Інститут Внутрішніх Аудиторів України

Світове лідерство у професії внутрішнього аудиту та корпоративного управління

Оцінка аудиторського ризику

Facebookgoogle_pluslinkedinmailFacebookgoogle_pluslinkedinmailby feather

Міжнародні стандарти професійної практики внутрішнього аудиту

Лебединець Т.Л.

 

Лебединець Тетяна Леонідівна,
Президент Інституту внутрішніх
аудиторів України

 

 

 

Важливість оцінки аудиторського ризику

Керівникам аудиту не потрібно забувати про важливість оцінки аудиторського ризику. Процес внутрішнього аудиту завжди починається з оцінки аудиторського ризику (ОАР). Вона є основою робочого плану перевірок та розподілення ресурсів на рік. Проте, у ці важкі економічні часи діяльність багатьох департаментів аудиту зводиться до реагування на події, що відбуваються в організації, їм складно побачити всю картину. Крім того, багато департаментів аудиту задоволені досягнутим і, спочиваючи на лаврах, будують свою діяльність, керуючись вже встановленим порядком роботи. Департаментам внутрішнього аудиту (ВA) варто приділяти увагу важливості ОАР та її матеріальній і нематеріальній користі для компанії і самого департаменту.

Стандарти внутрішнього аудиту щодо ОАР та пов’язані з ними тлумачення

Стандарти Інституту внутрішніх аудиторів являють собою керівництво для департаментів ВА щодо основних принципів їхньої діяльності. Як зазначається у цій статті, стандарти чітко визначають важливість оцінки аудиторського ризику[1].

  • 2000 Управління функцією внутрішнього аудиту – Керівник внутрішнього аудиту повинен ефективно управляти функцією внутрішнього аудиту для того, щоб вона додавала вартості організації.

Управління функцією внутрішнього аудиту є ефективним, коли:

  • Результати роботи функції внутрішнього аудиту досягають цілей та обов’язків визначених у статуті внутрішнього аудиту;
  • Діяльність функції внутрішнього аудиту відповідає Визначенню внутрішнього аудиту та Стандартам; а також
  • Особи, що входять до функції внутрішнього аудиту, демонструють дотримання Кодексу етики та Стандартів.

Функція внутрішнього аудиту додає вартості організації (та її зацікавленим особам), коли вона надає об’єктивні та релевантні аудиторські послуги, та сприяє результативності та ефективності корпоративного управління, управління ризиками та контролю.

  •  2010 Планування – Керівник внутрішнього аудиту повинен розробити ризик-орієнтований план для визначення пріоритетів функції внутрішнього аудиту, які відповідають цілям організації.

– Тлумачення:
Керівник внутрішнього аудиту відповідає за розробку ризик-орієнтованого плану. Керівник внутрішнього аудиту враховує структуру управління ризиками організації, включаючи рівні ризик-апетиту, встановлені керівництвом для окремих видів діяльності або структурних підрозділів організації. Якщо така структура відсутня, керівник внутрішнього аудиту покладається на своє власне судження щодо ризиків після розгляду побажань вищого виконавчого керівництва та ради. В разі необхідності, керівник внутрішнього аудиту повинен переглядати та корегувати план відповідно до змін комерційної діяльності, ризиків операцій, програм, систем та контролів організації.

– 2010.A1 — План завдань функції внутрішнього аудиту повинен базуватися на документально оформленій оцінці ризиків, що проводиться щонайменше раз на рік. В даному процесі повинні розглядатися побажання вищого виконавчого керівництва та ради.

– 2010.A2— Керівник внутрішнього аудиту повинен з’ясовувати та враховувати очікування вищого виконавчого керівництва, ради та інших зацікавлених осіб відносно висновків внутрішнього аудиту.

  • 2020 Надання інформації та затвердження – Керівник внутрішнього аудиту повинен надавати на розгляд та затвердження вищому виконавчому керівництву та раді плани функції внутрішнього аудиту та потреби у ресурсах, включаючи інформацію про значні проміжні зміни. Керівник внутрішнього аудиту повинен також повідомляти про вплив обмежень у ресурсах
  • 2030 Управління ресурсами – Керівник внутрішнього аудиту повинен забезпечити відповідність, достатність та ефективне використання ресурсів внутрішнього аудиту для виконання затвердженого плану.

Термін «відповідність» відноситься до набору знань, навиків та інших компетенцій необхідних для виконання плану. Термін «достатність» стосується об’єму ресурсів необхідних для виконання плану. Ресурси використовуються ефективно, коли спосіб їх використання оптимізує досягнення цілей затвердженого плану.

Як зазначається у наведених цитатах з стандартів Інституту внутрішніх аудиторів, департаментам аудиту необхідно щорічно здійснювати оцінку аудиторського ризику. Завдання першочергової важливості, сформовані на основі ризику, мають узгоджуватися з цілями організації, що іноді багато Керівників внутрішнього аудиту випускають з уваги. Хоча внутрішній аудит є об’єктивним і незалежним органом, функція хоче поліпшити організацію, застосовуючи ризик-орієнтований підхід. Як зазначено в тлумаченні стандартів, при оцінці аудиторського ризику необхідно враховувати ризик-апетит організації, який визначається керівництвом і аудиторським комітетом. Цей процес дуже схожий на процес управління ризиками підприємства (УРП), який являє собою оцінку ризику в процесі управління ризиками підприємства (УРП).

УРП визначається як процес «на який здійснює вплив рада директорів установи, керівництва та інші співробітники. Він застосовується при розробці стратегії, впроваджується у всій установі і створюється для виявлення потенційних подій, які можуть вплинути на організацію, та для управління ризиками у такий спосіб, щоб залишатися в межах визначеного ризик-апетиту, а також для забезпечення достатньої впевненості щодо досягнення цілей організації»[2]. Таким чином, внутрішній аудит зазвичай не є власником процесу УРП, але може брати в ньому безпосередню участь. Внутрішній аудит може допомогати керівництву та раді/аудиторському комітету в цьому процесі шляхом:

  • моніторингу;
  • вивчення;
  • рекомендацій щодо вдосконалення;
  • оцінки;
  • звітування.

Крім того, внутрішній аудит може надавати ключову допомогу в оцінці ризиків підприємства, оскільки процес інтерв’ювання/анкетування, складання результатів і ранжування ризиків схожий на ОАР. Центр уваги кожного з підходів трохи відрізняється. Так,в УРП застосовуються більш цілісний погляд на ризики для всієї організації у той час, як при ОАР увага зосереджується більше на ризику, який можна перевірити. Наприклад, УРП фокусується на зонах ризику, які могли б перешкоджати загальному успіху організації, багато з яких складно перевірити. З іншого боку, ризик, який можна перевірити шляхом аудиту, повинен розглядатися при ОАР. При цьому участь ВА в кожному процесі оцінки ризику може бути надзвичайно корисною. Деякі з основних переваг залучення ВА у проведення оцінки ризику включають наступне:

  • збільшення впливуна різні рівні керівництва;
  • продовження побудови взаєморозуміння та довіри з керівництвом;
  • забезпечення істинної вартості для організації за допомогою надання детальної інформації щодо того, що є значним ризиком для організації та ключових неписаних питань, які, можливо, не відображені у жодному документі;
  • переорієнтація уваги на ризик і цілі, що є ключовими для керівництва, які відповідають цілям та завданням організації.

Втрачена вартість: ризик нездійснення ОАР
Ті організації внутрішнього аудиту, які недооцінюють необхідність проведення формальної оцінки ризику на щорічній основі, не враховують вплив і значний ризик, який може мати для керівництва не здійснення ОАР. У багатьох випадках це може бути розмова, що охоплює максимально можливий перелік аспектів, яку проводитиме ВА з кількома ключовими співробітниками протягом року. Крім того, чим більше людей співпрацюють з ВА, тим більше вірогідність створення довірчих відносин. Без довіри ВA буде значно важче пробивати горезвісну стіну між керівництвом і ВА і створювати роль сильного радника всередині організації. Для того, щоб дійсно надавати вартість організації, ВА повинен мати глибоке взаєморозуміння з керівництвом. Існує більш висока вірогідність, що до департаменту аудиту, який цінують і якому довіряють всередині організації, будуть звертатися інші департаменти для отримання допомоги у разі необхідності. Цього неможна досягти, якщо не приділяти увагу проводенню зустрічей віч-на-віч з клієнтом в процесі оцінки ризиків.

Як служба, що надає послуги в рамках організації, внутрішній аудит повинен надавати свої послуги клієнтам, як будь-який постачальник послуг – внутрішній чи зовнішній. Клієнти функції повинні розуміти природу послуг, що пропонуються, і відшкодування, яке вони отримують за свої зусилля. Щоб зберігати свою актуальність, департаменти ВА повинні створювати і свідомо впроваджувати плани управління взаємовідносинами з клієнтами, які містять чітко визначену відповідальність. Якщо Керівник внутрішнього аудиту має тільки одноразове спілкування з його/її бізнес-лідерами на рік, Керівник внутрішнього аудиту, ймовірно, не знає, що відбувається з бізнесом. Багато організацій сьогодні переглядають свої стратегії і шукають виходу на нові ринки, що створює нові ризики для організацій. Підприємства, які хочуть вижити і процвітати в сучасному ринку, ймовірно, зазнають суттєвих зміни в стратегії.

Тож, без проведення оцінки ризику, ВА наражається на ризик втрати своєї актуальності. Якщо організація прагне вийти на нові ринки, використовувати нові технології (наприклад, соціальні засоби масової інформації, глобальні мережі) або розширювати свій бізнес-портфель за рахунок внутрішніх ресурсів та зусиль або шляхом об’єднань чи поглинань, ВА відіграє важливу роль, допомагаючи організації зрозуміти і підготуватися до відповідних наслідків ризику. Врешті решт, якщо ВA не може чітко сформулювати, як його робота пов’язана з метою та стратегічною ціллю компанії, функція дійсно може втратити свою актуальність для компанії.

Врешті, багато департаментів внутрішнього аудиту застрягли в розширеному циклі аудиту. Цикл аудиту може бути дуже довгим і важким, і, у багатьох відношеннях, нескінченим навіть після проведення послідуючого контролю зауважень, виявлених у процесі аудиту. Щоб бути справжнім радником в організації, важливим є безперервний моніторинг і самі рекомендації. З іншого боку, легко загрузнути в цьому безперервному циклі аудиту. Департаменти аудиту зайняті протягом більшої частини року і підходить четвертий квартал, а залишається ще дуже багато перевірок, які необхідно завершити для того, щоб зробити ОАР. В результаті цього в кінці року процес ОАР інтеріорізіруется і створюється на основі попереднього року.

Однак виконання більш формальної ОАР допомагає аудиту зосередити свої зусилля на справжній області ризиків і цілях організації. Розуміння ризику, за згодою всіх сторін в аспекті звітування з ризику, допомагає функції аудиту зрозуміти точку зору керівництва і як допомогти організації найкращим чином.

Протидія нескінченному циклу плану аудиторських перевірок

Багато внутрішніх аудиторів не здійснюють щорічну оцінку ризиків, тому що є таке розуміння, що графік аудиторських перевірок контролюється незначною мірою. Організації внутрішнього аудиту, як правило, дублюють роботу попереднього року або закладають в бюджет години на основі наявних людино-годин, а не реального ризику організації. Крім того, у процесі передбачення в бюджеті людино-годин відповідальністю аудиту є швидше зазначення організаційних ризиків.

Роль аудиту полягає в оцінці ризиків і впливу на організацію і наданні аудиторському комітету можливості визначити додаткові ресурси, якщо виникає така необхідність.

Якщо аудиторський бюджет будувався тільки на основі наявних людино-годин, аудиторський комітет ніколи в повній мірі не зрозуміє ризик для організації та ті області ризику, які не потрапляють в коло уваги при перевірці.

Один із способів сприяння департаментам аудиту в боротьбі з цим стресом у кінці року є створення достатньої кількості гнучкого аудиторського часу на додаток до створення ризик-орієнтованого плану аудиторських перевірок організації. Гнучкий час є частиною графіку перевірок, що виділяється сірим кольором і встановлює гнучкість в аудиторському плані. Департамент аудиту має визначити конкретні перевірки, які будуть проводитися, якщо графік не зміниться, але в більшості організацій вважають, що графік постійно змінюється. Наприклад, розслідування шахрайства важко запланувати, і є перевірки, які проводяться за спеціальним запитом, що викликає зміни в початковому плані.

І, нарешті, згідно з 2010.A стандартом Інституту внутрішніх аудиторів, ризик необхідно оцінювати як мінімум щорічно. Проте, чи достатньо проводити оцінку ризику тільки раз на рік в сучаснійкризовій економіці? Багато організацій поглибили безперервну оцінку ризиків, в процесі якої функція аудиту виявляє та оцінює корпоративні рівні ризику шляхом аналізу тенденцій і порівнянь в рамках одного процесу або системи протягом року. Прикладом цього є порівняння отриманих результатів з даними попередніх періодів та з іншими бізнес системами. Поточні тенденції бізнесу та відповідність показникам (в тому числі розміру прибутку, прибутку до вирахування відсотків і податків [EBIT], вінрейту, відкритих зобов’язань, періоду погашення дебіторської заборгованості, скарг, отриманих через гарячу лінію) може допомогти виявити проблеми на ранній стадії. Застосування постійної оцінки ризику ВА в якості інструменту може допомогти ВА проактивно реагувати на показники ризику, і, в свою чергу, дозволить компанії мінімізувати негативний вплив визначених факторів. У цілому, оцінка ризиків є цінним інструментом проактивного використання показників ризику для визначення пріоритетівзавдань для обмежених ресурсів ВА компанії. Наявність достатнього обсягу гнучкого аудиторського часу в плані аудиторських перевірок надасть департаменту аудиту гнучкість щодо зміни свого плану ефективним і дієвим чином.

Висновок

Внутрішні аудитори не повинні недооцінювати важливість внутрішньої оцінки аудиторського ризику і здійснення формального процесу, принаймні на щорічній основі. Вплив і можливості розвитку відносин з керівництвом безмежні, і в ці часи, пов’язані з фінансовим тиском, збереження контролю над ключовими областями ризику та вплив на цілі організації, є одним з найбільш важливих кроків, який продовжує додавати вартість. Здійснення принаймні щорічної оцінки аудиторського ризику допомагає аудиту правильно зрозуміти ризики в частині їхнього обсягу і переорієнтувати діяльність функції на цілі і завдання організації.


[1]ВГО “Інститут внутрішніх аудиторів України”, Міжнародні стандарти професійної практики внутрішнього аудиту (Стандарти), Редакція: січень 2013, http://www.iia.org.ua

[2]Комітет спонсорських організацій Комісії Тредуея (COSO), управління ризиками підприємства – інтегрована концепція внутрішнього контролю. www.coso.org

Поділитися

The Author

Sergii

IT and Information security consultant, IT auditor, lecturer

ВГО "Інститут Внутрішніх Аудиторів України" © 2012-2016 Frontier Theme