Abstract: This scientific work reflects the essence and relevance of the risk-based approach in the framework of the formation of an internal audit system. Related concepts are revealed – risk, risk owner, etc. The main advantages and disadvantages of this approach are analyzed. The key risk factors within the framework of the companies' activities are considered. The main stages within the framework of the processes for conducting an assessment of existing risks are described. The areas of automation and robotization are described in detail, which will maximize the productivity and effectiveness of the audit procedures carried out. The methods of automation of internal audit processes that are relevant in modern conditions are given, as well as examples of the most common software products.
Keywords: internal audit, planning, risk factors, control tests, outsourcing, automation, robotics, management solutions.
В условиях функционирования современного рынка, исходя из высокого уровня конкуренции, трансформации форм потребительского спроса, разнообразных экономических потрясений и т.д., становится отчетливо видно, что деятельность любого предприятия подвержена влиянию множества различных факторов риска. Одни из них способны спровоцировать реализацию конкретного риска самостоятельно, другие — только в комбинации с другими факторами. Так или иначе, все они оказывают серьезное влияние на эффективность функционирования процессов внутри предприятия.
Принимая во внимание тот факт, что система процессов всегда формируется для выполнения поставленных задач, важнейшее значение в ходе функционирования организаций уделяется обеспечению достижения ключевой цели любой коммерческой компании – увеличению ее стоимости. Исходя из этого, для обеспечения уверенности в данных, необходимых для принятия действительно эффективных управленческих решений, одна из первостепенных ролей отводится службе внутреннего аудита, ее верной организации и деятельности. Это обусловлено тем фактом, что компании нуждаются в формировании системы контроля, которая будет нацелена на создание таких условий деятельности, в которых будет невозможно или максимально затруднено мошенничество со стороны персонала и управляющих. Также, в существующих обстоятельствах, предприятиям необходимо направить усилия на выявление резервов улучшения финансового состояния и сфокусироваться на определении перспективных направлений развития. Данный факт обуславливает актуальность рассматриваемой тематики и свидетельствует о ключевой роли процессов внутреннего аудита, требующих постоянного совершенствования.
Анализируя факторы риска в привязке к процессам, в которых они зарождаются и/или на которые они влияют, внутренний аудитор может сформировать оптимальную тематику своей работы. В этом и заключается суть риск-ориентированного подхода к внутреннему аудиту – понять, что в первую очередь мешает предприятию достичь цели, и найти наилучший способ нивелирования негативного воздействия.
В научной литературе анализу феномена риска посвящено довольно большое количество исследований, обобщая которые становится возможно зафиксировать ключевые для данной темы понятия:
— Риск — событие, которое может произойти в будущем с определенной вероятностью и нанести определенный ущерб.
— Владелец риска — владелец процесса, наиболее заинтересованный в управлении выбранным риском.
— Фактор риска — результат какого-либо действия либо бездействия, который увеличивает вероятность и усиливает негативный эффект последующего и взаимосвязанного негативного события [4].
Система внутреннего аудита, ориентированная на риск, содействует их снижению и минимизации затрат в целях повышения эффективности деятельности организации. В свою очередь, применяемые процедуры внутреннего контроля должны постоянно адаптироваться к трансформации рисков. При этом ключевыми и фактически неизменными среди них являются:
— определение проверяемых объектов — анализируется потенциал, методы, показатели и т.д.;
— определение факторов риска – применяется факторный анализ, экспертный анализ и др.;
— методология определения уровня риска по проверяемым объектам – ведется сбор информации о неблагоприятных событиях, способных оказать влияние на деятельность организации в будущем;
— разработка документов, включающих методологию оценки и управления рисками для целей системы внутреннего контроля [6].
Вместе с тем, основными преимущества риск-ориентированного подхода выступают:
— основан на принципах осуществления контроля за организацией
— способствует формированию системного подхода к качеству управления риском
— позволяет дать оценку возможного риска организации
— базируется на статистических данных предприятия
— предусматривает контроль за эффективностью применяемых мер, а также факторов, основанных на повышенном риске
— позволяет выявить риски, имеющие высокую степень роста, что позволяет уделить им повышенное внимание
— адаптирован к практической деятельности организации, осуществлению контроля [9].
При этом в ходе разработки процедур подобной системы для снижения вероятности реализации рисков профессиональной деятельности внутренние аудиторы должны учитывать оценки неотъемлемого риска и риска средства контроля, для того, чтобы выявить риск необнаружения.
Неотъемлемый риск представляет собой вероятность того, что какое-либо событие может оказать неблагоприятное влияние на объект изучения аудитором, т.е. это то, что никак не зависит от аудитора и от внешних факторов. К примеру, увольнение главного бухгалтера или некомпетентность сотрудников, влияние конкурентов и т.д. Все факторы риска подлежат изучению и взвешенной оценке на предмет относительной значимости.
Проводится оценка неотъемлемого риска внутренним аудитором в два этапа:
1) составление общего плана и программы задания – главная цель на этом этапе заключается в ознакомлении с системой бухгалтерского и/или управленческого учета для определения необходимых параметров выборки при проведении выборочных процедур;
2) выполнение задания внутреннего аудита – осуществляется для корректировки величины риска необнаружения и параметров выборки.
Уровень риска данного вида напрямую связан с процедурами внутреннего аудита. Международные профессиональные стандарты в этой сфере устанавливают, что внутренние аудиторы имеют право на ошибки, но должны прилагать возможные усилия для минимизации их количества [1].
Под риском средств контроля воспринимается вероятность того, что своевременно не будет выявлено и исправлено какое-либо серьезное нарушение. Подобная оценка является важнейшей задачей службы внутреннего аудита и контроля и должна проводиться в три этапа:
1) предварительное планирование — необходимо получить понимание систем бухгалтерского и/или управленческого учета, внутреннего контроля объекта;
2) составление общего плана и программы — проводится предварительная оценка риска соответствующего вида, представляющая собой процесс определения эффективности учетных систем и внутреннего контроля объекта проверки с точки зрения предотвращения или обнаружения и исправления существующих искажений;
3) выполнение задания внутреннего аудита — проводится фактическая оценка риска на основе тестов средств контроля, содержание которых выбирается внутренним аудиторов в зависимости от специфики деятельности объекта задания [8].
Тесты контроля выполняются с целью получения внутренним аудитором доказательств относительно действенности структуры учетных систем и внутреннего контроля, а также работоспособности таких средств в течение определенного периода.
Составляющими подобных тестов являются:
— инспектирование (проверка документов, подтверждающие совершенные операции);
— запросы информации у внутренних или внешних источников;
— наблюдение за применением средств внутреннего контроля (СВК);
— повторное применение СВК (утверждение правильности выполнения действий).
Основываясь на результатах проведенных тестов средств контроля, внутренний аудитор должен сделать вывод, подтверждается или нет его предварительная оценка внутреннего контроля после проведения подобных процедур, а его вывод должен быть отражен в рабочей документации.
В рамках реальной практической деятельности предприятий бывают случаи, в которых необходим пересмотр первоначальной оценки уровня средств внутреннего контроля. Для этого внутренний аудитор должен изменить календарный график, форму и формат процедур, запланированных для внутренней аудиторской проверки [2].
Уточненные в ходе проверки объекта риски средств контроля необходимо использовать и при будущем планировании проверки данного объекта. При этом важно принимать во внимание тот факт, что неотъемлемый риск и риск средств внутреннего контроля взаимосвязаны.
Оценка неотъемлемого риска вместе с оценкой риска средств контроля оказывает воздействие на характер, календарный график и объем процедур внутреннего аудита, которые проводятся с целью снижения риска необнаружения до приемлемо низкого уровня. Но даже если внутреннему аудитору придется проверить все сальдо бухгалтерских счетов или хозяйственных операций объекта задания внутреннего аудита, определенный риск необнаружения всегда будет присутствовать, так как будет зависеть от квалификации и опыта работы сотрудников службы внутреннего аудита и контроля.
В обозначенных условиях, необходимо учитывать тот факт, что внутренний аудит, представляя собой сложную и требующую высокой квалификации исполнителей деятельность по предоставлению учредителям взвешенных и беспристрастных гарантий и консультаций, направленных на рост эффективности бизнеса, требует от аудиторов оперативного анализа больших массивов информации, навыков работы в разных средах внесения и обработки данных. При ручном осуществлении проверок и необходимых тестирований возрастает риск непреднамеренной ошибки. Кроме того, ручная оценка рисков и последствий преднамеренных нарушений может искажать итоговый результат из-за ситуаций влияния и зависимости.
Исходя из этого, на сегодняшний день чрезвычайно важной задачей в рамках проведения подобных оценочных процедур становится автоматизация функций и процессов внутреннего аудита, что обеспечит заказчикам следующие преимущества:
— прозрачность и возможность контроля проводимых проверок и повышение их качества;
— рост степени доверия к информации, которая получена в результате работы системы внутреннего аудита;
— лаконичность и наглядность бизнес-процессов;
— скорость и высокое качество подготовки отчетов;
— повышение эффективности применения человеческих ресурсов;
— открытость процесса работы служб внутреннего аудита [3].
Наряду с этим, автоматизация процессов внутреннего аудита в конечном итоге позволяет сократить затраты на осуществление этой функции, так как сокращается объём технических процедур, выполняемых высокооплачиваемыми сотрудниками данной службы.
Однако с сожалением можно отметить, что из-за отсутствия единой методологической базы и общих стандартов внутреннего аудита его невозможно автоматизировать полностью. Дополнительной сложностью является большой объём и скорость изменения нормативной базы. Для автоматизации этого процесса необходимы алгоритмы машинного обучения, которые будут распознавать не только факты произошедших в нормативных документах изменений, но и осознавать их суть, что на данный момент не представляется реализуемым в полной и достаточной мере на существующем уровне развития программ и алгоритмов. Также нет возможности оцифровать и автоматизировать профессиональное мнение и квалификацию внутреннего аудитора, знакомого с внутренними процессами конкретной компании.
В таких условиях целью автоматизации в сфере внутреннего аудита становится не полный отказ от участия человека, а передача на машинную обработку наиболее трудоёмких, но технических, рутинных и поддающихся алгоритмизации и переложению на программные языки процессов. Таким образом время и усилия сотрудников могут быть направлены на решение сложных задач, требующих участия человека, что значительно повышает эффективность использования человеческих ресурсов службы.
Говоря об автоматизации процессов внутреннего аудита, необходимо разделить понятия автоматизации и роботизации, которые отчасти являются схожими, но всё же содержат ряд существенных отличий.
Автоматизация в общем понимании — это реализация рабочих процедур и действий без участия человека. В этом случае роботизация — направление автоматизации, произведённое с применением программного обеспечения, имеющего доступ через стандартный интерфейс пользователя. То есть использование универсального программного обеспечения означает роботизацию, более узкое понятие.
Роботизация процессов внутреннего аудита — это инновационная технология, которая увеличивает эффективность работы подразделения [10]. Созданные программистами «роботы» предназначены для исполнения шаблонных повторяющихся операций, тем самым сокращая время и затраты на их выполнение, повышая надёжность системы от непреднамеренных искажений и снижая вероятность ошибок, связанных с мошенничеством.
В рамках деятельности служб внутреннего аудита выделяется несколько сфер автоматизации, в которых роботизация справляется максимально продуктивно и результативно:
1) Тестирование автоматических контролей в ИТ-системах, реализуемое в рамках:
— контроля бизнес-процессов (прохождения платежей, закупок, отгрузок и т.д.), что позволяет на этапе до совершения хозяйственной операции (создания заявки на закупку, оплату т.п.) осуществить контрольную функцию. Например, очистку потребности от доступного запаса на складе, что позволит избежать затоваривания склада. Или ориентировать сотрудника на проведение тендера и обоснование поставщика, что улучшит ситуацию с безнадёжной задолженностью и необеспеченными авансами;
— контроля финансовых показателей формируемых сделок (уровни рентабельности, сроки окупаемости), позволяющего при создании нового документа, например, коммерческого предложения, рассчитать ожидаемый экономический эффект от будущей операции и в случае несоответствия ключевым требованиям запретить создание документа. В этом случае не получится организовать невыгодную для компании сделку.
Подобный автоматический контроль, будучи внедрён по предложению службы внутреннего аудита, будет представлять собой постоянно действующую процедуру аудита соответствующего бизнес-процесса, направленную не на корректировку уже произошедших фактов искажения или мошенничества, а на их предупреждение.
2) Тестирование общих компьютерных контролей (ITGC):
— логический контроль доступа к инфраструктуре, приложениям и данным — заключается в программном контроле доступа сотрудников и сторонних лиц к учётным и иным данным согласно политике безопасности и установленным уровням допуска;
— контроль средств управления изменениями программы — запрещает проводить любое несанкционированное внешнее воздействие, замену созданных документов и изменение ранее внесённых данных. Кроме прочего, это означает ограничение доступа к полному функционалу программ, выделение в отдельные подразделения сотрудников, занимающихся доработками программ и т.д.;
— контроль физической безопасности центра обработки данных — обычно включает контроль температурного режима, физического доступа в помещение, нормальное время отклика всех систем;
— контроль системы и данных резервного копирования и восстановления управления — программный контроль и запуска резервного копирования, в установленное время, и факта наличия копий (бэкапов) и их полноты;
— контроль возможности управления работой компьютера извне — часто компания централизованно устанавливает на рабочие места пользователей программы, которые запрещают возможность доступа к информации вне корпоративной сети.
Эти способы автоматизации контрольных процедур в части аудита полноты цифровых данных и подтверждения отсутствия искажений могут показаться мало относящимися к сфере внутреннего аудита, но так как главный объём информации сегодня фокусируется как раз в информационных системах, вопросы их надёжности и невозможности изменения уже внесённой информации крайне важны.
3) Аналитические процедуры контроля за финансовой отчетностью:
— составление планов и программ аудита — создаётся справочник разделов и процедур аудита, а при составлении программы отмечаются нужные процедуры. Если в справочнике заложено среднее время и последовательность процедур, то итогом получится готовый календарный план и программа аудита;
— расчёт уровня существенности — по определённым ранее показателям отчётности рассчитывается общий уровень существенности и уровни по включённым в отчётность показателям, к результату применяется корректирующий коэффициент и определяется явно незначительное искажение, значения ниже которого не будут накапливаться;
— оценка показателей отчётности — исходя из загруженной отчётности система может указать на те показатели и коэффициенты, которые вызывают сомнения и по которым может повышаться ожидание рисков;
— выгрузка и загрузка данных из учётных систем — для проведения выборки, заполнения рабочих документов и документирования ошибок;
— автоматизация выборки — на программном уровне производится статистический и нестатистический отбор элементов (документов, операций, процессов) в соответствии с разработанными и автоматизированными алгоритмами;
— контрольные соотношения — показатели разных отчётных форм должны стыковаться между собой, подтверждая правильность сбора отчётности, после загрузки в программу автоматизации можно оперативно проверить соблюдение этих соотношений и выявить ошибки;
— сверка с данными учёта — возможность сверки данных по остаткам и оборотам по счетам и предоставленной отчётности, а также сверку данных из программ автоматизации процессов (ERP-систем) с данными отчётов;
— шаблоны рабочих документов — время сотрудников значительно экономит возможность применения предзаполненных шаблонов документов, которыми оформляется любой внутренний аудит.
Автоматизация аналитических процедур аудита является чрезвычайно перспективной областью, освоение которой может сократить как время на проверку, так и её стоимость. Сотруднику останется фактическая сверка данных с первичными документами, оценка не отраженных в учёте и отчётности событий и документов.
4) Проверка выполнения планов корректирующих мероприятий:
— контроль составления календарных планов корректирующих мероприятий – ведется проверка наличия в календарях сотрудников мероприятий, рекомендованных по результатам внутреннего аудита;
— контроль постановки задач, назначения ответственных и сроков – производится контроль и оценка полноты постановки задач в рамках исполнения функции внутреннего аудита (как сотрудниками самой службы, так и смежных подразделений);
— контроль исполнения мероприятий и предоставления отчётов – проводится проверка закрытия поставленных задач, принятия результатов их выполнения, приложенных отчётов и докладных записок [7].
Автоматизация проверки исполнения мероприятий по корректировке выявленных ошибок представляет собой довольно рутинную задачу, цель которой убедиться в том, что все ответственные сотрудники исполнили свои обязанности по исправлению найденных во время аудита ошибок.
Обозначенные выше процессы автоматизации и роботизации на сегодняшний день могут быть осуществлены с помощью разных программных продуктов. Но как отмечалось ранее, применению любого из них сопутствует ряд трудностей, начиная с объемов нормативной базы и регулярности ее обновления и заканчивая спецификой деятельности конкретной организации.
Самый простой способ автоматизации – использование стандартного приложения Microsoft Office Excel. Электронные таблицы дают возможность производить расчёты по заданным формулам, создавать сводные таблицы, представлять полученные результаты в виде графиков и диаграмм и многое другое. Использование MS Excel покрывает минимальные потребности в упрощении работы внутреннего аудитора. В полной мере назвать это автоматизацией нельзя, т.к. это скорее инструмент облегчения и ускорения выполнения рутинной работы, но не исключение из неё человека. Однако, если использовать возможность макросов, то можно будет говорить о некоторой простейшей автоматизации процессов. Так, например, можно загрузить отчётность и провести её анализ, а при заданных целевых показателях MS Excel может выделить те коэффициенты, которые этим целям не удовлетворяют.
Второй способ автоматизации — доработка используемых программ для автоматизации учёта и отчётности. Например, часто используется одна из системы программ 1С:Предприятие. Эти системы отличаются широким распространением, открытым кодом и низким порогом доступности.
При наличии в штате или на аутсорсе программистов, занимающихся доработками учётной системы, сотрудники службы внутреннего аудита могут составить техническое задание по доработке продукта под нужды аудиторов. Обычно в систему добавляются отчёты, которые могут показывать в реальном времени любые финансовые показатели и их динамику, текущую и прогнозную отчётность, выводить данные о правах доступа и совершенных действиях. Также, рассматривая не только контроль, но и предупреждение отрицательных результатов в бизнесе, внутренние аудиторы могут разрабатывать алгоритмы, которые после внедрения будут запрещать осуществление нежелательных операций.
Кроме этого, служба внутреннего аудита может составлять перечень требований к заполнению обязательных реквизитов документов, хранению информации, наличию прикреплённых сканов документов. Эти мероприятия должны будут обеспечивать надлежащий уровень внутреннего контроля и уверенности в том, что внесённая в систему информация является достоверной и полной.
Однако для реальной автоматизации процессов внутреннего аудита предпочтительно использовать специальное программное обеспечение, разработанное для выполнения именно этой функции и реализующее все ключевые мероприятия. На сегодняшний день наиболее распространенным ПО в данной сфере является АВАКОР (разработчик компания «Диджитал Дизайн»), АИС «Аудит» (разработчик компания «Аудит-НТ»), AuditXP Professional, (разработчик компания «Гольдберг-Софт»), IT Аудит: Предприятие, (разработчик компания «Автоматизация аудита и документооборота») и др. [5].
Каждый из этих продуктов в той или иной степени позволяет автоматизировать все ключевые этапы проведения внутреннего аудита. В свою очередь, оценивая возможность использования программы, которая будет в какой-то мере автоматизировать процесс внутреннего аудита, необходимо учитывать вопрос экономической эффективности, выражаемый в виде средних затрат на одного внутреннего аудитора и ожидаемого эффекта от внедрения автоматизированных процедур аудита, при условии минимального сокращения затрат времени.
Подводя итог, необходимо отметить, что на сегодняшний день при увеличении числа факторов риска, значений основных показателей, характеризующих деятельность компании, можно говорить о том, что также возросла и цена ошибки. Невозможно успешно управлять современной организацией без использования системы эффективного контроля за ее деятельностью в целом и отдельными подразделениями, процессами. Собственники должны быть в должной мере уверены в том, что предоставляемая для принятия управленческих решений отчетность соответствует всем предъявляемым к ней требованиям и отражает реальную картину состояния компании.
В этой связи важнейшее значение приобретает задача выстраивания службы внутреннего аудита на основе риск-ориентированного подхода для обеспечения уверенности в данных, необходимых для принятия действительно эффективных управленческих решений и автоматизации сопутствующих процессов, которая позволит существенно сократить вероятность наступления непредвиденных рисков и минимизировать затраты на ее функционирование.
Библиографический список
1. Бжассо, А. А., Пивень, И. Г. Методические подходы к обеспечению оценки рисков при определении стратегии развития и эффективности корпоративного управления в современных условиях / А. А. Бжассо, И. Г. Пивень // Экономика и предпринимательство. - 2019. - № 3 (104). - С. 882-886.2. Карева, А. Г. Проблемы автоматизации системы внутреннего контроля и аудита в организации на примере АО «Почта России» / А. Г. Карева // Молодой ученый. – 2021. – № 31 (373). – С. 49-51.
3. Кеворкова, Ж. А. Внутренний аудит / Ж. А. Кеворкова, Т. П. Карпова, А. А. Савин, Г. А. Ахматова. – М.: Юнити-Дана, 2015. – 341 с.
4. Крышкин, О. Настольная книга по внутреннему аудиту: риски и бизнес-процессы / О. Крышкин; ред. В. Ионов. - М.: Альпина Паблишер, 2016. – 477 с.
5. Разработка и внедрение автоматизированной системы проведения внутреннего аудита и контроля (практика ОАО «Российские железные дороги») / О. Б. Иванов, И. А. Ленник, И. И. Балабанова // ЭТАП: экономическая теория, анализ, практика. – 2015. – № 3. – С. 61-77.
6. Рафикова, З. Р., Халитова, А. З. Концепция риск-ориентированного аудита / З. Р. Рафикова, А. З. Халитова // Международный журнал гуманитарных и естественных наук. – 2020. – № 5-2. – С. 60-69.
7. Романов, А. Н. Автоматизация аудита: монография / А. Н. Романов, Б. Е. Одинцов. — М.: ИНФРА-М, 2019. – 335 с.
8. Скородумов, В. А. Аудиторские процедуры для выявления ошибок и недобросовестных действий / В. А. Скородумов. – СПб: Изд–во СПбГЭУ, 2020. – 51 с.
9. Толчинская, М. Н. Риск-ориентированный подход в организации службы внутреннего аудита / М. Н. Толчинская // Фундаментальные исследования. – 2015. – № 10-3. – С. 640-644.
10. Щербакова, Е. П., Сетракова, Я. М. Организация внутреннего аудита в условиях цифровизации / Е. П. Щербакова, Я. М. Сетракова // Современная экономика: актуальные вопросы, достижения и инновации. – 2019. – №1. – С. 77-79.