Планування внутрішнього аудиту: вимоги вітчизняних
стандартів та міжнародна практика
"Керівник внутрішнього аудиту повинен ефективно управляти функцією внутрішнього аудиту для того, щоб вона додавала вартості організації" (Міжнародний стандарт професійної практики внутрішнього аудиту 2000 "Управління функцією внутрішнього аудиту", Інститут внутрішніх аудиторів)
Єдині підходи до організації та проведення внутрішнього аудиту, підготовки аудиторських звітів, висновків та рекомендацій, оцінки якості внутрішнього аудиту у міністерствах та інших центральних органах виконавчої влади (далі - ЦОВВ), Раді міністрів Автономної Республіки Крим, обласних, Київській та Севастопольській міських державних адміністраціях (далі - ОДА), а також їх територіальних органах та бюджетних установах, які належать до сфери управління ЦОВВ та ОДА, визначені у Стандартах внутрішнього аудиту, затверджених наказом Мінфіну України від 04.10.2011 р. № 1247 із змінами, внесеними наказом Мінфіну від 10.12.2014 р. № 1199 (далі - Стандарти ВА).
Крім того, більш ніж у 190 країнах світу, зокрема у Сполучених Штатах Америки та країнах Європейського Союзу, в основі діяльності із внутрішнього аудиту лежать Міжнародні стандарти професійної практики внутрішнього аудиту, розроблені Інститутом внутрішніх аудиторів (далі - Стандарти IBA).
Зважаючи на задеклароване прагнення України щодо майбутньої євроінтеграції, а також враховуючи, що в статті 347 Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони, прямо передбачено подальший розвиток державного фінансового контролю, складовою якого є внутрішній аудит, шляхом обміну досвідом, інформацією та найкращими практиками, внутрішні аудитори ЦОВВ та ОДА можуть використовувати Стандарти IBA в частині, що не суперечить вимогам вітчизняних нормативно-правових актів, які регламентуються діяльність із внутрішнього аудиту.
І Стандарти ВА, і Стандарти IBA метою здійснення діяльності із внутрішнього аудиту визначають надання керівництву установи об'єктивної впевненості у ефективності функціонування системи внутрішнього контролю (фінансового управління та контролю) такої установи. При цьому, для того, щоб функція внутрішнього аудиту в установі була результативною - додавала цінності установі, вона має здійснюватися на підставі попередньо розробленої ефективної стратегії та чітко сформованих планів.
З метою найбільш ефективного розподілу обмежених ресурсів внутрішнього аудиту та приді-лення уваги виключно тим питанням, які мають найбільший пріоритет та є актуальними, внутрішній аудитор має використовувати особливі інструменти та механізми управління функцією внутрішнього аудиту.
Одним із таких інструментів в руках внутрішнього аудитора є ризик-орієнтоване планування внутрішнього аудиту, яке, у свою чергу, не можна ототожнювати із управлінням ризиками, що являє собою невід'ємну частину внутрішнього контролю та входить до сфери обов'язків керівника установи.
Стандарт IBA 2010 "Планування" - Керівник внутрішнього аудиту повинен розробити ризик-орієнтований план для визначення пріоритетів функції внутрішнього аудиту, які відповідають цілям організації. | Стандарти ВА (п. 2.2 глави 2 розділу III) - Піврічні плани проведення внутрішнього аудиту формуються на підставі оцінки ризиків у діяльності установи та визначають теми внутрішніх аудитів. |
Однак, як вітчизняні Стандарти ВА, так і міжнародні Стандарти IBA є рамковими універсальними документами, розробленими з метою надання загальних вимог щодо організації та проведення внутрішнього аудиту, тому вони не містять чіткого покрокового алгоритму здійснення ризик-орієнтованого планування внутрішнього аудиту.
Натомість, слід зазначити, що в рамках діяльності Співтовариства по взаємному вивченню та обміну досвідом в управлінні державними фінансами (PEMPAL) функціонує практикуюче Співтовариство по внутрішньому аудиту (СВА), членом якого є і Україна. Основною ціллю діяльності СВА є обмін досвідом у сфері внутрішнього аудиту та його поширення серед країн Середньої Азії, Центральної та Східної Європи. Так, у 2014 році СВА було презентовано Керівництво "Оцінка ризиків при плануванні аудиту", розроблене у відповідності до Стандартів IBA (далі -Керівництво СВА).
Концептуальна основа ризик-орієнтованого планування внутрішнього аудиту, представлена у Керівництві СВА, складається із п'яти окремих етапів (див. схему далі).
Визначення та категоризація простору внутрішнього аудиту
Відправною точкою складання ризик-орієнтованого плану внутрішнього аудиту є визначення та категоризація простору внутрішнього аудиту Під поняттям "простір внутрішнього аудиту" слід розуміти загальну сферу застосування функції внутрішнього аудиту, тобто сукупність всього, що може окремо дослідити внутрішній аудитор, - сукупність (або мережа) підконтрольних внутрішньому аудиту об'єктів.
Визначення об'єктів внутрішнього аудиту та їх поділ на категорії традиційно можна здійснити двома способами: по принципу аналізу організаційної структури (вертикальний аналіз) та з точки зору міжфункціонального аспекту організації (горизонтальний аналіз). В результаті вертикального аналізу до простору внутрішнього аудиту потраплять структурні підрозділи установи (департаменти, управління, відділи, сектори), а в результаті горизонтального аналізу - загальні процеси (здійснення платежів, проведення закупівель, облік заборгованості, управління персоналом тощо).
Схема ризик-орієнтованого планування внутрішнього аудиту
Схема для ознайомлення знаходиться: розділ "Довідники", підрозділ "Додатки до документів", папка "Консультації".
Крім того, не рідко у практиці використовується категоризація простору внутрішнього аудиту за місцезнаходження об'єктів внутрішнього аудиту на центральний апарат, територіальні або регіональні органи та місцеві підрозділи.
Найефективнішим способом ідентифікації та категоризації простору аудиту все ж таки являється поділ об'єктів внутрішнього аудиту за операційними програмами та сферами діяльності установи. За результатами застосування такого принципу до простору внутрішнього аудиту ввійдуть, наприклад, бюджетні програми, окремі функції, в тому-числі контрольно-наглядові, адміністративні послуги.
Джерелами інформації, які дозволять максимально широко та повно визначити простір внутрішнього аудиту, можуть бути: нормативно-правові документи та/або регуляторні акти, які стосуються діяльності установи (наприклад, положення про ЦОВВ); внутрішні організаційно-розпорядчі документи установи (наприклад, наказ про затвердження структури чи положення про структурний підрозділ); паспорти бюджетних програм; стратегічні та/або річні плани діяльності установи; звітність (фінансова, бюджетна, статистична).
Визначення подій, які можуть призвести до виникнення ризиків
Після визначення простору внутрішнього аудиту внутрішній аудитор приступає до другого етапу ризик-орієнтованого планування внутрішнього аудиту, який полягає у визначенні подій, які можуть призвести до виникнення ризиків. Фактично на даному етапі здійснюється ідентифікація ризиків.
Тлумачення Стандарту IBA 2010 "Планування" - Керівник внутрішнього аудиту враховує структуру управління ризиками організації, включаючи рівні ризик-апетиту, встановлені керівництвом для окремих видів діяльності або структурних підрозділів організації. Якщо така структура відсутня, керівник внутрішнього аудиту покладається на своє власне судження щодо ризиків після розгляду побажань вищого виконавчого керівництва та ради. | Стандарти ВА (п. 2.3 глави 2 розділу III) -При плануванні проведення внутрішнього аудиту ... береться до уваги система управління ризиками, що застосовується в установі. У разі відсутності в установі системи управління ризиками ... застосовується власне судження про ризики в діяльності установи після консультацій, проведених з керівництвом установи та посадовими особами установи, які безпосередньо відповідають за функції, процеси, що охоплюються внутрішнім аудитом. |
У випадку, якщо в установі вже здійснюється процес управління ризиками, внутрішній аудитор може зробити наступні кроки:
- вивчити реєстри ризиків, які були виявлені керівництвом, та проаналізувати їх, щоб визначити, чи були виявлені усі основні ризики;
- розглянути, як керівництво класифікувало ризики та які заходи були передбачені для їх усунення (зменшення їх впливу);
- проаналізувати ефективність (дієвість) заходів по усуненню (зменшенню впливу) ризиків;
- виявити ризики, які залишилися після здійснення керівництвом контрольних заходів (залишкові ризики) та потребують включення до планів внутрішнього аудиту.
У тому випадку, якщо керівництво офіційно не здійснює управління ризиками, внутрішній аудитор має звернутися до інших документальних джерел, які допоможуть йому виявити окремі ризики (наприклад, операційні плани установи, бухгалтерська чи фінансова звітність, звіти попередніх внутрішніх аудитів), а також здійснити комплексний аналіз діяльності установи чи окремої функції/процесу.
Широко розповсюдженим способом ідентифікації ризиків являється також і проведення інтерв'ю (як у формі співбесід, так і семінарів) із вищим керівництвом та керівниками структурних підрозділів.
У ході проведення таких заходів внутрішній аудитор для зручності може розподілити події, які можуть призвести до виникнення ризиків, на окремі категорії, наприклад за напрямами:
- операційні (наприклад, збій роботи обладнання);
- кадрові (наприклад, звільнення ключових працівників);
- нормативно-правові (наприклад, невиконання вимог законодавства із подальшим застосуванням заходів притягнення до відповідальності);
- фінансові(наприклад, скорочення фінансування або втрати ресурсів);
- інформаційні (наприклад, збій роботи мережевого обладнання або відсутність необхідного програмного забезпечення);
- репутаційні (наприклад, низький рівень довіри до установи).
Оцінка та класифікація ризиків
Після ідентифікації ризиків розпочинається третій етап ризик-орієнтованого планування внутрішнього аудиту - оцінка ризиків, яка здійснюється за двома напрямами: за ймовірністю виникнення ризику та за рівнем (ступенем) його впливу на досягнення цілей установи.
Стандарт IBA 2010.A1 - План завдань функції внутрішнього аудиту повинен базуватися на документально оформленій оцінці ризиків, що проводиться щонайменше раз на рік. В даному процесі повинні розглядатися побажання вищого виконавчого керівництва та ради. | Стандарти ВА (п. 2.4 глави 2 розділу III) - Оцінка ризиків передбачає визначення ймовірності настання подій та розміру їх наслідків, які негативно впливатимуть на виконання завдань і досягнення цілей, визначених у стратегічних і річних планах установи... |
Під час оцінки ризиків за критерієм ймовірності їх виникнення доцільно застосовувати його бальну оцінку. Наприклад, якщо ймовірність виникнення ризику дуже низька, то йому присвоюється 1 бал, а якщо негативний вплив ризику вже відбувається - 5 балів.
Для оцінки ступеня впливу ризику може застосовуватися декілька критеріїв (наприклад, фінансовий вплив, вплив на репутацію, нормативно-правовий вплив, вплив на досягнення цілей або виконання окремих завдань, вплив на персонал), при цьому оптимальною кількістю є три-чотири.
По кожному критерію впливу ризику внутрішній аудитор має також визначити різні рівні його впливу, застосовуючи, наприклад, бальну оцінку як і у випадку оцінки ймовірності виникнення ризику. Так, якщо виникнення ризику призведе до незначних втрат фінансових ресурсів установи (наприклад, до 1 % від загального обсягу фінансування), то ступінь такого впливу визначається як низький і йому присвоюється 1 бал. Тоді як настання ризику нецільового/незаконного використання коштів у сумі, що перевищує 50 % фінансування установи/програми, здійснить дуже високий негативний вплив на досягнення цілей установи, тому йому присвоюється оцінка 5 балів.
Після розробки критеріїв оцінки (виставлення балів) впливу та ймовірності виникнення по кожному ризику, їх загальну оцінку зручно представити у вигляді матриці оцінки ризиків (див. таблицю).
Матриця оцінки ризиків
Рівень впливу | дуже високий | 5 | середня | середня | висока | найвища | найвища |
високий | 4 | низька | середня | середня | висока | найвища | |
вище середнього | 3 | низька | середня | середня | середня | висока | |
середній | 2 | низька | низька | середня | середня | середня | |
низький | 1 | низька | низька | низька | низька | середня | |
Оцінка | 1 | 2 | 3 | 4 | 5 | ||
мало ймовірно | низька | середня | висока | очікується | |||
Ймовірність виникнення |
Відбір об'єктів внутрішнього аудиту
На наступному етапі внутрішній аудитор має визначити, які об'єкти внутрішнього аудиту із простору внутрішнього аудиту необхідно охопити внутрішніми аудитами. При цьому, такий фактор ризику (фактор відбору) як наявність ризику (або ризиків) не може бути єдиним, навіть, якщо ризик має найвищу оцінку.
Стандарт IBA 2010.А2 - Керівник внутрішнього аудиту повинен з'ясовувати та враховувати очікування вищого виконавчого керівництва, ради та інших зацікавлених осіб відносно висновків внутрішнього аудиту. | Стандарти ВА (п. 2.5 глави 2 розділу III) - Періодичність та інші критерії відбору об'єктів для проведення планових внутрішніх аудитів визначаються підрозділом внутрішнього аудиту та затверджуються керівником установи. |
У міжнародній практиці більшість аудиторів використовує набір загальних факторів ризику (факторів відбору) для аналізу важливості кожного елементу простору аудиту з ціллю визначення пріоритетності кожного об'єкту, який планується охопити внутрішнім аудитом. Кількість таких факторів може складати від п'яти до восьми. Найбільш часто використовуються наступні фактори відбору:
- фінансова матеріальність (об'єкти внутрішнього аудиту із високим рівнем ризику, які використовують лише дуже невелику частину бюджету, можуть бути менш пріоритетними для цілей внутрішнього аудиту, ніж об'єкти із середнім рівнем ризику, але які використовують більше 50 % фінансування);
- складність діяльності (складні види діяльності важче виконати, тому ймовірність того, що вони будуть виконані неякісно та невчасно, вище);
- загальна політика контролю (при суворій політиці контролю, коли наявні розроблені чіткі цілі, функції та обов'язки, етичні норми поведінки, добре налагоджені механізми управлінської підзвітності та відповідальності, наявна ефективна політика управління персоналом тощо, ймовірність шахрайства та допущення помилок менша);
- вразливість репутації (деякі сфери діяльності установи більш широко висвітлюються у ЗМІ, тому якщо там виникають проблеми, то вони можуть створювати високий ризик для репутації установи в цілому);
- невід'ємний ризик (там, де наявний високий невід'ємний ризик (ризик до здійснення контрольних заходів по його зменшенню), необхідні ефективні процеси контролю, які дозволять зменшити його вплив або уникнути його);
- масштаби змін у діяльності об'єкта (часті та значні зміни тісно пов'язані із підвищенням рівня ризику);
- впевненість у керівництві (досвідчені керівники вирішують проблеми ефективніше та досягають кращих результатів, ніж керівники без відповідного досвіду; крім того, більш досвідчені керівники з більшою ймовірністю мають змогу виявляти ризики та приймати відповідні рішення);
- можливість шахрайства (деякі сфери і функції більше схильні до шахрайства та корупції);
- політична чутливість (деякі теми можуть бути політично більш чутливими, тому викликають більше уваги із сторони зацікавлених осіб);
- час з попереднього внутрішнього аудиту (час від часу внутрішні аудити мають проходити навіть на тих об'єктах, які мають найнижчий рівень ризику);
- ступінь автоматизації (ймовірність виникнення ризику (допущення помилки) у процесах, які не автоматизовані, є високою).
Після визначення набору факторів відбору розробляється ряд критеріїв, які можна буде використовувати для визначення балів та відповідно необхідності проведення внутрішнього аудиту по кожному можливому об'єкту в просторі аудиту. Наприклад, об'єктам, які використовують до 10 % загального обсягу фінансування установи, надається 1 бал, від 11 % до 30 % - 2 бали, від 31 % до 40 % - 3 бали і т. д.
Однак, навіть після визначення оцінки кожного фактору відбору, не всі фактори будуть однаково важливі. Тому доцільно буде використовувати визначені процедури зважування факторів ризику для того, щоб ті фактори, які вважаються найважливішими (суттєвість або підвищена увага керівництва), отримали вищий бал. Наприклад, для несуттєвих або неважливих (на погляд керівництва) об'єктів внутрішнього аудиту значення вагового коефіцієнту буде 1, а для об'єктів із підвищеною увагою - 3. Після визначення вагового коефіцієнту бали, надані факторам ризику, та ваговий коефіцієнт мають бути перемноженні, в результаті чого буде отримано числовий індекс ризику:
індекс ризику = сума (бал фактору ризику N х вага фактору ризику N)
Розглянемо на прикладі діяльність Підрозділу стягнення штрафів, фінансування якого складає 60 % річного бюджету установи. Внутрішні аудити в Підрозділі не проводилися більше 3 років, також внутрішні регламенти організації діяльності є нечіткими (малодета-лізованими) та не повними, процеси не автоматизовані. Діяльність Підрозділу піддається прискіпливій увазі та критиці з боку ЗМІ та суспільства.
Для визначення рівня пріоритетності даного об'єкту внутрішнього аудиту визначимо наступні фактори ризику (фактори відбору): фінансова матеріальність або суттєвість, загальна політика контролю, вразливість репутації, можливість шахрайства, час з попереднього внутрішнього аудиту, ступінь автоматизації.
Кожен із факторів ризику оцінимо за відповідними критеріями по шкалі від 1 до 5. Так, фінансова матеріальність (на долю об'єкту при-ходиться великий обсяг фінансування) оцінена у 4 бали; загальна політика контролю (регламенти є, але вони не досконалі) - також 4 бали, вразливість репутації - 5 балів; можливість шахрайства (майже безконтрольна діяльність із високим рівнем повноважень та фінансових надходжень) - 5 балів; час з попереднього ви трішнього аудиту - 5 балів; ступінь автоматі зації- 5 балів.
Після напрацювання оціночного суджень внутрішнього аудитора та консультацією керівництвом факторам ризику були присвоє наступні вагові коефіцієнти: 2, 2, 3, 3, 1 та відповідно. Таким чином, індекс ризику складе (4 х 2) + (4 х 2) + (5 х 3) + (5 х 3) + (5 х 1) + (5 х 1) або 56.
Слід зазначити, якщо в установі використвується 5 факторів ризику, які оцінюються і шкалі від 1 до 5, а вагові коефіцієнти можуть приймати значення від 1 до 3, то діапазон значень індексу ризику буде від 5 до 75. Отже можна зробити висновок, що Підрозділ стягнення штрафів в цілях проведення внутрішнього аудиту має високий пріоритет (56 із 75).
Індекс ризику використовується для того, щоб визначити об'єкти з низьким, середнім, високим та найвищим рівнями пріоритетності, яка і буде свідчити про необхідність включення відповідних об'єктів до планів діяльності із внутрішнього аудиту.
Розробка та складання планів внутрішнього аудиту
Наступним і заключним кроком у ризи орієнтованому плануванні внутрішнього аудиту є розробка планів для усунення проблем у найбільш важливих сферах. Планування забезпечує систематичний підхід у діяльності внутрішнього аудиту та потребує знань і компетенції у різних сферах, зокрема в оцінці ризиків та внутрішньому контролі.
Стандарт IBA 2020 "Надання інформації та затвердження" - Керівник внутрішнього аудиту повинен надавати на розгляд та затвердження вищому виконавчому керівництву та раді плани функції внутрішнього аудиту та потреои у ресурсах, включаючи інформацію про значні проміжні зміни. Керівник внутрішнього аудиту повинен також повідомляти про вплив обмежень у ресурсах. |
Стандарти ВА (п. 2.9 та п. 2.10 глави 2 розділу III) - Після погодження піврічного плану діяльності з внутрішнього аудиту з Держфінінспекцісю ... керівник підрозділу внутрішнього аудиту подає його на розгляд і затвердження керівнику установи... Затвердження керівником установи піврічних планів з внутрішнього аудиту здійснюється не пізніше ніж за 15 календарних днів до початку наступного півріччя. |
Як видно із вищенаведеної норми вітчизняних Стандартів ВА, українські внутрішні аудитори зобов'язані планувати свою діяльність лише на півроку вперед, тоді як за вимогами Стандартів IBA у міжнародній практиці складаються стратегічні та річні плани внутрішнього аудиту.
Комплексний стратегічний план діяльності із внутрішнього аудиту відіграє надзвичайно важливу роль для ефективної роботи підрозділу внутрішнього аудиту та установи в цілому. Ціллю стратегічного плану являється документування суджень внутрішнього аудитора з питань необхідності у проведенні внутрішніх аудитів, щодо систем, видів діяльності та програм, які мають бути об'єктами внутрішнього аудиту з метою надання керівнику розумних гарантій відносно ризиків та ефективності системи внутрішнього контролю. Стратегічний план повинен містити наступне:
- чітко сформульовані задачі та показники ефективності, яких внутрішній аудит досягне за наступні роки;
- методологія, за допомогою якої підрозділ внутрішнього аудиту здійснив оцінку ризиків, які мають вплив на цілі та задачі установи;
- інформація щодо того, як підрозділ внутрішнього аудиту буде працювати в найбільш важливих сферах;
- необхідні та наявні ресурси для задоволення потреб внутрішнього аудиту, обмеження у такій діяльності;
- плани координації роботи із зовнішнім аудитом;
- підхід для розробки рекомендацій;
- інше.
Річний (піврічний) план діяльності із внутрішнього аудиту - це стратегічний план, який трансформовано у завдання по здійсненню внутрішніх аудитів у відповідному періоді. Згідно із вимогами вітчизняних Стандартів ВА (п. 2.6 глави 2 розділу III) піврічний план діяльності із внутрішнього аудиту повинен містити: напрям внутрішнього аудиту; тему внутрішнього аудиту; найменування та місцезнаходження установи, в якій проводиться внутрішній аудит, та період діяльності, за який він проводиться (для фінансового аудиту, аудиту відповідності); період проведення внутрішнього аудиту. Відповідно до міжнародної практики річні плани також мають включати: ціль внутрішнього аудиту, його виконавці, інші ресурси.
Стандарт IBA 2030 "Управління ресурсами" - Керівник внутрішнього аудиту повинен забезпечити відповідність, достатність та ефективне використання ресурсів внутрішнього аудиту для виконання затвердженого плану. | Стандарти ВА (п. 2.8 глави 2розділу III) - Для ефективного використання трудових ресурсів керівник підрозділу внутрішнього аудиту визначає необхідні обсяги часу на проведення всіх внутрішніх аудитів та завантаженість працівників підрозділу внутрішнього аудиту для проведення внутрішніх аудитів, які затверджуються керівником установи. |
Окремо слід зазначити, що ризик не має постійного значення, тому внутрішні аудитори повинні здійснювати моніторинг ключових подій, які відбуваються протягом року/півріччя, а також їх вплив на плани діяльності із внутрішнього аудиту. З огляду на те, що планування - це динамічний процес, а нові системи, оновлена інформація та інші фактори постійно здійснюють вплив на установу, внутрішній аудитор зобов'язаний періодично проводити роботу по актуалізації планів діяльності із внутрішнього аудиту.
Список використаних джерел
1. Стандарти внутрішнього аудиту, затверджені наказом Міністерства фінансів України від 04.10.2011 р. № 1247.
2. Міжнародні стандарти професійної практики внутрішнього аудиту. - Інститут внутрішніх аудиторів, 2013.
3. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони, ратифікована Законом України від 16.09.2014 р. № 1678-VIІ.
4. Оцінка ризиків при плануванні аудиту: керівництво, яке допомагає аудиторам найкращим способом оцінити ризики при плануванні аудиторської роботи. -РЕМ-РАL, 2014.
Дмитро Сидоренко,
головний державний аудитор відділу гармонізації внутрішнього аудиту
Управління гармонізації державного внутрішнього
фінансового контролю Державної фінансової інспекції України