Глава 2. Организация и проведение внутреннего аудита. Проверка. Документальное оформление
В настоящей главе, как следует из ее названия, мы рассмотрим отдельные этапы внутренней проверки и разберемся с нюансами составления основополагающих аудиторских документов. Но сначала несколько слов о рисках, которые, так или иначе, тесно связаны с самой проверкой.
Дело в том, что понимание этого вопроса даст нам более полное представление о целях аудита, которые необходимо достичь и рисках, с которыми неизбежно сталкивается аудитор на каждом из этапов этой самой проверки.
Раздел 2.1. Виды рисков
На практике существует множество различных понятий и видов рисков, сопутствующих аудиту. Мы остановимся на двух, по моему мнению, базовых понятиях: риске необнаружения и бизнес-риске.
Сразу отмечу, что сравнивать между собой данные риски, просто-напросто, не имеет смысла. Дело в том, что предметы, объекты и субъекты этих рисков различны. И хотя среда их возникновения едина – это всегда аудиторская проверка, они имеют разную природу и разные причины своего происхождения.
Существуют целые научные подходы к анализу и расчету этих рисков. Мы не будем их затрагивать. Я просто обозначу основные элементы этих двух рисков и разграничу природу их появления. Сделаю я это для общего представления и понимания сути происходящего.
2.1.1. Риск необнаружения
Итак, первый риск, на который я хотел бы обратить ваше внимание, и с которым в первую очередь имеет дело аудитор, это риск необнаружения. Данный вид риска является разновидностью аудиторского риска в его широком понимании и толковании. В состав понятия аудиторского риска, включены также и иные разновидности рисков, в том числе:
– риск существенного искажения;
– внутренний риск;
– риск контроля.
Риск необнаружения возникает в ходе аудиторской проверки, с самого ее начала. Природа его возникновения заключается в том, что приступая к проверке, аудитор, в любом случае сталкивается с вероятностью невыявления искажений или ошибок, которые могут оказаться существенными для формирования аудиторского мнения. Так, аудиторское мнение может оказаться недостоверным, например, в случае непопадании существенных искажений в аудиторскую выборку, а также, в случае сокрытия информации от аудитора или в результате предоставления ему ложных сведений, то есть при наличии риска существенных искажений и т. д.
И хотя при должном подходе к проверке такого, как правило, не происходит, перечисленные выше случаи могут иметь место на практике.
Степени риска необнаружения каждый аудитор определяет самостоятельно. Значение степеней может выражаться числовыми показателями или уровнями, обозначаемыми как «высокий», «средний» и «низкий». Безусловно, что оценка степени риска носит субъективный характер, но она позволяет рассчитать риск и применить против него «противоядие». «Противоядием» является набор дополнительных мероприятий и процедур, которыми аудитор усиливает план аудиторской проверки перед ее началом. Здесь важно помнить, что избежать его полностью, невозможно. Главное довести этот вид риска до приемлемых значений.
Данные мероприятия и процедуры могут являться частью, так называемого риск-ориентированного подхода к процессу проведения аудита. Целью данного подхода является достижение уверенности в том, что полученная информация и отчетность компании не содержат существенных искажений и ошибок. Достигается эта цель, как сказано выше, путем снижения аудиторского риска, в особенности риска необнаружения, до допустимых пределов. Как правило, риск-ориентированный подход к аудиту, находит свое письменное отражение в отдельном локально-нормативном акте или же в Положении по аудиту.
Прежде чем обозначить предмет, объект и субъект риска, определимся с этими понятиями.
Итак, объект риска – это то, что может породить рисковую ситуацию, а также то, на что направлено воздействие субъекта при принятии решения. Предмет риска – то к чему такая рисковая ситуация может привести и субъект риска – физическое или юридическое лицо, выполняющее функции управления риском.
Таким образом, объектом риска необнаружения является неизбежная вероятность невыявления существенных искажений и ошибок. Формирование ложного аудиторского мнения – это его предмет. Ну, а субъектом является сам аудитор.
2.1.2. Бизнес-риск
Второй вид риска, с которым я хотел бы вас познакомить – это бизнес-риск, в самом широком его понимании.
Суть его заключается в том, что уже само предприятие, в качестве субъекта, несет всевозможные риски, в том числе, риски потери капитала, неполучения прибыли, мошеннических действий, коррупционные, репутационные риски и т. д. и т. п.
Объектом бизнес-риска является аудируемый бизнес-процесс, показатели отчетности, то есть объект аудита. Предметом риска выступает, как правило, негативное последствие, либо воздействие на экономическое, репутационное положение компании на рынке, в связи с вероятностью ухудшения ее финансового положения.
Отмечу, что бизнес-риски можно разделить на две категории: внутренние и внешние. Также их можно разграничить и по другим критериям, например, краткосрочные и постоянные; приемлемые и критические (катастрофические); производственные, коммерческие и финансовые.
Разрешается даже соотнести их с представленными выше, видами внутреннего аудита, являющимися элементами системы внутреннего контроля, и представить в виде риска искажения отчетности, стратегического, корпоративного, операционного и правового рисков.
По данным опроса[3], проведенного консалтинговой компанией KPMG «ТОП-10 рисков для внутреннего аудита в 2015 г.» выглядит следующим образом (рис. 5):
Рисунок 5. ТОП-10 рисков для внутреннего аудита в 2015 году
Не удивительно, что вопросы кибербезопасности стоят на первом месте в числе рисков компаний. Вероятно, что и в настоящее время, в связи с прогрессирующим развитием кибертехнологий во всем мире, и наличием безграничного потенциала к их постоянному усовершенствованию, вопросы кибербезопасности не просто занимают первое место среди внутренних рисков большинства компаний, а лидируют со значительным отрывом. Скорее всего, то же самое будет происходить с технологиями в обозримом будущем. Поэтому риски кибербезопасности останутся для компаний, по-прежнему, на первом месте.
Далее в рейтинге, риски[4] располагаются по убыванию их значимости для владельцев бизнеса и топ-менеджмента.
Жаль, что риски подбора и удержания талантов находятся на последнем месте. Не исключаю, что если бы компании больше времени уделяли вопросу удержания талантов, то и все выше приведенные риски могли быть в той или иной степени нивелированы. Ведь, как показывает практика, сотрудники – главная ценность, а их наработки – бесценное наследие для большинства компаний-долгожителей.
Взять, к примеру, Стива Джобса (корпорация Apple и киностудии Pixar); Арно Бернара (компании Louis Vuitton, Moёt, Hennesy), Лоуренса Эллисона (компания Oracle); Рустама Тарико (банк Русский Стандарт); Абдула Азиза Аль Гурейра (компания Mashreq); Олега Тинькова (компании Техношок, Дарья, пиво «Tinkoff», Тинькофф банк); Джеффа Безоса (магазин Amazon); Джека Ма, Иосифа Цайа (компания Alibaba Group); Тадаши Янаы (компания Fast Retailing) и многих других замечательных людей. Да, это не рядовые сотрудник, а менеджеры топ-уровня, многие из них владельцы бизнеса, но начинали они с низов и прошли долгий путь. В результате их наследие и вклад в развитие целой индустрии – огромны, а их талант и опыт представляют большую ценность для компании.
Однако, на локальных уровнях, все иначе. Зачастую, при увольнении значимых топ-менеджеров и подборе на их место новых сотрудников можно услышать расхожую фразу об отсутствии незаменимых людей. Лично я с таким подходом не согласен категорически.
Незаменимые сотрудники – есть. И это даже не те, кто идеально подходит компании, разделяет ее корпоративные ценности и соответствует ее духу. Это те, кто создают этот дух, те, кто ведут остальных за собой, увлекают умы своих коллег и клиентов и принимают нестандартные бизнес-решения.
Звучит, немного высокопарно, но, тем не менее, это так. Все они – харизматичные лидеры и без них, компании в долгосрочной перспективе придется испытывать трудности, если только они не оставят после себя наследие. Скорее всего, на их смену придут другие менеджеры, но так или иначе, компания уже не будет прежней. Однако это вопросы другого порядка.
Возвращаясь к теме рисков и подводя промежуточный итог, мы для себя выяснили, что во внутреннем аудите применяются два фундаментальных риска: риск аудиторский и риск бизнеса.
Будем иметь это в виду, для лучшего понимания того, что изложено далее в этой книге.
