Аудит систем менеджмента качества

      Руководство  предприятия  несет ответственность за разработку и фактическое воплощение  системы  внутреннего контроля. От него зависит, чтобы эта система отвечала размерам  и  специфике деятельности предприятия, функционировала регулярно и эффективно.

           Система  контроля  должна  быть  экономически  оправданной,  то  есть затраты на ее функционирование  должны быть меньше потерь предприятия  из-за ее отсутствия. Если система внутрихозяйственного контроля  будет  эффективно функционировать, это  позволит  сократить  расходы  на  проведение  внешнего аудита.

          Система  внутрихозяйственного  контроля  предприятия   включает   три основных элемента: среду контроля, учетную систему и процедуры  контроля.  В сочетании все элементы системы контроля  обеспечивают  предприятию  снижение риска в деловой и финансовой деятельности, а также в бухгалтерском учете.

         Среда контроля  –  это  действия,  мероприятия  и  процедуры,  которые отражают  общее  отношение  администрации  и  собственников  предприятия   к контролю, степень значимости контроля  для  предприятия.  При  оценке  среды контроля  выделяются  следующие  элементы:   стиль   и   основные   принципы управления,   организационная   структура,   распределение   полномочий    и ответственности,  управленческие  методы  контроля,  работа  с   персоналом, влияние внешних факторов.

        Стиль  и  основные  принципы  управления   выражаются   в   отношении администрации ко  многим  элементам деятельности,   например   в   степени готовности  администрации идти  на  риск  при осуществлении хозяйственных операций либо стремление  избегать  любых форм  риска,  соблюдении  высшими руководителями  этнических  норм   поведения   либо   нарушении   финансовой дисциплины.

       Организационная  структура  определяет  существующие  формы  власти  и подчинения   на   предприятии,   регламентирует   области    полномочий    и ответственности сотрудников, порядок составления отчетов.

        Организация внешнего аудита.

      Аудит   представляет   собой   прежде   всего    предпринимательскую деятельность  аудиторов  и  аудиторских   фирм   по   проведению   проверок, консультированию клиентов по учетным,  налоговым,  управленческим  и  другим вопросам с целью  подтверждения  достоверности  бухгалтерской  отчетности  и повышения эффективности  финансово-хозяйственной  деятельности  предприятий.

    Каждая  аудиторская проверка ограничена во времени, поэтому  аудитору  всегда важно четко определить ее  цели,  безошибочно выбрать исследуемые объекты проверки,  грамотно  спланировать  свои  действия,   применить   эффективные аудиторские   процедуры   и   собрать   необходимые    доказательства    для формулирования объективного заключения.

      Анализ  экономической  литературы  не  позволяет  сделать  однозначный вывод об основных этапах технологии аудита. Так, ряд зарубежных авторов  выделяют следующие этапы аудита:

      -  начальная стадия  аудиторской проверки,   которая   предполагает         планирование проверки, аналитический обзор отчетности  предприятия,         предварительную   оценку    материальности    (существенности)    и         аудиторского риска;

    - оценка системы внутреннего контроля, которая включает оценку  риска неэффективности системы контроля, документирование данных  об  этой системе,  определение   аудиторских   процедур   проверки   системы         контроля;

        - завершение  аудиторской проверки.  На  этом  этапе осуществляется         формирование аудиторского заключения (отчета) и  представление  его         клиенту.

           Некоторые  российские  специалисты  с   различной   степенью       детализации выделяют следующие этапы аудиторской проверки:

       - подготовка  и планирование  аудита.  На  этом  этапе  производится        ознакомление с  экономикой  проверяемого  предприятия,  оценивается         существенность и аудиторский риск, система бухгалтерского  учета  и         система  внутреннего  контроля,  разрабатывается   общий   план   и         программа проверки;

      - документирование и оформление  результатов аудиторской проверки.  Этот  этап  включает  проведение  аудиторских процедур,   сбор   и документирование аудиторских доказательств, формирование информации  для руководства  проверяемого  предприятия,   оценку   результатов проведения аудита и оформление аудиторского заключения.

        Выделяются  три  основных  этапа  проведения  аудита:  подготовка   и планирование  аудиторской  проверки,  выполнение  аудиторских   процедур   и оформление рабочей документации, составление аудиторского заключения.

    3. Сравнение российской и зарубежной специфик организации системы внустреннего аудита

    В российских компаниях до сих пор  крайне редко существует полноценная  и независимая служба внутреннего аудита; ее отсутствие частично заменяется контрольно-ревизионным управлением или службой внутреннего контроля.

    В общем случае контрольно-ревизионные  управления (КРУ) фокусируются на вопросах проверки сохранности товарно-материальных ценностей, эффективности использования ресурсов, выполнения распоряжений вышестоящих органов, а также на расследовании мошенничеств. Внутренний аудит призван выполнять более широкие задачи по оценке процессов внутреннего контроля, управления рисками, корпоративного управления. Однако, в зависимости от уровня развития корпоративной культуры (в том числе, среды контроля), приоритетом службы внутреннего аудита может являться решение задач, обычно стоящих перед КРУ.

    Похожим образом, задачей службы внутреннего  контроля может быть построение системы внутреннего контроля компании (точнее — активное содействие менеджменту в построении системы), а задачей внутреннего аудита — проведение оценки надежности и эффективности этой системы, а также оказание консультационной поддерж -ки на этапе разработки систем и процедур. Хотелось бы заметить, что в большинстве случаев высшее исполнительное руководство склонно рассматривать внутренний аудит как ресурс, решающий управленческие задачи по построению системы контроля, что в корне неверно, поскольку ведет к прямому конфликту интересов.

    В данный момент вопросы, связанные с  внутренним аудитом, не регулируются российским законодательством, за исключением  отдельных положений, касающихся финансово-кредитных  организаций и профессиональных участников фондового рынка. Однако российские компании, имеющие листинг на Нью-Йоркской фондовой бирже через ADR (Американские депозитарные расписки), также попадают под действие закона Sarbanes-Oxley, и, следовательно, имеют независимую службу внутреннего аудита, занимающуюся периодическими проверками на соответствие SOX. Тем не менее, по мнению Российского института внутренних аудиторов на текущий момент подавляющее большинство российских компаний, в том числе имеющих международные операции и филиалы, находятся в лучшем случае на этапе развития, описанном выше и соответствующем 1980–1990-м гг.

    Особое  исключение составляют российские представительства, филиалы или дочерние компании международных  организаций, прежде всего транснациональных  корпораций с листингом на биржах США. Такие компании имеют полноценную службу внутреннего аудита, однако, как правило, она базируется в головном офисе компании либо в ее субрегиональных подразделениях, очень редко — в российских филиалах.

    ЗАКОН SARBANES-OXLEY

    Закон Sarbanes-Oxley, принятый в 2002 г., является фактически ответом на ряд корпоративных скандалов, связанных с компаниями Enron, Tyco International, Adelphia, Peregrine Systems и World -Com. Случаи нарушений в этих компаниях, стоящих инвесторам миллиарды долларов, пошатнули уверенность в американских ценных бумагах. Закон был разработан сенатором Полом Сарбей-нсом (Paul Sarbanes) и членом Палаты представителей Майклом Оксли (Michael G. Oxley), в связи с чем и получил сокращенное название SOX.

    Закон устанавливал новые усложненные стандарты для всех американских советов директоров, менеджмента, и бухгалтерских компаний, однако не затрагивал фирмы — семейные компании, а также компании, чьи акции или доли не имели листинга на фондовых биржах США. Закон содержал 11 частей, или параграфов, в том числе включающих дополнительные требования к советам директоров корпораций и обязывающих Комиссию по Ценным Бумагам (The Securities and Exchange Commission, SEC) следить, чтобы игроки рынка следовали положениям закона. Закон также утверждал новую организацию — Наблюдательный совет (The Public Company Accounting Oversight Board, PCAOB), ответственный за мониторинг, регулирование, инспектирование аудиторских компаний. В целом новый закон охватывал вопросы аудиторской независимости, корпоративного управления, оценки внутреннего конт -роля и развернутой финансовой отчетности. 
С точки зрения влияния на внутренний аудит наиболее значимыми разделами закона были параграфы 302 и 404.

    Параграф 404 закона Сарбейнса-Оксли обязывает  руководителей развивать и осуществлять мониторинг процедур и проверок с целью последующего предоставления документов, подтверж -дающих адекватность внутреннего контроля финансовой отчетности. Тот же параграф требует от менеджмента выполнения внутренними аудиторами аттестации этих документов и процедур. Раздел 302 формирует требование к руководителям не только выполнять ежеквартальную сертификацию проверок финансовой отчетности, но и подробно документировать данные проверки и процедуры.

    Руководство несет ответственность за обеспечение соответствия организации требованиям §302 и §404, а также другим требованиям закона, при этом данная ответственность не может делегироваться или слагаться. Поддержка руководства в выполнении данных обязанностей является необходимой ролью внутреннего аудита.

    Параграф 404 напрямую апеллирует к внутреннему  аудиту. Внутренний аудит производит оценку системы внутреннего контроля компании. В мире существует несколько  общепринятых принципов построения данной системы. Наиболь -шую известность  имеет модель, разработанная Комитетом спонсорских организаций — COSO (в которую входят такие организации, как AICPA, IIA, IMA, FEI, AAA). Именно на эту модель дана прямая ссылка в §404 закона Сарбейнса-Оксли. В модели COSO Internal Control — Integrated Framework система внутреннего контроля состоит из пяти взаимосвязанных компонентов, каждый из которых имеет отношение ко всем категориям бизнес-целей (стратегическим, операционным, целям отчетности и соответствия требованиям законодательства):

• контрольнаясреда — Control Environment;
• системавыявленияиоценкирисков — Risk Assessment;
• контрольныепроцедуры — Control Activities;
• информационнаясредаисистемакоммуникаций — Information and Communication;
• системанаблюдения — Monitoring.

    В октябре 2004 г. была издана новая разработка COSO — модель COSO ERM — Integrated Framework (ERM — enterprise risk model), объединившая в себе как компоненты системы внутреннего контроля, так и компоненты системы управления рисками (рис. 1).

    Дискуссии о преимуществах детализированного контроля, определяемого SOX, и связанных с его внедрением дополнительных расходах начались сразу же после вынесения этого законо -проекта на обсуждение. Сторонники законопроекта утверждали, что необходимое ужесточение регулирования сыграет роль в восстановлении доверия на рынках. Оппоненты возражали: сопутствующий этому процессу рост расходов снизит конкурентоспособность США как площадки привлечения капитала по сравнению с другими странами. Теперь, спустя пять лет, можно утверждать, что правы оказались как первые так и вторые.

    В ключе этого обсуждения очень  интересно мнение Дэвида Твиди (David Tweedie), председателя Совета по международным  учетным стандартам (International Accounting Standards Board, IASB) — организации, отвечающей за разработку и внедрение МСФО (IFRS). В одном из своих интервью в апреле 2008 г. он прямо заявил, что закон Сарбанеса-Оксли — это отличный пример того, «как не надо делать». По его мнению, вся философия усиления регулирования и введения более детальных и формальных операций контроля была неверной. В качестве доказательства он приводит пример учетных стандартов МСФО, основанных на принципах (principle-based standards), в отличие от стандартов, основанных на правилах (rule-based standards).

    Стандарты МСФО, в частности, предполагают, что финансовый директор способен организовать и гарантировать качественную финансовую отчетность и нести ответственность за намеренные либо непреднамеренные случаи нарушения учетных принципов и правил раскрытия финансовой информации (disclosures). Знаменательно, что последние рекомендации PCAOB и особенно комментарии SEC снижают уровень требований к компаниям, в том числе предлагая аудиторам сконцентрироваться на контроле на уровне всей организации, в особенности на крупных счетах, серьезных процессах и процедурах, где нарушения могут привести к значительным потерям (под «значительными» в данном контексте, как правило, понимается уровень в $1 млрд). Среди экспертов широко распространено мнение, что в дальнейшем требования SOX будут и дальше облегчать нагрузку, что позволит корпорациям выделить освободившиеся ресурсы под новые задачи.