Что такое внутренний аудит - важные изменения в законодательстве России с 1 января 2021 года




С 1 января 2021 г. в России вступаило в силу требование Закона № 208-ФЗ «Об акционерных обществах», которое звучит так: «Для оценки надежности и эффективности управления рисками и внутреннего контроля в публичном обществе должен осуществляться внутренний аудит». В связи с этим возникают вопросы к понятию внутреннего аудита, необходимости внутреннего аудита (далее ВА) и перспективах развития, которые мы затронем в этой статье.

Что такое внутренний аудит? 

Если компанию сравнить с человеческим организмом, то внутренний контроль или управление рисками компаний похожи на здоровье или иммунную систему человека, защищающие организм от опасных внешних воздействий, позволяющие успешно и качественно жить и трудиться, а не выживать и существовать. Точно так же, как человеку свойственны хронические болезни, в компаниях могут быть широко распространены проблемы с отчетностью, типичными ошибками принятия решений и работа в режиме хронических авралов. Так же как среди людей встречается преждевременная смерть, так и среди компаний происходят банкротства, обходящиеся инвесторам в миллиарды рублей, € и $.

Внутренний аудит компании при таком сравнении – это как спасающие жизни медицинские тесты для людей, на ранних стадиях диагностирующие проблемы и болезни, а также медицинские рецепты и рекомендации, позволяющие не только дать своевременное лечение, но и предотвратить от повторения первопричины проблем. Не использовать в компаниях современные методы внутреннего контроля, управления рисками и внутреннего аудита – все равно, что в медицине возвращаться к устаревшим методам Средневековья.

Именно поэтому внутренний аудит становится все более актуальным не только для компаний, котирующихся на бирже, не только для публичных акционерных обществ, но и для абсолютно любых компаний, заинтересованных в повышении эффективности своей операционной деятельности и информированном управлении рисками.

Зарождение профессии внутреннего аудитора 

Основоположником профессии внутреннего аудита считается Международный институт внутренних аудиторов (the Institute of Internal Auditors) (далее ”The IIA”), существующий с 1941 г. и объединяющий более 200 000 человек из более чем 170 стран мира.

За 90 лет существования The IIA накоплена колоссальная теоретическая база и практический опыт, объединенные в Международных основах профессиональной практики (МОПП).

МОПП включает:
1. Миссию ВА,
2. Обязательные руководства: определение содержания деятельности ВА, принципы ВА, кодекс этики ВА и стандарты, как критерии качества организации служб ВА и профессиональной деятельности ВА, и
3. Рекомендуемые руководства: 56 Руководств по применению и >59 дополнительных руководств.

МОПП_профессиональная практика внутреннего аудита

Официальные миссия и определение ВА сформулированы ИВА следующим образом:

Миссия ВА:

Сохранение и повышение стоимости организации посредством:
• проведения объективных внутренних аудиторских проверок на основе риск-ориентированного подхода (assurance),
• предоставления консультационных услуг (advice) и
• понимания сущностных причин и взаимосвязей (insight).

Определение ВА: «Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.»

Согласно 7му Изданию Внутренний аудит по Сойеру, роли и виды услуг, оказываемых внутренними аудиторами, могут различаться. Они зависят как от зрелости самих организаций, так и зрелости внутреннего аудита:

Уровень Зрелости

Виды услуг ВА (Type of Services)

Роль Аудитора

Требующиеся Ресурсы  (Resources Required)

Результат (Type of Products)

Профессиональные сертификации

Уровень 5 – Оптимизированный

(Optimizing)

1.      ВА признается в качестве ключевого партнера и агента изменений.  

2.     Прикладывает усилия по управлению рисками в контексте конкретных бизнес-целей под риском. Базируется на предыдущих уровнях.

Аудитор, ориентированный на достижение целей

 

Objective-Based Auditor

Навыки: Способность дейстовать как катализатор перемен, внедрять управление изменениями, приводить внутренний аудит в соответствие с корпоративным управлением, рекомендации по ключевым решениям, глубокое знание разработки бизнес-целей, навыки измерения и распространения, проницательность в корпоративном управлении и управлении рисками.

 

Ресурсы: Бизнес-модели, обучение по согласованию  управления рисками с надзором за бизнесом, развитием  операционной деятельности.

 

Усилия в управлении рисками помещаются в контекст конкретных бизнес целей под риском.

 

Оценки рисков интегрированы с усилиями по управлению рисками.

Аудиторские проверки и консультационные услуги нацелены на оказание помощи в успешной реализации бизнес-целей путем совершенстовавания управления рисками как на первой, так и на второй линии защиты.

Сертификация в области корпоративного управления и в других специальных отраслях.

Уровень 4 –

Управляемый

(Managed)

1.      ВА предоставляет общие гарантии в отношении внутреннего контроля, управления рисками и корпоративного управления  (GRC).

2.     Оценка ожиданий от управлении рисками первоначально проводится при оценке рисков и разработке программ аудитов, ориентированных на усиление контроля по принципу сверху вниз «top down».

Аудитор, ориентированный на управление рисками Risk Management-Based Auditor

Навыки: Осведомленность о развитии структуры корпоративного управления, управления рисками предприятия, как контроли разрабатываются и внедряются в естественном ходе ведения хозяйственной деятельности.    

 

Разработка структуры корпоративного управления (governance), управления рисками предприятия,    

 

Ресурсы: Концепции управления рисками (ERM), контроля, управления рисками и корпоративное управления (GRC).

Оценки рисков сфокусированы на топ стратегических и операционных рисках.

 

Аудиторские проверки и консультационные услуги фокусируются на ожидания в

управлении рисками и внутреннем контроле по принципу сверху вниз «top down».    

Отраслевая сертификация

Уровень 3 – Определенный

(Defined)

1.      ВА выполняет проверки и оказывает консультационные услуги.

2.     Оценка рисков проводится как минимум 1 раз в год.

3.     Задания планируются и недостатки выявляются с учетом вероятности и воздействия рисков.  

Риск-ориентированный аудитор/

Risk-Based Auditor

Навыки: Хорошее понимание оценки рисков, ранжирования рисков и операционной деятельности.   

 

Ресурсы: Концепции управления рисками, примеры и инструменты анализа рисков.

Оценки рисков включают важные операционные области.

Риск-ориентированные отчеты ВА с ранжированием недостатков.

Консультационные услуги. 

QIAL, ученая степень, CRMA, CISA, CGAP, EHS, CFSA и другие соответсвующие профессиональные сертификаты

Уровень 2 – Повторяющийся

(Repeatable)

ВА проводит оценки финансовых и важных операционных контролей уровня бизнес-процессов.

Аудитор внутреннего контроля (уровень бизнес-процессов)/ Internal Control Process Auditor

 

 

Навыки: Описания процессов / Блок-схем процессов, матриц рисков и контрольных процедур (МРиКП).      

 

Ресурсы: блок схемы и описания  процессов,  матрицы рисков и контрольных процедур (МРиКП). 

Отчеты ВА больше фокусируются на анализе первопричин недостатков, в том числе недостатков процессов в части:

1.Достоверности финансовой отчетности и данных для принятия управленческих решений

2.Операционной эффективности. 

 

CIA, CРA, CFE

Уровень 1 – Первоначальный (Initial)

ВА осуществляют подтверждение: 1. Достоверности фин. отчетности.

2.  Соблюдения стандартов/ норм. требований.

3.  Соблюдения внутренних политик и процедур.

Финансовый и комплаенс аудитор /

Internal – External Auditor

 

Навыки: Финансовый учет, внутренний контроль, нормативные документы, регламенты, политики.

 

Ресурсы: Стандарты бухгалтерского учета, регламенты, политики. 

Отчеты ВА сфокусированы на замечаниях связанных с нарушениями:

1.Искажениями финансовой отчетности.

2. Нарушениями законодательства и внутренних нормативных документов.   

Без сертификации

Зачем нужен внутренний аудит 


Единственный шанс избежать ошибок в будущем — это учить историю и усваивать ее уроки. (Кармен Рейнхарт, Кеннет Рогофф. "На этот раз все будет иначе. Восемь веков финансового безрассудства") 

Главные уроки многократно подтверждены:

• Международной историей скандалов и банкротств, в том числе: Enron - $65 млрд., Wordcom - $180 млрд., Wirecard (2020) - €24 млрд.;
• Трижды доказаны нобелевскими премиями по нейроэкономике – иррациональным механизмам принятия управленческих решений:
2017 Richard Thaler, 2002 Daniel Kahneman, 1978 Herbert Simon;
• Ежегодно подтверждаются статистикой исследований ACFE, Ассоциация "Объединение сертифицированных специалистов по расследованию хищений" из 125 стран мира.

Компании, не обеспечивающие надежных функций внутреннего контроля, риск-информированного принятия решений и внутреннего аудита, остаются беззащитными перед: 

1. искажениями финансовой и управленческой отчетности,
2. обманом инвесторов и кредиторов,
3. ошибками принятия решений и злоупотреблениями сотрудников,
4. банальной низкой эффективностью и результативностью операционной деятельности.

Именно поэтому, более 30 последних лет в мире (более 7 последних лет в России) мега трендом являются внутренний контроль, управление рисками и внутренний аудит, как средства для: защиты инвесторов от обмана и злоупотреблений, и повышения вероятности достижения поставленных целей.

Развитие требований регуляторов и расширяющаяся практика использования внутреннего аудита подтверждают этот тренд:

Развитие внутреннего аудита в мире

Источник:  Вебинар по внутреннему контролю, управлению рисками и внутреннему аудиту на тему «Взгляд Председателя комитета по аудиту при совете директоров» с Евгением Плаксенковым, профессором Московской школы управления СКОЛКОВО, независимым директором в составе Советов директоров российских и международных компаний, председателем комитетов по аудиту. https://bit.ly/37Y84eS

  • С 2002 г. в США действует Закон Сарбейнса — Оксли (англ. Sarbanes-Oxley Act, SOX), усиливший требования к внутреннему контролю над подготовкой финансовой отчетности, корпоративному управлению и надзору над внешним аудитом финансовой отчетности.
  • C 2004 г. внутренний аудит стал обязательным для всех компаний, акции которых котируются на Нью-Йоркской фондовой бирже (англ. New York Stock Exchange, NYSE). На другой - 2й по популярности бирже США - NASDAQ, также 60% котировавшихся компаний имели внутренний аудит при том, что ВА для листинга NASDAQ не обязателен.
  • В 2006 г. Европарламентом и Советом ЕС была принята 8я директива об аудите финансовой отчетности, повысившая требования к внутреннему контролю и внутреннему аудиту, а также надзору над ними со стороны комитета по аудиту при СД. На LSE – London Stock Exchange, даже при необязательности внутреннего аудита, 60% компаний предпочитали иметь внутренний аудит.
  • С 2013 г. обязательные требования к внутреннему контролю и внутреннему аудиту введены Московской биржей как условия для включения акций публичных компаний в 1й и 2й котировальные уровни.
  • С 2018 г. в России действуют требования к организации управления рисками и внутреннего контроля для всех публичных акционерных обществ (ПАО).
  • А с 2021 г. также для ПАО становятся обязательными внутренний аудит и комитет по аудиту при совете директоров.
  • В 2020 г. разработан (готовится к обсуждению и внедрению) проект Концепции перехода от внутреннего финансового аудита к внутреннему аудиту и для организаций бюджетной сферы в РФ.

Рекомендации новичкам во внутреннем аудите

Как мы разобрали выше, внутренний аудит – уже давно обязательный элемент защиты компаний, котирующихся на биржах. Мы ожидаем, что изменения п.87.2 статьи Закона 208-ФЗ «Об акционерных обществах», вступающие 1 января 2021 г. в силу для публичных акционерных обществ (ПАО) повысят востребованность профессии внутреннего аудита на российском рынке труда. Также предполагаем, что самые прогрессивные и передовые компании, заинтересованные в эффективном функционировании управления рисками и непрерывных изменениях будут инициативно внедрять внутренний аудит, как инструмент повышения эффективности деятельности.

Внутренних аудиторов в России и в мире будут объединять несколько условий: для того, чтобы выполнять внутренний аудит качественно и профессионально, нужно уметь пользоваться стандартами внутреннего аудита и Международными основами профессиональной практики.

Как указано в 7м Издании Внутреннего аудита по Сойеру, для того, чтобы служба внутреннего аудита могла подняться в уровне своего развития выше низшего уровня зрелости (Уровень 1 – Первоначальный/ Initial) критично наличие сертификации Дипломированный внутренний аудитор (CIA), признаваемой в >10 странах мира.

Из собственного опыта скажу, что профессия внутреннего аудитора является прекрасным продолжением карьеры для внешних аудиторов, финансовых специалистов и бухгалтеров. В профессию ВА также сравнительно легко прийти из внутреннего контроля и управления рисками. Сертификация во ВА, безусловно, будет полезна для специалистов по менеджменту качества (СМК) и специалистов LEAN.

В России одним из первых учебных провайдеров, занимающихся подготовкой к сдаче экзамена CIA, является учебный центр HOCK Training. С 2002 года благодаря высоким стандартам обучения, высококлассному преподавательскому составу с большим практическим опытом слушатели программы CIA сдают экзамены на внутреннего аудитора с первого раза.
Более подробно с программами обучения CIA, которые включают в себя очные, онлайн и дистанционные курсы, вы можете ознакомиться по ссылке.

Если Вас заинтересует консультационное направление деятельности внутреннего аудита по развитию внутреннего контроля также рекомендуем углубленный практикум DEEP DIVE по «Системе внутреннего контроля»:

Автор: Павел Викторов, к.э.н., CIA

Консультант председателей комитетов по аудиту, СД и руководителей СВК в АО и ПАО
Ведущий преподаватель курса Дипломированный внутренний аудитор (CIA) в HOCK Training
Разработчик углубленного практикума DEEP DIVE по «Системе внутреннего контроля»: Как своими руками сделать 80% работы за консультантов и сэкономить десятки миллионов рублей



Приходите на бесплатную презентацию программы подготовки к экзамену CIA (Сертификат «Дипломированный внутренний аудитор») и запишитесь на подготовку к экзаменам весенней сессии 2021 в HOCK Training. 

Записаться на курс! 



Все блоги