Куперс

Бухучет и анализ

Матрица рисков и контролей

Формирование матриц рисков и контрольных процедур

Ключевой целью формирования матрицы является соотнесение рисков, влияющих на деятельность объекта аудита, с системой внутреннего контроля бизнес-процессов этого объекта. В результате выявляются провалы в системе внутреннего контроля объекта аудита. Они возникают тогда, когда система внутреннего контроля упускает из виду конкретные риски. В таком случае возможны три ситуации:

1. В системе внутреннего контроля отсутствуют контрольные процедуры, направленные на оптимальное нивелирование параметров конкретного риска, например, выбор поставщика без проведения тендера приводит во многих ситуациях к выбору неоптимального поставщика.

2. Контроль воздействует на риск, однако оптимального нивелирования не достигается, например, процедура тендера вроде есть, но пул участников формируется дирекцией по закупкам, при этом база поставщиков не ведется. В этом случае также довольно часто выбирается неоптимальный поставщик.

3. Контроль способен оптимально нивелировать параметры риска, однако в силу различных причин этого не происходит, например, процедура тендера идеальна по своей структуре и содержанию. Однако для ее ускорения могут форсироваться те или иные этапы (например, сокращаться сроки приема коммерческих предложений без извещения всех потенциальных поставщиков), что в конечном итоге приводит к выбору неоптимального поставщика.

На этапе планирования матрица составляется для того, чтобы получить общую картину по управлению ключевыми рисками процесса. Кроме того, наличие матрицы позволяет оптимально распределять ресурсы и выстраивать правильную последовательность приоритетов.

В базовом варианте матрицы имеется четыре раздела – «Процесс», «Риск», «Цель контроля» и «Контроль». Информация из одного раздела увязывается с информацией из других трех разделов. По этой причине наиболее распространенным форматом матрицы рисков и контрольных процедур является таблица. Рассмотрим кратко содержание каждого раздела.

1. Раздел «Процесс». Здесь указывается процесс, который в остальных трех разделах анализируется на предмет рисков и контрольных процедур. В зависимости от детализации матрицы вместо процесса может указываться подпроцесс или даже этап подпроцесса.

2. Раздел «Риск». Здесь указывается риск, который негативно влияет на достижение целей рассматриваемого процесса. По каждому из процессов (подпроцессов, этапов подпроцесса), включенных в матрицу, может быть более одного риска. Максимальное количество рисков не ограничено. Однако при формировании перечня рисков не стоит увлекаться количеством ради количества. Необходимо придерживаться практического подхода и указывать только те риски, которые действительно могут встретиться в реальности, исходя из данных предварительного анализа процесса.

3. Раздел «Цель контроля». Существуют различные подходы к заполнению данного раздела. Во-первых, можно привести расширенную формулировку цели контроля (см. пример в табл. 10). С одной стороны, она может способствовать более точному пониманию того, каким должен быть контроль. Например, в нашем случае указывается конкретное действие, которое должно произойти в результате выполнения контрольной процедуры, – прерывание процесса «Формирование потребности в материалах для закупки». С другой стороны, существенным минусом расширенной формулировки является утрата унификации и универсальности. При использовании расширенной формулировки необходимо иметь детальное представление о структуре и содержании процесса, например, в одном случае целью контроля может быть прерывание процесса, а в другом – уведомление о возникшей ситуации для принятия точечного решения. Так или иначе, в большинстве случаев на этапе планирования не предполагается, что команда внутренних аудиторов обладает таким детальным представлением. Кроме того, как бы странно это ни звучало, но нередко выбор расширенной формулировки – это дело вкуса, а вкус – понятие субъективное, например, разные люди могут по-разному понимать слово «прервать» (например, запретить или потребовать дополнительного согласования). Также разные люди склонны использовать разную лексику для обозначения одних и тех же явлений и действий. Все эти факторы могут вносить дополнительный сумбур в понимание информации, изложенной в матрице рисков и контрольных процедур. В то же время в качестве целей контроля можно использовать определенную терминологию. Один из ее вариантов представлен в главе 3. В ней описываются семь ключевых целей контроля. Если использовать предлагаемую терминологию, то цель контроля будет иметь иную формулировку (см. табл. 11). Она обозначается не каким-либо действием, а некой качественной характеристикой, которую контрольная процедура должна достичь. Таким образом, обеспечивается унификация и отсутствие привязки к конкретному содержанию контрольной процедуры, которое неизвестно на этапе планирования проекта. Кроме того, использование унифицированных целей контроля позволяет быстрее и правильнее оценить, насколько конкретная контрольная процедура достигает цели.

Таблица 10. Пример расширенной формулировки цели контроля

4. Раздел «Контроль». В большинстве случаев суть контроля заключается в осуществлении того или иного действия, которое направлено на достижение цели контроля. Отсюда широко используется термин «контрольная процедура», который лишний раз подчеркивает направленность контроля на создание активности. Разумеется, на этапе планирования формулировки многих контрольных процедур могут выглядеть обобщенно. Необходимо иметь в виду, что крайне важно уточнять содержание и структуру контрольных процедур в процессе работы по проекту – детализация процесса и контрольных процедур процесса должны быть сопоставимыми. Кроме того, раздел «Контроль» можно разбить на два подраздела. В первом указывается оптимальный контроль (исходя из предполагаемого содержания и структуры процесса), а во втором – фактический контроль (исходя из имеющегося на этапе планирования представления о фактическом содержании и структуре процесса). Если есть подозрение отсутствия контроля на том или ином этапе подпроцесса, информация по фактическому контролю не заносится. Такие случаи подлежат уточнению по мере выполнения проекта.

Таким образом, на этапе планирования матрица рисков и контрольных процедур в базовом варианте представляет собой таблицу, состоящую из четырех разделов. В ряде случаев раздел «Контроль» может быть разбит на два подраздела. В дальнейшем, в процессе выполнения проекта внутреннего аудита матрица уточняется и обрастает новыми графами. Более подробно мы рассмотрим этот процесс в разделе «Документирование работы внутреннего аудита» главы 9.

Данный текст является ознакомительным фрагментом.
Читать книгу целиком
Поделитесь на страничке

Audit-it.ru / Аудиторская фирма «Авдеев и К»

До проверки конкретных участков учета аудитор должен оценить состояние среды контроля, эффективность построения учетной системы, а также надежность системы внутреннего контроля организации. Это необходимо для определения вероятности возникновения искажений в учете клиента и построения дальнейшей работы аудитора.

Среда контроля — это обстоятельства и факторы, непосредственно не связанные с учетом, но оказывающие значительное влияние на его эффективность.

Аудитор изучает среду контроля уже с момента первого знакомства с предприятием (его руководителем, бухгалтером). Основными моментами, которые от должен выяснить, являются:

    • Влияние организационной структуры, вида и масштабов деятельности предприятия на особенности бухгалтерского учета;
    • Структура управленческой системы, разделение полномочий и ответственности;
    • Особенности взаимоотношений собственников с непосредственными управляющими делами, между директором и главным бухгалтером, степень взаимного доверия;
    • Отношение администрации, директоров и владельцев организации к вопросам бухгалтерского учета;
    • Отношение учетного персонала к своим обязанностям.

Необходимую информацию по перечисленным вопросам получают в результате наблюдения, личных бесед, ознакомления с учредительными документами.

Субъективно оценив среду, в которой функционирует учетная система, аудитор изучает саму систему учета. А именно: соответствие организации бухгалтерского учета на конкретном предприятии его отраслевой принадлежности, масштабам деятельности; действующим нормативным актам, регламентирующим бухгалтерский учет в РФ (Закону «О бухгалтерском учете», Положению по бухгалтерскому учету и отчетности в РФ). Особое внимание нужно обратить на уровень профессионализма бухгалтеров, определить их компетентность и, по возможности, честность. В большей степени именно эти качества определяют эффективность роботы всей учетной системы.

Система внутреннего контроля — это специальные процедуры, введенные руководством (собственниками, директором, главным бухгалтером) для недопущения либо оперативного выявления и устранения как случайных, так и умышленных искажений в учете и отчетности; обеспечения сохранности имущества организации.

Система внутреннего контроля строится на:

    1. разделении обязанностей. Для предотвращения злоупотреблений и хищений необходимо разделение обязанностей по хранению материальных ценностей, совершению сделок и учету. Кроме того, в случае, когда каждый отдел будет вести учет своей деятельности полностью, то возрастает опасность предоставления им ложных данных с целью улучшения показателей.
    2. наличии эффективных процедур санкционирования операций. Для осуществления операций необходимо наличие решения ответственных лиц, выполнения всех формальностей.
    3. своевременном надлежащем документировании операций. При большом интервале времени между совершением операции и фактом ее учета возрастает вероятность ошибки.
    4. фактическом контроле за имуществом и документацией. То есть использование технический средств и процедур, предотвращающих утерю, изъятие или неправомерное изменение учетной документации.
    5. осуществлении независимых проверок. Это одна из функций внутреннего аудита.

Аудитору следует изучить и понять каждый из элементов системы внутреннего контроля на данном предприятии. При этом аудитор должен принять во внимание два аспекта: какие именно методы и процедуры предусмотрены на предприятии и применяются ли они на практике.

В ходе исследования внутреннего контроля аудитору необходимо принимать во внимание присущие любой системе внутреннего контроля изъяны. Не может быть системы эффективной на сто процентов. Наиболее очевидное ограничение обусловлено необходимостью удерживать в разумных, т.е. экономичных, пределах затраты на проведение контрольных процедур, с тем чтобы эти затраты не оказались несоразмерными по отношению к выявляемым убыткам от ошибок и мошенничеств. К числу факторов, сдерживающих эффективность внутреннего контроля, относятся: ориентация большей части видов внутреннего контроля на ожидаемые типы операций, а не на редкие операции; возможность ошибки, которая может быть допущена персоналом внутреннего контроля вследствие небрежности, рассеянности, заблуждения или неверного понимания инструкций; вероятность того, что лицо, ответственное за осуществление контроля, может злоупотребить своим положением. Наконец, внутренний контроль может быть обойден в результате тайного мошеннического сговора ряда лиц как внутри предприятия, так и с участием внешних сторон.

Однако, несмотря на присущие любой системе контроля изъяны, наличие даже простых видов контроля может способствовать достижению аудитором уверенности в том, что все операции надлежащим образом записаны в учетных регистрах. При оценке внутреннего контроля цель аудитора — определение уровня доверия, которое он может оказать этому контролю. Результаты исследования системы внутреннего контроля влияют на определение типа, времени и масштаба независимых аудиторских процедур.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Наверх