Введение 3
1. Теоретические основы аудита эффективности системы внутреннего
контроля организации 11
1.1 Теоретические и дискуссионные аспекты системы внутреннего
контроля 11
1.2 Информационно-методологическое обеспечение аудита
эффективности системы внутреннего контроля организации 16
1.3 Методика комплексной оценки эффективности системы внутреннего
контроля 30
2. Система внутреннего контроля ООО «ВСТ-Реконструкция» и подходы
к ее оценке 35
2.1 Общая характеристика организации и постановки контроля 35
2.2 Действующая система внутреннего контроля организации 37
2.3 Выявление подхода к оценке системы внутреннего контроля и
описание существенных процессов 48
3. Оценка эффективности системы внутреннего контроля ООО «ВСТ-
Реконструкция» 61
3.1 Анализ предпосылок финансовой отчетности и выявление
существенных рисков 62
3.2 Описание и тестирование контролей, оценка их эффективности 68
Заключение 77
Список использованных источников 82
Приложения
Сегодня мир вокруг нас меняется гораздо быстрее, чем раньше. Так цифровая революция и бурное развитие технологий аутсорсинга затрагивают все без исключения отрасли. Условия деятельности организаций трансформировались до неузнаваемости, компании вынуждены в корне пересматривать свои бизнес-модели, чтобы идти в ногу со временем. Стремительные перемены, о которых заговорили еще пять лет назад, сегодня набирают обороты, и в перспективе эта тенденция сохранится. Небывало высокие темпы преобразований не могли не коснуться и системы внутреннего контроля. Хакерские атаки и взломы информационных систем, случаи мошенничества и нарушения антикоррупционного законодательства различных стран теперь происходят гораздо чаще. Благодаря интернету и социальным сетям информация о подобных инцидентах распространяется как никогда быстро, и компаниям необходимо оперативно на них реагировать, чтобы защитить свою репутацию. В течение последних нескольких лет наблюдается рост активности со стороны регулирующих органов, что обусловлено происходящими на рынке событиями. Кроме того, существует целый ряд проблем в сфере организации и функционирования внутреннего контроля, которые не выносились на всеобщее обсуждение, но при этом требуют значительных средств и времени для своего решения. В этой связи возникает проблема несоответствия системы внутреннего контроля требованиям времени.
Многие компании так и не пересмотрели подход к управлению системой внутреннего контроля с момента внедрения системы внутреннего контроля (далее СВК) за подготовкой финансовой отчетности в рамках обеспечения соблюдения требований закона Сарбейнса-Оксли. Тщательный анализ системы внутреннего контроля позволит не только выявить области, требующие улучшения в результате изменения деловой и нормативно- правовой среды, но и найти способы повышения эффективности системы внутреннего контроля за подготовкой финансовой отчетности. Организации могут более четко обозначить функции и обязанности лиц, ответственных за поддержание надлежащей контрольной среды, и наделить их более широкими полномочиями. При этом важно понимать, что конечную ответственность за внутренний контроль несет руководство. Кроме того, можно обеспечить более слаженное взаимодействие между бизнес-подразделениями, ИТ- службой, подразделениями внутреннего аудита и комплаенс, улучшить обмен информацией с внешними аудиторами, а также повысить отдачу и полезный эффект от системы внутреннего контроля.
Согласно указанию Банка России комплаенс-контроль — внутренний контроль за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитной организации, осуществляемый в соответствии с настоящим Указанием. Комплаенс-контроль является частью системы внутреннего контроля кредитной организации, [3, c 1].
Однако в современной терминологии основными субъектами комплаенсконтроля являются не только участники финансового рынка, но также корпорации и предприятия, которые ориентированы на международный рынок.
В мировой практике относительно системы внутреннего контроля публичных компаний выделяют следующие нормативные документы и требования. Так в США действует закон Сарбейнса-Оксли, который в общих чертах требует выполнять следующие условия:
-руководство должно внедрить и поддерживать эффективную СВК над финансовой отчетностью;
-руководитель организации и ее финансовый директор должны на периодической основе подтверждать полноту и достоверность финансовой отчетности, а также эффективность СВК над финансовой отчетностью;
-внешний аудитор обязан провести аудит и дать заключение об эффективности СВК над финансовой отчетностью.
В Великобритании действует кодекс корпоративного управления Великобритании и руководство Тернбулла, которые в свою очередь подразумевают, что:
-совет директоров должен на ежегодной основе проводить оценку эффективности СВК над финансовой отчетностью и подтверждать ее эффективность в годовом отчете;
-руководство компании должно внедрить и поддерживать эффективную СВК;
-совет директоров должен на ежегодной основе проводить оценку эффективности СВК и подтверждать эффективность СВК в годовом отчете.
В Японии существует закон о биржевых и финансовых инструментах, который указывает на то, что руководство компании должно:
-внедрить и поддерживать эффективную СВК над финансовой отчетностью;
-проводить оценку эффективности СВК над финансовой отчетностью на ежегодной основе;
-предоставлять на ежегодной основе отчет об эффективности СВК над финансовой отчетностью.
А внешний аудитор обязан провести аудит и дать заключение об эффективности СВК над финансовой отчетностью.
Во Франции действует кодекс корпоративного управления Франции, который указывает на то, что Комитет по Аудиту должен:
-внедрить и поддерживать эффективную СВК над финансовой отчетностью;
-проводить оценку эффективности СВК над финансовой отчетностью на ежегодной основе;
-разрабатывать, внедрять и реализовывать меры по исправлению существенных недостатков СВК над финансовой отчетностью.
А также во Франции существует валютно-финансовый Кодекс, в котором говорится о том, что руководство компании должно:
-проводить оценку эффективности СВК над финансовой отчетностью; -осуществлять сбор и хранение информации о результатах оценки СВК для разработки мер по устранению недостатков.
В России также в Кодексе корпоративного управления говорится о том, что совет директоров:
-несет ответственность за определение принципов и подходов к организации системы управления рисками и СВК;
-не реже одного раза в год рассматривает вопросы организации, функционирования и эффективности системы управления рисками и СВК. Сведения о результатах рассмотрения предоставляются акционерам в составе годового отчета.
Также в статья 19 Федерального Закона № 402 «О бухгалтерском учете» и Рекомендации Министерства Финансов по организации и осуществлению экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности N ПЗ-11/2013 говорится о том, что:
-экономический субъект обязан организовать и осуществлять внутренний контроль совершаемых фактов хозяйственной жизни;
-экономический субъект, бухгалтерская (финансовая) отчетность которого подлежит обязательному аудиту, обязан организовать и осуществлять внутренний контроль ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности.
При проведении проверки аудитору необходимо получить разумную уверенность в том, что система бухгалтерского учета достоверно отражает хозяйственную деятельность аудируемого субъекта. Должным образом выстроенная и реально работающая система внутреннего контроля может способствовать формированию такой уверенности. Результат оценки аудитором систем бухгалтерского учета и системы внутреннего контроля играет немаловажную роль при планировании и проведении аудита в целом.
В соответствии с пп. «С» п. 4 международного стандарта аудита 315 "выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" (далее МСА 315), для целей международных стандартов аудита следующие термины имеют приведенные ниже значения:
-система внутреннего контроля — процессы, разработанные, внедренные и поддерживаемые лицами, отвечающими за корпоративное управление, руководством и другими сотрудниками организации для обеспечения разумной уверенности в отношении достижения целей организации в области подготовки надежной финансовой отчетности, результативности и эффективности деятельности и соблюдения применимых законов, и нормативных актов. Термин "средства контроля" относится к любым аспектам одного или нескольких компонентов системы внутреннего контроля».
В МСА 315 также обращают внимание на следующее, что в независимости от того, что большинство средств контроля, которые являются значимыми для аудита обычно связаны с финансовой отчетностью, не все средства контроля, связанные с финансовой отчетностью, являются значимыми для аудита. Окончательный ответ на вопрос на данный вопрос решается по средствам профессионального суждения аудитора.
Для того, чтобы понять является ли средство контроля значимым для аудита аудитор обязан проанализировать структуру и благодаря дополнительных процедурам, кроме как направления запросов персоналу, определить реализованы ли в действительности эти средства контроля на практике. Анализ структуры средств контроля представляет собой анализ работоспособности средства контроля и всей системы в целом, которая заключается в эффективных превентивных мерах, эффективном обнаружении и исправлении существенных искажений.
Важным моментом является то, что оценивается непосредственно внедрение средства контроля, то есть его фактическое существование и применение, так как оценка неэффективного средства контроля не даст релевантных результатов.
Неотъемлемой частью и безусловно заслуживающее внимание является степень автоматизации средств контроля, которая в свою очередь позволяет более адекватно оценить операционную эффективность и последовательность функционирования системы в целом, то есть результаты оценки, полученные аудитором применимы ко всему периоду существования автоматизированной системы, нежели результаты ручного средства, которому свойственен контроль на определенную дату. В случае тестирования автоматизированного средства внимание будет уделено изменениям в самой программе.
Как следствие, доля использования ручных и автоматизированных средств в системе внутреннего контроля влияет на порядок инициирования, учета, обработки и отражения их в отчетности. Так ручной системе свойственны такие процедуры, как одобрение и проверка операций, сверка и последующие меры. В случае же использования автоматизированных процедур записи в электронном виде заменят бумажные. Так же связка обоих средств позволяет помимо традиционных ручных средств, которые эффективны при работе с специфическими проблемами, использовать автоматизированные средства контроля по средствам интегрирования их с рабочим программным обеспечением, что в свою очередь позволяет значительно оптимизировать процесс контроля.
В текущей практике автоматизированные системы внутреннего контроля позволяют предприятию последовательно внедрять предварительно установленные правила ведения бизнеса и ускорить сложные вычислительные процессы. Также такая система, относительно временных рамок, позволяет получить более полную информацию в более короткие сроки, упрощает аналитические процедуры, открывает новые возможности для мониторинга всей деятельности, повышает эффективность в плане контроля разделения обязанностей и снижает риск обхода средств контроля в целом.
Однако применение автоматизированных средств контроля имеют специфические риски, такие как зависимость от программ, возможное наличие внутренних ошибок, приводящих к искажению обработки информации, вероятность несанкционированного уничтожения или изменение данных, возможное наличие у информационных специалистов корыстного интереса при наличии подавляющего количества прав, а также недостаточная грамотность и регламентированность действий общехозяйственного персонала
Написание дипломной работы осуществляется на базе организации ООО «ВСТ-Реконструкция». Деятельность предприятия представлена выполнением строительных работ на объектах различного типа, в том числе, опасных производственных объектах, в широком спектре отраслей, включая ремонты, капитальные ремонты и реконструкцию, а также выполнению специальных работ в особых условиях — на высоте, на действующих производствах, в стеснённых условиях и др. На предприятии имеется собственное производство металлоконструкций. Например, осуществляется производство металлических дымовых труб, ферм, каркасов, резервуаров, конструкций усиления. Предприятие выполняет работы по консервации и ликвидации опасных производственных объектов, включая разработку ППР; демонтаж ОПО, том числе дымовых труб; консервацию ОПО; вывод из реестра ОПО.
Следует классифицировать следующие объекты деятельности:
-дымовые трубы всех типов;
-градирни, силосы;
-мачты, эстакады;
-крупные производственные здания;
-торгово-развлекательные и зрелищные комплексы;
-офисные центры.
Организация предоставляет ряд следующих услуги по реконструкции «под ключ»:
-проектирование и монтаж технологических линий;
-проектирование и реконструкция зданий и сооружений;
-проектирование и реконструкция сетей;
-выполнение функций Генерального подрядчика.
Также предоставляются особые методы и технологии работ: -реконструкция и монтаж сложных монолитных ж/б конструкций; -усиление строительных конструкций;
-демонтаж крупных ж/б конструкций, в том числе алмазной резкой;
-применение кабель-кранов в стесненных условиях (например, замена ограждающих конструкций или оборудования в условиях действующего производства);
-торкретирование.
Касаемо таких объектов, как дымовые трубы, градирни, силосы, мачты предоставляются следующие работы:
-Демонтаж, проектирование, ремонт и реконструкция, в том числе ж/б конструкций;
-Металлические вставки «труба в трубе»;
-Усиления с разработкой проектов;
-Изготовление и монтаж дымовых труб;
-Консервация и ликвидация ОПО.
Также организация занимается изготовлением и монтажом металлоконструкций
По итогам изучения и оценки системы внутреннего контроля организации нами было предложено провести следующие работы по документированию системы внутреннего контроля:
-выявить и задокументировать достаточное количество рисков, в существенных бизнес-процессах;
-разработать и задокументировать контроли и контрольные процедуры, которые способны покрывать выявленные риски;
-разработать индивидуальный подход к тестированию контрольных процедур и документированию его результатов.
Документирование рисков предлагается производить по средствам создания карточек риска, которая в свою очередь будет состоять из следующих полей:
-номер риска;
-краткое название риска.;
-тип риска, например, риск финансовой отчетности, операционный риск, риск на уровне бизнеса, ИТ-риск;
-бизнес-процесс к которому относится данный риск;
-сила влияния на отчетность;
-вероятность возникновения риска;
-описание и причины возникновения риска;
-перечень статей финансовой отчетности, которые связаны с данными риском.
-перечень контролей, которые могут покрыть полностью или частично данные риски.
-сотрудник ответственный за бизнес-процесс, которому присущ данный риск.
Что касается документирования контролей, то организации также рекомендуется создать карточки контролей со следующими полями:
-номер контроля;
-краткое наименование контроля;
-описание контрольной процедуры;
-сотрудник ответственный за выполнение контроля;
-периодичность выполнения контроля;
-условие работы контроля;
-степень автоматизации контроля;
-перечень рисков, которые связанны с данным контролем;
-перечень бизнес-процессов, которые связаны с данным контролем. Разрабатывая подход к тестированию, организации предлагается также создать карточку, где будут указаны следующие обязательные элементы:
-наименование контроля;
-лицо ответственное за тестирование контроля; -периодичность тестирования;
-размер выборки для тестирования;
-метод тестирования;
-результат тестирования.
Что касается подхода к определению выборки, то следует отметить, что на размер выборки могут повлиять следующие обстоятельства:
-частота выполнения ручного внутреннего контроля, так как чем чаще работает ручной внутренний контроль, тем больше операций подлежат тестированию;
-существенность внутреннего контроля - ключевые контрольные процедуры могут требовать более обширного тестирования;
-изменения в объемах или видах сделок и операций, в дизайн внутреннего контроля, а также численности и квалификации ключевого персонала ответственного за осуществление и оценку внутреннего контроля
-уровень автоматизации процедуры внутреннего контроля. Для того чтобы протестировать автоматическую процедуру внутреннего контроля, достаточно выполнить единственное ее повторение в информационной системе.
В заключении еще раз хочется отметить, что нет никаких оснований полагать, что темпы происходящих изменений в бизнес-среде в ближайшее время снизятся. Появятся новые игроки, чьи прорывные идеи будут в корне менять облик рынка, заставляя его участников оперативно пересматривать свои бизнес-модели, чтобы сохранить конкурентоспособность. Технологии продолжат активно развиваться, переворачивая привычные представления о ведении бизнеса и делая компании более уязвимыми для злоумышленников, стремящихся проникнуть в их системы. Благодаря социальным сетям и другим средствам коммуникации информация сегодня распространяется по миру в считанные секунды, поэтому компании будут тщательно анализировать каждое свое решение на предмет того, как оно отразится на их репутации. Продолжится развитие нормативно-правовой среды, обусловленное стремлением регуляторов защитить законные интересы всех сторон. В качестве отправной точки представляется целесообразным оценить актуальность существующей модели управления и системы внутреннего контроля с тем, чтобы устранить недостатки, о которых известно на сегодняшний день. Однако подготовка к будущим изменениям — не одноразовая мера, которая сводится к обеспечению соответствия установленным требованиям. Это возможность осуществить коренное преобразование структуры управления и системы внутреннего контроля организации, ее ресурсной модели и технологической базы для повышения гибкости, эффективности и отдачи. Это также возможность более четко обозначить функции и обязанности всех участников процесса, включая бизнес-подразделения, ИТ-службу, подразделения внутреннего аудита и финансовой отчетности. Необходимо обеспечить их слаженную работу с целью помочь организации выполнить стоящие перед ней стратегические задачи и добиться более высоких результатов деятельности
1. Информация Минфина России N ПЗ-11/2013 "Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности"// СПС КонсультантПлюс.
2. Международный стандарт аудита 315 (пересмотренный) "Выявление и оценка рисков существенного искажения посредством изучения организации и ее окружения" (введен в действие на территории Российской Федерации Приказом Минфина России от 24.10.2016 N 192н) // СПС КонсультантПлюс.
3. Указание Банка России от 07.07.1999 N 603- У"О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях"// СПС КонсультантПлюс.
4. Федеральный закон от 30.12.2008 N 307-ФЗ (ред. от 23.04.2018) "Об аудиторской деятельности"// СПС КонсультантПлюс.
5. Федеральный закон от 06.12.2011 N 402-ФЗ (ред. от 31.12.2017) "О бухгалтерском учете"// СПС КонсультантПлюс.
Книги, монографии
1. Алибеков Ш.И. Использование аналитических процедур в аудиторской деятельности. Аудиторские ведомости, № 3, 2014 г. - 80 с.
2. Аляев А. В. Построение системы внутреннего контроля в организации // Вестник Казанского технологического университета. 2006. №1.
3. Аудит: учеб. для вузов/ под ред. В.И.Подольского. - М.: ЮНИТИ-ДАНА, 2014. - 583 с.
4. Богданович Ирина Сергеевна, Соболева Ольга Алексеевна Место внутреннего контроля в системе управления предприятием и форма его организации // Вестник Псковского государственного университета. Серия: Экономика. Право. Управление. 2014. №5.
5. Бухгалтерская (финансовая) отчетность: Учебное пособие / Под ред. С.И. Пучковой. - М.: "ФБК-ПРЕСС", 2011.
6. Герчикова З. Критерии эффективности диктует бизнес // Управление компанией. - 2009. - N9.
7. Г ордон Я. А. Система внутреннего контроля. Концептуальная база // ТДР. 2013. №3.
8. Горлов В. В. Система внутреннего контроля предприятия // Вестник УГНТУ. Наука, образование, экономика. Серия: Экономика . 2012. №1.
9. Грибова Юлия Николаевна Методические основы формирования эффективной системы внутреннего контроля на промышленном предприятии // Известия АлтГУ. 2010. №1-2.
10. Дейнега В. Н. Построение эффективной системы внутреннего контроля корпорации на основе риск-ориентированного подхода // Пространство экономики. 2012. №1-3.
11. Егорова Лариса Ивановна, Соколова Елизавета Сергеевна, Шадрина Галина Владимировна Методические аспекты формирования системы внутреннего контроля // Статистика и экономика. 2014. №1.
12.Зырянова Т.В., Терехова О.Е. Внутренний аудит как оценка надежности и эффективности системы внутреннего контроля внутреннего контроля // Экономический анализ: теория и практика. 2006. №16.
13. Игошина Юлия Александровна Система внутреннего контроля как элемент управленческого учета // Вестник НГИЭИ. 2014. №1 (32).
14. Ишмеева Анастасия Сергеевна Система внутреннего контроля как элемент обеспечения экономической безопасности хозяйствующего субъекта // Теория и практика общественного развития. 2014. №9.
15. Колесников В.В., Понарьина О.В. Тестирование системы внутреннего контроля и признаки ее эффективности // Ученые записки Тамбовского отделения РоСМУ. 2016. №6.
16. Майсигова Лейла Аюповна Перспективы развития системы внутреннего контроля и аудита на основе риск-ориентированного подхода // Austrian
Journal of Humanities and Social Sciences. 2014. №9-10.
17. Макеев Р.В. Постановка систем внутреннего контроля. От проверки отчетности к эффективности бизнеса М.: Вершина, 2007. - 296 с
18. Максимова Галина Васильевна, Аманжолова Бибигуль Ашкеновна Создание и функционирование системы внутреннего контроля в организациях // Известия БГУ. 2010. №3.
19. Неустроев Роман Александрович, Федорова Ирина Олеговна, Васильева Светлана Валерьяновна Формирование и оценка эффективности функционирования системы внутреннего контроля // Вестник ЧГУ. 2008. №3.
20. Петрова Ю.В. Система внутреннего контроля предприятия в условиях предпринимательских рисков. Аудиторские ведомости. 2011г. №1
21. Практическое руководоство для менеджмента. Закон Сарбейнса-Оксли (Раздел 404). Издательство: п ю %. 2005 - 138 с.
22. Пугачев В.В. «Внутренний аудит и контроль», учебник, М: Дело и сервис. 2009-224с.
23. Рахманкулов И.Ш. Тестирование эффективности системы внутреннего контроля // ВЭПС. 2007. №1.
24. Соколов Б., Рукин В. Системы внутреннего контроля (организация, методики, практика) М.: Экономика, 2007. — 442 с
25. Сотникова Л.В. Внутренний контроль и аудит. М. - 2009г.
26. Терехов А.А., Терехов М.А. Контроль и аудит. М. Финансы и статистика, 2012г.
27. Тончу Елена Александровна, Величко Константин Алексеевич Оценка эффективности работы службы внутреннего контроля и аудита // Научный журнал КубГАУ - Scientific Journal of KubSAU. 2016. №115.
28. Чистякова Юлия Евгеньевна Организация системы внутреннего контроля в корпорации // Вектор науки ТГУ. 2010. №3.
Электронные ресурсы
1. Ваш бизнес и система внутреннего контроля: гармония или диссонанс?
[Электронный ресурс]: электронно-библиотечная система: ООО «Эрнст энд Янг», 2017. URL: http://www. ey. com/ru/ru/home/library.
2. Оценка эффективности СВК процесса подготовки финансовой
отчетности [Электронный ресурс]: электронно-библиотечная система: ООО «Эрнст энд Янг», 2015. URL: http ://www. ey.com/ru/ru/home/library.
3. Концептуальные основы управления рисками организации [Электронный
ресурс]: электронно-библиотечная система: ООО
"Прайсвотерхаускуперс", 2017. URL:
https://www.pwc.ru/ru/services/audit/riskassurance/enterprise-risk- management/coso-erm.html.
4. Управление рисками: правила игры меняются [Электронный ресурс]: электронно-библиотечная система: ЗАО "Делойт и Туш Снг", 2018. URL: https://www2.deloitte.com/ru/ru/pages/risk/events/risk-management-business- breakfast.html.
5. Управление рисками организаций.Интегрированная модель
[Электронный ресурс]: электронно-библиотечная система: ЗАО "Делойт и Туш Снг", 2004. URL:
https://www2.deloitte.com/ru/ru/pages/risk/articles/enterprise-risk- management-inte grated-framework-by-coso.html.
6. Auditing Standard No. 5, An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements PCAOB Release No. 2007-005A. [Электронный ресурс]: PCAOB, 2016 URL: https://pcaobus.org/ Standards/Auditing/Pages/Auditing Standard 5.aspx.
7. SARBANES-OXLEY ACT OF 2002. As Amended Through P.L. 112-106, Enacted April 05, 2012. [Электронный ресурс]: Legislative Counsel of the U.S. House of Representatives, 2012 URL: https://docs.house.gov/floor.