Однако перед тем как приступить к описанию каждого из этапов аудиторской проверки, следует особо обратить внимание на ежегодные процедуры, осуществляемые до начала проведения запланированных проверок.

Ведь, для того чтобы непросто провести аудит в компании, а провести его эффективно, необходимо определить наиболее рисковые участки, которые и будут подлежать проверке. С этой целью каждый отчетный год в компании составляется годовой план внутренних проверок на следующий год и перед его началом утверждается на Комитете по аудиту.

Годовой план внутренних аудиторских проверок составляется на основе карты рисков, которая, в свою очередь, формируется на основе опросных таблиц, заполненных владельцами рисков. Владельцами рисков являются должностные лица компании ответственные за аудируемый объект. Как правило, это руководители отделов и подразделений.

Поэтому первым, что необходимо сделать, это собрать информацию от этих лиц, в виде заполненных ими таблиц.

2.2.1.Опросные таблицы (анкеты) и единая сводная таблица

На усмотрение аудитора, сведения в таблицах могут располагаться вертикально, либо горизонтально. Наименование столбцов или граф таблицы может быть следующим:

– наименование риска;

– владелец риска;

– описание риска;

– вероятность возникновения риска (значение данного субъективного фактора определяется экспертным путем в процентном отношении);

– финансовый показатель, на который риск влияет напрямую (например, выручка, прибыль, остаток денежных средств);

– степень прямого влияния риска (оцифровка риска; перевод в денежный эквивалент);

– мероприятия, проводимые владельцем риска по управлению риском.

Таблица заполняется владельцами риска как можно тщательнее и достоверней. Далее, перед тем как эти таблицы будут использованы для подготовки карты рисков, они проходят дополнительный контроль. Для этого внутренние аудиторы тщательно анализируют их на соответствие действительности и перепроверяют. При этом для составления карты рисков могут быть использованы не только сведения, содержащиеся в таблицах, но и другие данные, например отчеты внешних аудиторов, правовые заключения консультантов, ранее представленные отчеты внутренних аудиторов; финансовые показатели деятельности компании и т. д. В данном случае аудиторы осуществляют сбор всей необходимой для соблюдения принципа объективности информации.

Все полученные опросные таблицы следует консолидировать в одну или несколько сводных таблиц^[5], в зависимости от финансовых показателей на которые они влияют.

Пример единой сводной таблицы (без разбивки по финансовым показателям), сформированной на основании опросных таблиц, предоставленных владельцами рисков, смотрите ниже на рисунке 6.

Рисунок 6. Сводная таблица (без разбивки по финансовым показателям)

2.2.2.Градация рисков

Далее осуществляется градация рисков по убыванию их стоимости. Стоимость риска рассчитывается, как вероятность возникновения риска, умноженная на степень его влияния.

В таблице обязательно следует указать порядковые номера рисков, присвоенные им при формировании сводной таблицы. Это поможет идентифицировать риск на карте рисков. Градация рисков по стоимости представлена на рисунке 7.

Рисунок 7. Градация рисков по стоимости

2.2.3. Карта рисков

Далее, результат следует перенести на карту рисков.

Карта представляет собой двухмерное пространство в виде полей (ячеек), расчерченное по вертикали и горизонтали с учетом двух основных показателей: рассчитанной нами стоимости риска (по оси ординат) и вероятности его возникновения (по оси абцисс).

Карта заполняется путем переноса в соответствующие поля (ячейки) порядковых номеров рисков.

Градацию рисков можно осуществить по трем и более стоимостным категориям рисков. В данном случае приведен пример распределения рисков по 5 стоимостным категориям:

– низкая стоимостная категория рисков: риски стоимостью менее 1 млн. рублей;

– ниже среднего значения: риски, стоимостью свыше 1 млн. рублей до 5 млн. рублей включительно;

– средняя стоимостная категория рисков: риски стоимостью свыше 5 млн. рублей и до 10 млн. включительно;

– выше среднего значения: риски, стоимостью свыше 10 млн. рублей до 15 млн. рублей включительно;

– высокая стоимостная категория рисков: риски стоимостью свыше 15 млн. рублей.

Вероятность возникновения риска можно обозначить на карте в виде 20-ти процентных интервалов.

Для большей наглядности карту можно разбить на три зоны рисков по цветам:

– зеленая зона (зона рисков с наименьшим средним соотношением: стоимость риска/вероятность возникновения риска) располагается по диагонали в левом нижнем углу;

– желтая зона (зона рисков со средним соотношением: стоимость риска/вероятность возникновения риска) располагается по диагонали по середине;

– красная зона (зона рисков с наибольшим средним соотношением: стоимость риска/вероятность возникновения риска – зона повышенного внимания к рискам) располагается по диагонали в правом верхнем углу;

Каждая цветная зона на карте характеризуется диапазонами стоимостных категорий и вероятностных значений, присущими только ей одной. Пример заполнения карты рисков приведен на рис. 8

Рисунок 8. Карта рисков

Фактически, карта рисков является перечнем опасных ситуаций, имеющих место в компании. Она показывает возможные проблемы, на которые стоит обратить особое внимание и с которыми следует работать. Данный инструмент контроля и мониторинга за хозяйственной деятельностью компании дает собственникам и менеджменту понимание текущего положения и является стратегической основой для управления рисками. Также, принимая во внимание динамику развития (изменение, прекращение) рисков и учитывая тренд на возникновение новых, можно смоделировать карту рисков на несколько лет вперед.

2.2.4. Годовой план аудиторских проверок

Далее, с учетом заполненной карты рисков формируется годовой план аудиторских проверок, который утверждается Комитетом по аудиту. Общий вид этого документа представлен ниже на рисунке 9.

Рисунок 9. Годовой план аудиторских проверок

Отмечу, что издавать отдельные Приказы на каждую проверку не обязательно, хотя такая практика имеет место в большинстве компаний. Вместо этого можно издать один Приказ руководителя со ссылкой на Годовой план проверок. Этого, по сути, будет достаточно, в качестве оснований, для проведения аудиторских проверок в течение всего года.

Образец такого Приказа смотрите ниже на рисунке 10.

Рисунок 10. Приказ руководителя на проведение аудита в течение 2018 г.

5. Риски, влияющие на разные финансовые показатели, сравнивать между собой не рекомендуется. Сравнивать следует только риски, напрямую влияющие на одни и те же финансовые показатели. Поэтому целесообразно сделать несколько таблиц по количеству финансовых показателей, на которые риск оказывает прямое влияние.