выявленных Департаментом в течение проверяемого аудиторами периода.

Комплаенс-контроль

Основными целями функционирования системы комплаенс-контроля группы ВТБ являются:

• соответствие деятельности компаний Группы законодательству страны регистрации, внутренним документам компаний, стандартам саморегулируемых организаций, обычаям делового оборота деятельности;
• эффективность управления регуляторными (комплаенс) рисками;
• создание и поддержание эффективной системы управленческой информации и отчетности;
• исключение вовлечения группы ВТБ и участия ее сотрудников в противоправной деятельности, в том числе коррупционных проявлений, неправомерного использования инсайдерской информации и манипулирования рынком;
• сохранение высокой репутации группы ВТБ и повышение ее инвестиционной привлекательности на финансовом рынке.

Функциональным координатором по направлению комплаенс для компаний группы ВТБ является Управление комплаенс-контроля банка ВТБ.

При Управляющем комитете группы ВТБ создана и функционирует Координационная комиссия по комплаенс и внутреннему контролю в целях противодействия легализации преступных доходов и финансированию терроризма, на заседаниях которой рассматриваются в том числе вопросы, относящиеся к компетенции комплаенс компаний Группы.

В 2014 году Координационной комиссией было проведено два очных и пять заочных заседаний по комплаенс и внутреннему контролю в целях противодействия легализации преступных доходов и финансированию терроризма, а также две стажировки и три круглых стола с участием представителей компаний группы ВТБ.

Основные требования к организации системы комплаенс, стандарты и принципы ее функционирования в группе ВТБ, распределение полномочий и зон ответственности закреплены во внутренних документах Группы. В 2014 году в группе ВТБ в целях отражения новых требований Банка России, предъявляемых к внутреннему (комплаенс) контролю, были обновлены следующие документы по направлению комплаенс:

• Концепция консолидированного управления функцией комплаенс группы ВТБ;
• Регламент взаимодействия компаний группы ВТБ по функциональному направлению комплаенс.

Внешний аудитор

Для проведения проверки и подтверждения достоверности годовой финансовой отчетности банк ВТБ привлекает независимую профессиональную аудиторскую организацию – внешнего аудитора.

В соответствии с действующим законодательством выбор аудитора осуществляется на основании открытого конкурса. Порядок проведения конкурса регламентируется Федеральным законом от 05.04.2013 No 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

В рамках подготовки проведения конкурса в банке ВТБ разрабатывается конкурсная документация. Рассмотрение конкурсной документации и размера начальной цены контракта на оказание аудиторских услуг осуществляется Комитетом по аудиту Наблюдательного совета. Открытый конкурс по отбору аудитора проводится Конкурсной комиссией Банка.

В ходе проведения конкурса члены комиссии рассматривают заявки, полученные от участников конкурса. На основании указанных в конкурсной документации критериев заявки сопоставляются и определяется участник, предложивший наилучшие финансовые и технические условия. Выбранная по итогам конкурса аудиторская организация рекомендуется Наблюдательным советом для утверждение годовым Общим собранием акционеров.

По итогам проверки финансово-хозяйственной деятельности банка ВТБ внешний аудитор готовит заключение, которое передается Комитету по аудиту для предварительной оценки. Подготовленное аудиторское заключение направляется Наблюдательному совету, а также представляется на годовом Общем собрании акционеров Банка.

В 2014 году внешним аудитором банка ВТБ было утверждено ООО «Эрнст энд Янг» – российское дочернее общество одной из ведущих мировых аудиторских фирм, компании EY.

Российские дочерние компании EY являются аудитором банка ВТБ с 2003 года. Компания не имеет иных имущественных интересов в банке ВТБ, кроме оплаты аудиторских услуг, не имеет отношений аффилированности с Банком, членами органов его управления и дочерними компаниями ВТБ.

Противодействие легализации преступных доходов

Группа ВТБ придает большое значение деятельности по противодействию легализации доходов, полученных преступным путем, и финансированию терроризма.

В рамках координации деятельности компаний Группы в этой сфере банк ВТБ разрабатывает единые общегрупповые стандарты финансового мониторинга и обеспечивает их соблюдение дочерними компаниями. Постоянная коммуникация и обмен информацией между профильными подразделениями компаний Группы позволяет эффективно управлять рисками отмывания доходов и финансирования терроризма на системной основе.

Уделяя большое внимание качеству клиентской базы, банк ВТБ и его дочерние компании реализуют все необходимые процедуры в рамках программы идентификации и изучения клиентов, а также проводят системную работу с банками- корреспондентами.

Проекты всех внутренних нормативных документов, определяющих порядок предоставления банковских продуктов и услуг, проходят обязательную экспертизу на предмет возможности использования соответствующего продукта (услуги) для проведения операций по отмыванию преступных доходов. В случае необходимости предпринимаются меры по минимизации потенциальных рисков.

В отчетном периоде группа ВТБ обеспечила эффективное управление рисками вовлечения в процесс отмывания денег и финансирования терроризма.