Росимущество подготовило методические рекомендации по проведению внутреннего аудита в акционерных обществах с госучастием (Приказ Росимущества от 04.07.2014 N 249 «Об утверждении Методических рекомендаций по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации»).
Оценка эффективности системы внутреннего контроля (далее — СВК):
— проведение анализа соответствия целей бизнес-процессов, проектов и структурных подразделений целям компании, проверка обеспечения эффективности, надежности и целостности бизнес-процессов (деятельности) и информационных систем, в том числе надежности процедур противодействия противоправным действиям, злоупотреблениям и коррупции;
— проверка обеспечения достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности, определение того, насколько результаты деятельности бизнес-процессов и структурных подразделений компании соответствуют поставленным целям;
— определение адекватности критериев, установленных исполнительными органами для анализа степени исполнения (достижения) поставленных целей;
— выявление недостатков системы внутреннего контроля, которые не позволили (не позволяют) компании достичь поставленных целей;
— оценка результатов внедрения (реализации) мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля, реализуемых обществом на всех уровнях управления;
— проверка эффективности и целесообразности использования ресурсов;
— проверка обеспечения сохранности активов;
— проверка соблюдения требований законодательства, устава и внутренних нормативных документов компании.
Оценка СВК осуществляется в соответствии с принципами и подходами, изложенными в общепринятых концепциях и практиках работы в области внутреннего контроля, в том числе приведенных в настоящих Методических рекомендациях, а также нормативных документах Российской Федерации и иных регуляторов, применимых к компании.
Оценка эффективности системы управления рисками (далее — СУР):
— проверка достаточности и зрелости элементов СУР для эффективного управления рисками: цели и задачи, инфраструктура, включая организационную структуру, средства автоматизации и т.п., организация процессов, нормативно-методологическое обеспечение, взаимодействие структурных подразделений в рамках СУР, отчетность;
— проверка полноты выявления и корректности оценки рисков руководством компании на всех уровнях ее управления;
— проверка эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
— проведение анализа информации о реализовавшихся рисках (в т.ч. выявленных по результатам проверок нарушениях, фактах недостижения поставленных целей, фактах судебных разбирательств и в других случаях).
Оценка корпоративного управления (далее — КУ):
— проверка соблюдения этических принципов и корпоративных ценностей компании;
— проверка порядка постановки целей компании и мониторинга/контроля их достижения;
— проверка уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам управления рисками и внутреннего контроля) на всех уровнях управления компании, включая взаимодействие с заинтересованными сторонами;
— проверка обеспечения прав акционеров, в том числе подконтрольных компаний, и эффективности взаимоотношений с заинтересованными сторонами;
— проверка процедур раскрытия информации о деятельности компании и подконтрольных ему компаний.
Для решения поставленных задач и достижения целей внутренний аудит осуществляет следующие функции:
— проведение внутренних аудиторских проверок (далее — проверок) на основании утвержденного плана деятельности внутреннего аудита;
— проведение иных проверок, выполнение других заданий по запросу/поручению совета директоров (комитета по аудиту и/или исполнительных органов компании) в пределах компетенции, в том числе на основании информации, поступившей на «горячую линию» компании;
— проведение комплексной проверки (ревизий) деятельности объектов аудита, которая выражается в документальной и физической проверке законности совершенных финансовых и хозяйственных операций, достоверности и правильности их отражения в бухгалтерской (финансовой) отчетности;
— проведение анализа объектов аудита в целях исследования отдельных сторон деятельности и оценки состояния определенной сферы объектов аудита;
— предоставление консультаций исполнительным органам компании по вопросам управления рисками, внутреннего контроля и корпоративного управления (при условии сохранения независимости и объективности деятельности внутреннего аудита);
— осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
— осуществление последующего контроля за финансово-хозяйственной деятельностью компании;
— содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц <1>; разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
———————————
<1> Включая халатность, мошенничество, взяточничество и коррупцию, коммерческий подкуп, злоупотребления и различные противоправные действия, которые наносят ущерб обществу.
— проведение в рамках установленного порядка внутреннего аудита, проверок подконтрольных обществ;
— разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита (как правило, на ежегодной основе);
— подготовка и предоставление совету директоров (комитету по аудиту) и единоличному исполнительному органу компании (или другому лицу, в административном подчинении у которого находится внутренний аудит) отчета по результатам деятельности внутреннего аудита;
— координация деятельности с внешним аудитором компании, а также лицами, оказывающими услуги по консультированию в области управления рисками, внутреннего контроля и корпоративного управления;
— взаимодействие с подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
— и другие функции, необходимые для решения задач, поставленных перед внутренним аудитом в компании.
Планирование деятельности внутреннего аудита состоит из следующих этапов:
— формирование/актуализация модели аудита компании;
— проведение/использование результатов оценки рисков;
— ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;
— формирование риск-ориентированного плана внутренних аудиторских проверок;
— формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;
— формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.
План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.
Планирование деятельности внутреннего аудита состоит из следующих этапов:
— формирование/актуализация модели аудита компании;
— проведение/использование результатов оценки рисков;
— ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;
— формирование риск-ориентированного плана внутренних аудиторских проверок;
— формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;
— формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.
План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.
На подготовительном этапе осуществляется формирование программы проверки. Программа проверки формируется до начала проведения каждой проверки и включает следующую информацию:
— цели проверки;
— объем и содержание проверки;
— сроки и распределение трудовых ресурсов;
— характер и объем аудиторских процедур, используемых для достижения целей проверки (процедуры тестирования, аналитические процедуры).
В ходе выполнения аудиторских процедур формируются наблюдения путем сопоставления текущего состояния объекта аудита («как есть») в части процедур внутреннего контроля и мероприятий по управлению рисками с ожидаемым (целевым) состоянием («как должно быть») с учетом установленных критериев:
— сопоставляются текущее и целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками;
— определяются расхождения целевого и текущего состояния;
— формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками (недостатки);
— выявляются недостатки и нарушения, допущенные в ходе осуществления деятельности объекта аудита.
Контроль начинается на этапе планирования и продолжается в процессе выполнения проверки. К процедурам контроля относятся:
— обеспечение наличия у участников рабочей группы необходимых знаний, навыков и других компетенций, необходимых для выполнения проверки;
— предоставление необходимых инструкций в процессе планирования и утверждения программы проверки;
— обеспечение выполнения утвержденной программы проверки;
— определение того, поддерживают (подтверждают) ли аудиторские рабочие документы наблюдения, выводы и рекомендации по проверке;
— обеспечение точности, объективности, ясности, краткости, конструктивности и своевременности передачи информации, относящейся к проверке;
— обеспечение достижения целей проверки;
— предоставление возможностей для развития знаний, навыков и других компетенций внутренних аудиторов.