Результат аудиторской проверки. Информация по результатам проведения аудита Результаты аудита оформляются

Аудитор по окончании проверки и перед составлением аудиторского заключения сообщает информацию, полученную по результатам аудита , руководству аудируемого лица и представителям его собственника.

Информация представляет собой сведения, ставшие известными аудитору, которые, по мнению аудитора, являются одновременно важными для руководства и представителей собственника аудируемого лица при осуществлении ими контроля за подготовкой достоверной финансовой (бухгалтерской) отчетности аудируемого лица и раскрытием информации в ней.

Информация, полученная аудитором, является аудиторской тайной и не может быть передана кому угодно. Поэтому первоочередной задачей является определение круга лиц из числа руководства и представителей собственника. Целесообразно по соглашению с аудируемой организацией определить лицо, которому передается информация. Во избежание в договоре на аудит можно указать следующее :

• 1) указывается форма, в которой будет сообщаться информация;
• 2) определяются надлежащие получатели информации;
• 3) определяются конкретные вопросы аудита, информация по которым будет представляться.

Информация , которую следует сообщать руководству аудируемого лица и представителям его собственника, строго не определена, однако эта информация должна быть важной и, как правило, должна отражать :

• - общий подход аудитора к проведению аудита и его объему, влияние учетной политики;
• - раскрытие рисков, влияющих на отчетность (например, судебных разбирательств);
• - предлагаемые аудитором существенные корректировки финансовой (бухгалтерской) отчетности, как осуществленные, так и не осуществленные аудируемым лицом;
• - существенные неопределенности, касающиеся событий или условий, которые могут в значительной мере поставить под сомнение способность аудируемого лица продолжать непрерывно вести свою деятельность;
• - разногласия аудитора с руководством аудируемого лица по вопросам, которые по отдельности или в совокупности могут являться значимыми для финансовой (бухгалтерской) отчетности аудируемого лица или аудиторского заключения. Сообщаемая в этой связи информация должна включать пояснения важности этого вопроса и сведения о том, был ли данный вопрос разрешен или нет;
• - предполагаемые модификации аудиторского заключения;
• - другие вопросы, заслуживающие внимания собственника (например, существенные - недочеты в области внутреннего контроля, вопросы, касающиеся порядочности руководства аудируемого лица, а также случаи недобросовестных действий руководства);
• - вопросы, освещение которых согласовано аудитором с аудируемым лицом в договоре оказания аудиторских услуг.

Аудитор также должен проинформировать надлежащих получателей информации о том, что :

• - сведения, сообщаемые аудитором, включают только те вопросы, которые привлекли внимание аудитора в результате аудита;
• - аудит бухгалтерской (финансовой) отчетности не направлен на выявление всех вопросов, которые могут представлять интерес для управления аудируемым лицом.

Информация должна представляться своевременно. Сроки представления определяются по согласованию сторон и, как правило, прописываются в договоре. Однако при необходимости решения срочного вопроса аудитор может сообщить о нем раньше, чем это было согласовано предварительно.

Информация может быть передана: 1) в письменной форме; 2) в устной форме. Аудитор самостоятельно решает вопрос о форме передачи информации. Основным критерием является важность . Аудит предполагает передачу важнейшей информации в письменной форме во избежание споров с руководством аудируемого лица. При передаче информации в устной форме аудитору следует документально отразить в рабочих документах эту информацию и реакцию на нее получателей информации. Такие документы могут иметь форму копий протоколов обсуждений, проводимых аудитором с представителями собственника и руководством аудируемого лица. В некоторых случаях целесообразно, чтобы аудитор получал от представителей собственника и руководства аудируемого лица письменные подтверждения в отношении любых устных сообщений по вопросам аудита, представляющим интерес для управления аудируемым лицом. Аудитор должен проанализировать, может ли какая-либо информация, полученная по результатам предыдущего аудита, иметь значение для выражения мнения о достоверности бухгалтерской (финансовой) отчетности текущего года. Если аудитор приходит к выводу, что такая информация представляет интерес для управления аудируемым лицом, он может принять решение повторно сообщить ее представителям собственника аудируемого лица. Таким образом, наиболее важная информация должна быть представлена в письменном виде, несмотря на любые предварительные договоренности с представителями аудируемого лица. В ином случае могут возникать дополнительные споры на предмет правильности понимания представленной информации. Письменная информация позволяет исключить все противоречия и является наиболее весомой в спорах.

Порядок, форма и состав информации, предоставляемой клиенту, зависит от вида аудиторской работы. Если проводится обязательный аудит, то аудитор должен сообщать информацию руководству и представителям собственника аудируемого лица в соответствии с требованиями Федерального правила (стандарта) № 22 «Сообщение информации, полученной по результатам аудита, руководству аудируемого лица и представителям его собственника».

Информация — это сведения, ставшие известными в ходе аудита финансовой отчетности, которые, по мнению аудитора, являются одновременно важными для руководства и представителей собственника аудируемого лица при осуществлении ими контроля за подготовкой финансовой отчетности аудируемого лица и раскрытии информации в ней. Информация включает в себя только те вопросы, которые привлекли внимание аудитора. Он не обязан в ходе аудита разрабатывать процедуры, специально направленные на поиск информации, которая имеет значение для управления аудируемого лица.

Аудитор устанавливает, кто является надлежащим получателем информации по результатам аудита из числа руководства и представителей собственника аудируемого лица. К руководству аудируемого лица относятся лица, отвечающие за повседневное руководство аудируемым лицом, а также осуществление финансово-хозяйственных операций, ведение бухгалтерского учета и подготовку финансовой отчетности. Представителями собственника аудируемого лица являются лица или коллегиальные органы, которые выполняют общий надзор и стратегическое руководство деятельностью аудируемого лица, а также в соответствии с учредительными документами могут контролировать текущую деятельность его руководства, в том числе назначать или освобождать от должности представителей высшего руководства.

Для определения лиц, которым необходимо сообщить информацию, аудитор основывается на собственном профессиональном суждении, принимая во внимание управленческую структуру аудируемого лица, обстоятельства аудиторского задания и особенности законодательства Российской Федерации, а также учитывая права и обязанности соответствующих лиц. Если, исходя из особенностей аудируемого лица, аудитор не может определить, кто является надлежащим получателем информации, то ему необходимо согласовать с клиентом, кому должна сообщаться информация.

• общий подход аудитора к проведению аудита и его объему, информирование по поводу любых ограничений объема аудита, а также комментарии по поводу уместности любых дополнительных требований руководства аудируемого лица;
• выбор или изменение руководством аудируемого лица принципов и методов учетной политики, которые оказывают или могут оказать существенное влияние на его финансовую отчетность;
• возможное влияние на финансовую отчетность аудируемого лица каких-либо значимых рисков и внешних факторов, которые должны быть раскрыты в финансовой отчетности;
• предлагаемые аудитором существенные корректировки финансовой отчетности, как осуществленные, так и не осуществленные аудируемым лицом;
• существенные неопределенности, касающиеся событий или условий, которые могут в значительной мере поставить под сомнение способность аудируемого лица продолжать непрерывно вести свою деятельность;
• разногласия аудитора с руководством аудируемого лица по вопросам, которые по отдельности или в совокупности могут являться значимыми для финансовой отчетности аудируемого лица или аудиторского заключения, и сведения о разрешении разногласий;
• предполагаемые модификации аудиторского заключения;
• другие вопросы, заслуживающие внимания представителей собственника;
• вопросы, освещение которых согласовано аудитором с аудируемым лицом в договоре на проведение аудита.

• сообщаются сведения только по тем вопросам, которые привлекли внимание аудитора;
• аудит финансовой отчетности не направлен на поиск информации, которая представляет интерес для управления аудируемого лица.

Информация должна поступать от аудитора своевременно, что позволяет соответствующим лицам аудируемого лица оперативно принимать надлежащие меры. Для этого необходимо обсудить с представителями аудируемого лица порядок, сроки и принципы сообщения информации.

• размер, структура, организационно-правовая форма и техническое обеспечение аудируемого лица;
• характер, важность и особенности информации, полученной по результатам аудита, представляющей интерес для управления аудируемым лицом;
• существующие договоренности между аудитором и аудируемым лицом в отношении регулярных встреч или докладов;
• принятые аудитором формы взаимодействия с представителями собственника и руководства аудируемого лица.

Если информация сообщается в устной форме, то аудитору необходимо документально отразить в рабочих документах эту информацию и реакцию на нее получателей информации.

Аудитор имеет право предварительно обсудить с руководством клиента вопросы, представляющие интерес для управления аудируемым лицом. Если руководство аудируемого лица намерено самостоятельно передать информацию, представляющую интерес для управления организацией, представителям собственника, то аудитору не обязательно повторно сообщать такую информацию.

Любая письменная информация не является заменой модифицированного аудиторского заключения.

При повторяющемся (согласованном) аудите аудитор должен проанализировать, имеет ли значение для достоверности финансовой отчетности текущего года какая-либо информация, полученная по результатам предыдущего аудита, и принять решение повторно сообщить информацию, представляющую интерес для управления аудируемым лицом.

В отношении информации, полученной по результатам аудита, аудитор обязан соблюдать требование конфиденциальности.

При оказании сопутствующих аудиту услуг, проведении инициативного аудита, согласованных процедур аудитор предоставляет клиенту отчет по согласованию сторон. Аудиторская организация может определить во внутрифирменных стандартах перечень документов, состав, содержание и порядок их предоставления клиенту по результатам выполненной работы.

В соответствии с федеральным стандартом № 22 информация - сведения, ставшие известными аудитору в ходе аудита бухгалтерской (финансовой) отчетности, которые, по мнению аудитора, являются важными для руководства и (или) представителей собственника аудируемого лица при осуществлении ими контроля за подготовкой достоверной бухгалтерской отчетности аудируемого лица и раскрытием информации в ней, результативностью и эффективностью хозяйственных операций и эффективным использованием ресурсов, а также соответствием деятельности аудируемого лица нормативным правовым актам РФ. Информация включает только те вопросы, которые привлекли внимание аудитора в результате аудита.

Аудитор не обязан в ходе аудита разрабатывать процедуры, специально направленные на поиск информации, имеющей значение для управления аудируемым лицом.

Аудитор должен сообщать информацию руководству и (или) представителям собственника аудируемого лица.

Руководство аудируемого лица - лица, отвечающие за повседневное руководство аудируемым лицом, а также осуществление хозяйственных операций, ведение бухгалтерского учета и подготовку финансовой (бухгалтерской) отчетности (например, генеральный директор, главный бухгалтер и др.).

Представители собственника аудируемого лица - лица или коллегиальные органы, которые осуществляют общий надзор и стратегическое руководство деятельностью аудируемого лица, а также в соответствии с учредительными документами могут контролировать текущую деятельность его руководства, в том числе назначать или освобождать от должности представителей высшего руководства.

Аудитор должен установить надлежащих получателей информации из числа руководства и представителей собственника аудируемого лица.

Организационная структура и принципы корпоративного управления могут быть различными для разных аудируемых лиц. Это усложняет задачу определения круга лиц, которым аудитор сообщает информацию, представляющую интерес для управления аудируемым лицом. Аудитор основывается на собственном профессиональном суждении для определения тех лиц, которым должна сообщаться информация, принимая во внимание управленческую структуру аудируемого лица, обстоятельства аудиторского задания и особенности законодательства РФ. Аудитору следует учитывать права и обязанности соответствующих лиц.

Например, в аудируемых лицах, где имеется совет директоров и комитет по аудиту, надлежащими получателями информации могут быть как оба эти органа, так и один из них.

Если управленческая структура аудируемого лица четко не определена либо представители собственника не могут быть четко определены в соответствии с условиями задания или согласно законодательству РФ, то аудитор приходит к соглашению с аудируемым лицом в отношении того, кому должна сообщаться информация.

Во избежание недоразумений в договоре оказания аудиторских услуг может быть разъяснено, что аудитор будет сообщать только ту информацию, представляющую интерес для управления, на которую он обратит внимание в результате аудита, и что аудитор не обязан разрабатывать аудиторские процедуры, специально направленные на поиск информации, имеющей значение для управления аудируемым лицом. В договоре оказания аудиторских услуг могут также:

• а) указываться форма, в которой будет сообщаться информация;
• б) определяться надлежащие получатели информации;
• в) определяться конкретные вопросы аудита, представляющие интерес для управления аудируемым лицом, в отношении сообщения информации о которых была достигнута договоренность.

Сообщение информации будет более эффективно при налаживании конструктивных рабочих взаимоотношений между аудитором и руководством или представителями собственника аудируемого лица. Данные взаимоотношения должны развиваться с учетом соблюдения требований профессиональной этики, независимости и объективности.

Информация, сообщаемая аудитором руководству аудируемого лица и (или) представителям его собственника, как правило, отражает:

• а) общий подход аудитора к проведению аудита и его объему, обеспокоенность аудитора по поводу любых ограничений объема аудита, а также комментарии по поводу уместности любых дополнительных требований руководства аудируемого лица;
• б) выбор учетной политики или ее изменение руководством аудируемого лица, которое оказывает или может оказать существенное влияние на бухгалтерскую отчетность аудируемого лица;
• в) возможное влияние на бухгалтерскую отчетность аудируемого лица каких-либо существенных рисков и внешних факторов, которые должны быть раскрыты в отчетности (например, судебных разбирательств);
• г) предлагаемые аудитором существенные корректировки бухгалтерской отчетности, как осуществленные, так и не осуществленные аудируемым лицом;
• д) существенные неопределенности, касающиеся событий или условий, которые могут в значительной мере поставить под сомнение способность аудируемого лица продолжать непрерывно вести свою деятельность;
• е) разногласия аудитора с руководством аудируемого лица по вопросам, которые по отдельности или в совокупности могут являться значимыми для бухгалтерской отчетности аудируемого лица или аудиторского заключения. Сообщаемая в этой связи информация должна включать пояснения важности этого вопроса и сведения о том, был ли данный вопрос разрешен или нет;
• ж) предполагаемые модификации аудиторского заключения;
• з) другие вопросы, заслуживающие внимания представителей собственника (например, существенные недочеты в области внутреннего контроля, вопросы, касающиеся деловой репутации руководства аудируемого лица, а также случаи недобросовестных действий руководства);
• и) вопросы, освещение которых согласовано аудитором с аудируемым лицом в договоре оказания аудиторских услуг.

Аудитор должен сообщить представителям собственника о не исправленных аудируемым лицом корректировках, предложенных аудитором в ходе аудита, признанных руководством аудируемого лица несущественными, по отдельности или в совокупности для бухгалтерской отчетности в целом.

Неосуществленные корректировки, о которых сообщается представителям собственника, не должны быть ниже выбранного значения уровня существенности.

Аудитор также должен проинформировать надлежащих получателей информации о том, что:

• а) сведения, сообщаемые аудитором, включают только те вопросы, которые привлекли внимание аудитора в результате аудита;
• б) аудит бухгалтерской отчетности не направлен на выявление всех вопросов, которые могут представлять интерес для управления аудируемым лицом.

Аудитор должен своевременно сообщать информацию таким образом, чтобы представители собственника и руководство аудируемого лица имели возможность оперативно принимать надлежащие меры.

В целях своевременного сообщения информации аудитор должен обсудить с представителями собственника и руководства аудируемого лица порядок, принципы и сроки сообщения такой информации.

В определенных случаях в связи с необходимостью решения срочного вопроса аудитор может сообщить о нем раньше, чем это было согласовано предварительно.

Аудитор может сообщать надлежащим получателям информацию в устной или письменной форме. На решение аудитора о том, сообщать ли информацию в устной или письменной форме, влияют:

• а) размер и сложная структура, организационно-правовая форма и техническое обеспечение аудируемого лица;
• б) характер, важность и особенности информации, полученной по результатам аудита, представляющей интерес для управления аудируемым лицом;
• в) существующие договоренности между аудитором и аудируемым лицом в отношении регулярных встреч или докладов;
• г) принятые аудитором формы взаимодействия с представителями собственника и руководства аудируемого лица.

Если информация, представляющая интерес для управления аудируемым лицом, сообщается в устной форме, аудитору следует документально отразить в рабочих документах эту информацию и реакцию на нее получателей информации. Такие документы могут иметь форму копий протоколов обсуждений, проводимых аудитором с представителями собственника и руководства аудируемого лица. В некоторых случаях в зависимости от характера, важности и особенностей информации целесообразно, чтобы аудитор получал от представителей собственника и руководства аудируемого лица письменные подтверждения в отношении любых устных сообщений по вопросам аудита, представляющих интерес для управления аудируемым лицом.

Как правило, аудитор предварительно обсуждает с руководством аудируемого лица вопросы аудита, представляющие интерес для аудируемого лица, за исключением тех вопросов, которые ставят под сомнение компетентность или деловую репутацию самого руководства. Предварительные обсуждения с руководством аудируемого лица имеют важное значение для прояснения фактов и вопросов, а также для того, чтобы дать возможность руководству аудируемого лица предоставить дополнительную информацию. Если руководство аудируемого лица соглашается самостоятельно (без участия аудитора) сообщить информацию, представляющую интерес для управления аудируемым лицом, представителям собственника, то аудитору может не потребоваться повторное сообщение данной информации при условии, что аудитор удовлетворен эффективностью и надлежащим характером сообщения такой информации.

Если аудитор считает, что необходимо модифицировать аудиторское заключение, то любая иная письменная информация, направляемая аудитором руководству или представителям собственника аудируемого лица, не может рассматриваться в качестве надлежащей замены модифицированного аудиторского заключения.

Аудитор должен проанализировать, может ли какая-либо информация, полученная по результатам предыдущего аудита, иметь значение для достоверности бухгалтерской отчетности текущего года. Если аудитор приходит к выводу, что такая информация представляет интерес для управления аудируемым лицом, он может принять решение повторно сообщить ее представителям собственника аудируемого лица.

Аудитор обязан выполнять требования законодательства РФ и Кодекса этики аудиторов России в отношении конфиденциальности информации, полученной по результатам аудита. В некоторых случаях потенциальные конфликты между этическими и правовыми обязательствами аудитора в отношении конфиденциальности и требованиями по предоставлению информации могут носить сложный характер. В данном случае аудитору целесообразно получить юридическую консультацию.

Во всех случаях обязательного аудита аудиторские организации, по принятым на себя обязательствам, должны готовить и предоставлять адресату письменную информацию (отчет) аудитора руководству (собственникам) аудируемого лица по результатам проведения аудита (федеральные стандарты № 3, 12, 22, 23 и др.).

Ответственность за точность, полноту и достоверность итогового отчета по аудиту несет руководитель группы по аудиту. Если придерживаться порядка немедленной отчетности, то эффективность проверки, быстрота и точность завершения корректирующих действий значительно увеличиваются.

Отчет по аудиту должен содержать полное, точное, краткое и ясное описание аудита и в соответствии с процедурами аудита включать в себя:

• цели аудита;
• область аудита, идентификацию организационных и функциональных единиц или процессов, где проходил аудит, и период времени, когда проходил аудит;
• сведения о заказчике аудита;
• сведения о группе по аудиту и представителях проверяемой организации, участвующих в аудите;
• даты и местоположение подразделений, в которых проводился аудит;
• критерии аудита;
• наблюдения аудита;
• заключение по результатам аудита;
• вывод о степени соответствия критериям аудита.

Отчет по аудиту может также включать:

• план аудита;
• краткое изложение процесса аудита, включая неопределенность и(или) другие препятствия, которые могут снизить надежность заключения по результатам аудита;
• подтверждение того, что цели аудита достигнуты для данной области аудита с соблюдением плана аудита;
• перечень всех участков, не охваченных проверкой, в пределах области аудита;
• краткое изложение заключения и основных наблюдений аудита, предназначенное для руководства;
• все неразрешенные противоречия между группой по аудиту и проверяемой организацией;
• возможности для улучшения, если это предусмотрено целями аудита;
• сильные области и выявленные лучшие практики;
• согласованные планы действий по результатам аудита;
• вопросы конфиденциальности информации;
• лист рассылки отчета по аудиту.

В отчет не следует включать второстепенные недостатки, которые обнаруживаются и корректируются по ходу аудита (сведения об этих недостатках должны быть сохранены в записях аудитора на случай проведения повторных аудитов).

Проблема результативности аудитов качества (как внешних, так и внутренних) имеет особое значение для организации. По нашему мнению, одним из критериев результативности внутреннего аудита должно быть систематическое уменьшение несоответствий, выявленных при аудитах. Другим критерием результативности процесса внутреннего аудита может быть число рекомендаций по улучшению деятельности, высказанных аудиторами в процессе проведения проверок.

Отчет по аудиту оформляется в согласованные сроки, утверждается и рассылается получателям, указанным заказчиком в плане аудита. Следует помнить, что отчет является собственностью заказчика аудита, поэтому нужно соблюдать необходимые требования конфиденциальности. Материалы аудиторской проверки комплектуются в специальное дело под соответствующим регистрационным номером. Дело об аудите хранится в течение срока, установленного документами СМ К организации. Опыт, полученный в процессе аудита, должен использоваться для постоянного улучшения СМК проверяемой организации.

Аудит считается завершенным, когда все виды деятельности, включенные в план аудита, выполнены. Корректирующие, предупреждающие и улучшающие действия, выполняемые по результатам аудита в соответствии с ISO 19011:2011, не рассматриваются как часть аудита и предпринимаются проверяемой организацией в согласованные сроки. Коррекция и корректирующие действия проводятся после обнаружения несоответствия. Коррекция - это действие, направленное на устранение обнаруженного несоответствия (например, замена несоответствующей продукции соответствующей продукцией или замена устаревшей процедуры актуализированной). Корректирующее действие - это действие по устранению причины обнаруженного несоответствия, т.е. его нельзя предпринять без определения причин несоответствия.

Имеется много методов определения причин несоответствия (от простого «мозгового штурма» до более сложных, системных методов решения проблем). Аудитор должен владеть данными средствами решения проблем. Глубина и результативность корректирующих действий зависят от идентификации истинной причины несоответствия. В некоторых случаях это поможет организации идентифицировать и устранить подобные несоответствия в других областях.

Анализируя реакцию организации на несоответствие, аудитор должен подтвердить, что документация и объективные свидетельства для коррекции, анализа причины и корректирующего действия в организации имеются, являются подходящими и подготовлены до вынесения суждения аудитора. В процессе анализа должны быть рассмотрены следующие важные элементы:

• отчет о предпринятых действиях (является ли он ясным и кратким);
• описание действий (являются ли они основательными и точно ли они направлены на конкретные документы, процедуры);
• изложены ли они в прошедшем времени как показатель того, что предпринятые действия завершены;
• дата завершения корректирующих действий (даты, указывающие на прошедший период, означают, что корректирующие действия были предприняты; даты, указывающие на будущие действия, не являются хорошей практикой);
• объективные свидетельства, подтверждающие, что корректирующие действия полностью и результативно внедрены и выполнены в объеме, как это описано организацией. Результативное корректирующее действие должно предотвращать повторное возникновение несоответствия вследствие исключения его причин. Корректирующее действие нельзя путать с предупреждающим

действием, и эти действия не должны заменять друг друга. Предупреждающее действие неприменимо к уже обнаруженному несоответствию. Однако анализ причин обнаруженных несоответствий может идентифицировать потенциальные несоответствия в других областях организации и обеспечить вход для предупреждающего действия.

Алгоритм проверки выполнения корректирующих действий приведен на рис. 27. Факт внедрения корректирующих действий и их результативность должны быть подтверждены в порядке, установленном стандартом организации на проведение аудитов СМК.

Аудит корректирующих действий является достаточно очевидным и хорошо разработанным, поскольку результаты и результативность этих действий обычно хорошо определяются (если организация уже выявила несоответствие, для аудитора не представляет особой сложности оценить действия организации, проверить, составляются ли планы и являются ли эти действия результативными в плане недопущения повторения несоответствия). Аудит предупреждающих действий обычно более сложный.

Стандарт ГОСТ ISO 9001:2011 требует от организации разработки документированной процедуры для предупреждающих действий. Объединение документированных процедур для корректирующих и предупреждающих действий в одну процедуру в СМК допустимо, но не рекомендуется с позиций особой важности предупреждающих

Рис. 27.

действий для улучшения СМ К. Если эти процедуры объединены, аудитор должен проверить, действительно ли организация четко понимает различие между корректирующими и предупреждающими действиями. В большинстве российских организаций указанные процедуры, к сожалению, объединены, причем корректирующие действия описаны достаточно подробно, а предупреждающие обозначены лишь контурно.

Аудитор должен искать объективные доказательства того, что:

• организация анализирует причины потенциальных несоответствий (использует диаграммы причин и следствий и другие возможные инструменты качества);
• требуемые действия распространяются на все необходимые области организации;
• ответственность за идентификацию, оценку, внедрение и анализ предупреждающих действий четко определена.

Анализ предупреждающих действий включает в себя ответы на вопросы:

• были ли действия результативными (т.е. предупреждено ли возникновение несоответствия и получены ли какие-либо дополнительные преимущества);
• имеется ли потребность в продолжении предупреждающих действий в том направлении, где они были предприняты;
• могут ли они быть изменены или необходимо планировать новые

действия.

Иногда между аудитором и организацией возникает дискуссия о том, где заканчивается корректирующее действие и начинается предупреждающее. Аудитор должен избегать тенденциозности в этих дискуссиях и концентрироваться на результативности предпринятых действий.

Эта статья была написана для специализированного журнала несколько лет назад, однако издание неожиданно закрылось. Текст был скорректирован в соответствии с новыми формулировками международных профессиональных стандартов внутреннего аудита. Предполагается, что он и сегодня не потерял своей актуальности и практического значения относительно вопросов представления результатов внутреннего аудита.

Представление результатов аудита, а проще говоря, написание аудиторского отчета, зачастую превращается в настоящее испытание для внутренних аудиторов. Требования к изложению материала, форматам отчетов, перечню их получателей индивидуальны для каждой компании. Компания сама принимает решение, каким должен быть отчет ее службы внутреннего аудита. Для одной компании в аудиторском отчете достаточно одним предложением указать, что нарушен такой-то внутренний регламент, и виновный будет уволен с работы. Для другой – необходима обоснованная аргументация того, что именно в результате выявленных недостатков контроля компания теряет прибыль, активы, не выполняет планы и т.д.

Итак, исходные данные: две крупные нефтяные компании – публичная американская (назовем ее WorldWideOil, сокращенно WWO) и российская (будем называть ее PetrolUnion, или PU). Обе ведут свою деятельность по всему миру, обе стремятся к росту капитализации и расширению деятельности. Ценные бумаги американской компании котируются на Нью-Йоркской фондовой бирже (NYSE), акции российской – на Лондонской (LSE). В обеих компаниях примерно равные по численности службы внутреннего аудита. Служба внутреннего аудита PU образована в 2002 г. Внутренний аудит WWO значительно старше, однако в том же 2002 г. в результате крупных слияний, которые провела компания WWO, ее служба внутреннего аудита претерпела существенные изменения и фактически была создана заново.

Отчетность о деятельности внутреннего аудита

Международные профессиональные стандарты внутреннего аудита. Стандарт 2060 «Отчетность перед высшим исполнительным руководством и Советом»

Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету .

В идеале считается, что у службы внутреннего аудита должна быть двойная подотчетность: функциональная – совету директоров, точнее, его аудиторскому комитету, и административная – руководителю организации или другому руководителю (финансовому директору, контролеру…), обладающему соответствующим уровнем полномочий для того, чтобы обеспечить повседневную деятельность службы внутреннего аудита. Принято полагать, что подотчетность аудиторскому комитету совета директоров обеспечивает независимость службы внутреннего аудита.

В рассматриваемых компаниях дела обстоят следующим образом.

Административная подотчетность:

WWO: Генеральный аудитор (так называется руководитель службы внутреннего аудита) подотчетен первому вице-президенту по финансам (CFO). То есть все вопросы, касающиеся повседневной деятельности службы внутреннего аудита, решаются через CFO.

PU: Вице-президент (руководитель службы внутреннего аудита) подчинен и подотчетен непосредственно президенту компании.

Функциональная подотчетность:

По этой линии подотчетности службы внутреннего аудита обеих компаний периодически отчитываются перед своими аудиторскими комитетами. Кроме этого, руководитель службы внутреннего аудита PU ежеквартально отчитывается о результатах работы правлению компании.

Обе компании стараются следовать требованиям стандарта 2060. В PU периодичность отчетов аудиторскому комитету не установлена, носит произвольный характер, полностью зависит от плана работы комитета, где указано количество и сроки рассмотрения вопросов, касающихся внутреннего аудита. Специальная типовая форма отчета не разработана. Отчеты содержат общую информацию о характере выявленных недостатков, включая существенные риски и проблемы контроля, а также информацию о количестве проведенных проверок.

Генеральный аудитор WWO в течение года отчитывается перед аудиторским комитетом регулярно: 5-6 раз в течение года представляются отчеты о ходе выполнения годового плана (в виде схемы – status report) и один раз – отчет о работе службы внутреннего аудита за год (в виде доклада).

Отчет о работе службы внутреннего аудита за год содержит информацию:

• о стратегии и целях в области работы с персоналом службы внутреннего аудита;
• квалификации персонала;
• результатах оценки качества внутреннего аудита;
• бюджете внутреннего аудита;
• выполнении службой внутреннего аудита ключевых показателей деятельности и метрик;
• процессе годового планирования аудита;
• выполнении плана аудита текущего года;
• обновлении стратегии внутреннего аудита;
• обосновании плана на следующий год.

Отчеты о ходе выполнении годового плана аудита представляются по форме, установленной службой внутреннего аудита и согласованной с аудиторским комитетом. Они содержат информацию:

• о проведенных аудитах;
• об оценке внутреннего контроля;
• о планах менеджмента по устранению недостатков, а также о ходе выполнения этих планов.

Схематично это выглядит следующим образом:

Статус предусматривает три состояния: выполнено, выполняется, дата выполнения просрочена. В отчете эти состояния отражаются цветами «светофора», соответственно: зелеными, желтыми и красными точками.

Информация для отчетов о ходе выполнения годового плана аудита собирается из отчетов по результатам выполнения конкретных аудиторских заданий. Информация показывается объективная, но при этом «дозируется». Что это значит? Это означает, что не следует ставить в неловкое положение всех участников процесса, включая членов совета директоров; информация о недостатках не раздувается до размера «вселенской катастрофы» (как, например, любит делать современное российское телевидение), негатив не нагнетается. Все по-деловому: обнаружено то-то, планируем сделать для улучшения то-то, уже сделано то-то или не сделано то-то.

Можно вспомнить случай, как однажды руководителю службы внутреннего аудита PetrolUnion подчиненные подготовили отчет аудиторскому комитету по форме, в которой обычно делается доклад на заседании правления: хлесткие фразы о творящихся безобразиях, предрекание последствий гипертрофированных размеров – словом, картина настоящего Апокалипсиса.

Не обойтись без пояснения.

Одно дело информацию в таком виде доводить до членов правления (исполнительного органа компании), которые обязаны адекватно реагировать на сигналы внутреннего аудита, и поэтому, «чем страшнее будет повесть, тем спокойней аудиторская совесть», и другое – до членов аудиторского комитета, которые призваны осуществлять надзорные, но никак не административные функции.

Отчетность по результатам проверки: форма, содержание, сроки, получатели

Группа стандартов 2400-2440 «Информирование о результатах».

Внутренние аудиторы должны сообщать результаты выполненных заданий.

Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

Сообщения должны быть точными, ясными, объективными, ясными, конструктивными, краткими и своевременными.

Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих сторон.

Типовая форма аудиторского отчета компании WWO менялась на определенных этапах развития функции внутреннего аудита. Сейчас она определена корпоративным регламентом внутреннего аудита и аудиторский отчет выглядит следующим образом:

Рис. 1. Аудиторский отчет нефтегазодобывающей дочерней компании WorldWideOil

Фактически, отчет представляет собой заключение внутреннего аудита WWO о состоянии системы внутреннего контроля тех областей деятельности предприятия или структурного подразделения, которые подверглись проверке. Выводы излагаются кратко.

Непосредственно аудиторский отчет занимает, как правило, одну страницу. В состав аудиторского отчета в обязательном порядке включаются три приложения:

А. Оценка контроля в каждой области особого внимания (см. рис. 2);
В. Перечень недостатков контроля, выявленных в результате аудита;
С. Описание недостатков контроля и план действий менеджмента по их устранению (см. рис. 3).

Рис. 2. Приложение А к аудиторскому отчету нефтегазодобывающей дочерней компании WWO

Пояснение к рис. 2 (приложение А). Внутренний аудит WWO применяет четыре оценки контроля: положительные – эффективный, надежный; отрицательные – нуждающийся в улучшении, слабый. Для каждой оценки определены соответствующие критерии. Например, оценке «надежный» соответствует уровень контроля, которым может быть обеспечена защита от материальных потерь, искажений и ошибок, несоответствия политикам компании. При этом контролю может быть присвоена высшая положительная оценка, даже если аудиторским тестированием в нем выявлены определенные недостатки, но только при условии, что эти изъяны не приводят к искажению отчетности и не нарушают безопасности используемых информационных систем.

Как «слабый» оценивается контроль, недостатки которого существенны: важные контрольные процедуры игнорируются, не выполняются или вообще не определены менеджментом объекты аудита, что приводит к высоким рискам финансовых потерь, утечке конфиденциальной информации, неисполнению политик компании.

Приложение B фактически представляет собой содержание приложения С, т.е. в нем просто по порядку перечисляются все выявленные недостатки контроля.

Рис. 3. Приложение С к аудиторскому отчету нефтегазодобывающей дочерней компании WWO.

Приложение С. При изложении недостатков контроля внутренние аудиторы руководствуются регламентом Внутреннего аудита WWO, в соответствии с которым описание «слабых мест» должно быть кратким и точным (как правило, 2-3 предложения на каждый пример). Несущественные замечания в отчет не включаются. Обязательно указывается, какие контрольные процедуры должны осуществляться, к каким рискам приводят выявленные недочеты, какие конкретно стандарты внутреннего контроля WWO и положения других локальных нормативных актов компании не исполнены. Проект аудиторского отчета готовит руководитель аудиторской (рабочей) группы (Lead Auditor, Auditor In-Charge). Срок – к последнему дню проверки «в поле», к проведению заключительной конференции с объектом аудита. Проект отчета направляется руководству объекта аудита для окончательного согласования и включения в приложение С Плана действий менеджмента по устранению недостатков (Action Plan), в котором менеджеры излагают мероприятия для исправления ситуации. Эта часть аудиторского отчета также должна быть четко сформулирована. В ней указываются ответственные лица за исполнение и сроки устранения недостатков. Выполнение Плана контролируется службой внутреннего аудита, в том числе в ходе последующих проверок.

В связи с тем что информация о мероприятиях по устранению недостатков согласована с менеджментом объекта аудита и включена в аудиторский отчет, никакие распорядительные документы по результатам аудита (приказы, указания, в том числе корпоративного уровня) не издаются.

Срок подготовки окончательного варианта аудиторского отчета в WWO – один из показателей (метрик) оценки работы службы внутреннего аудита. Цель – 14 дней, фактически же окончательные варианты отчетов готовы в среднем через десять дней после завершения проверки!

Аудиторский отчет может формироваться с использованием специальной компьютерной программы (например, TeamMate), которая позволяет автоматически группировать замечания аудиторов в форму аудиторского отчета. Но на практике формулировки замечаний, их состав во многом определяет менеджер внутреннего аудита по направлению деятельности компании, основываясь на результатах совещаний и мнении всех участников аудиторской группы. Замечания, не попавшие в отчет, вносятся в меморандум обсуждения аудита, который также рассматривается на заключительной конференции с менеджерами объекта проверки. Все недостатки, отмеченные как в аудиторском отчете, так и в меморандуме, подлежат безусловному устранению.

Регламентом внутреннего аудита WWO определен перечень получателей аудиторских отчетов. Таковыми являются:

• менеджеры внутреннего аудита (по направлению деятельности);
• генеральный аудитор;
• первый вице-президент по финансам (CFO);
• вице-президент по контроллингу/главный бухгалтер;
• исполнительный вице-президент по направлению деятельности;
• внешний аудитор.

По решению руководителя аудиторской группы в рассылку могут быть включены также менеджеры всех уровней, включая вице-президентов и исполнительных вице-президентов с соответствующими функциональными обязанностями (финансы, информационные технологии, материально-техническое обеспечение и т.д.).

Первому руководителю WWO направляются отчеты только тех аудитов, по результатам которых контроль оценен как «слабый»! Перед этим они в обязательном порядке рассматриваются генеральным аудитором.

В остальных случаях ответственность за качество отчета лежит на менеджерах службы внутреннего аудита.

PU: В PU так же, как и в WWO, разработаны регламенты внутреннего аудита. Это и корпоративные стандарты внутреннего аудита, и стандарты (на уровне методик) проведения проверок по направлениям деятельности (бизнес-сегментам), в которых содержатся в том числе и требования к формированию аудиторского отчета. Так, например, согласно корпоративному стандарту изложение результатов аудиторского задания должно включать наблюдения, выводы (мнение), рекомендации и план действий. Наблюдения должны представлять факты, имеющие отношение к аудиторскому заданию. Наблюдения, необходимые для пояснения (предупреждения неверного понимания) выводов и рекомендаций внутренних аудиторов, должны быть включены в окончательное представление результатов аудиторского задания.

Аудиторские отчеты PU очень объемны, имеют массу приложений, по существу документируют ход выполнения аудиторского задания. Их и читать-то нелегко, а уж писать!..

Сложность заключается еще и в том, что служба внутреннего аудита PU включает в отчет рекомендации по устранению недостатков, в том числе и топ-менеджерам компании. Эти рекомендации оформляются распорядительными документами (приказами, указаниями), которые требуют прохождения процедуры согласования внутри компании и оказывают существенное влияние на продолжительность процесса подготовки окончательного отчета.

Понятны и требования, предъявляемые руководителем службы внутреннего аудита PU к качеству аудиторских отчетов: читать их будет президент! По сути, каждый отчет – «лицо» службы. (Очень ответственно.)

В условиях, когда любая служба внутреннего аудита объективно не может на все 100% быть укомплектована высококвалифицированными специалистами, качество аудиторского отчета попадает в прямую зависимость от количества времени, затраченного на его написание. Говорить о 10 днях на отчет не приходится! Порой процесс затягивается на несколько месяцев, и теряется одно из главных качеств аудиторского отчета – его своевременность.

Однако стоит ли кивать на PetrolUnion, когда подобное положение еще совсем недавно было свойственно службам внутреннего аудита очень крупных международных компаний.

Направляются все аудиторские отчеты президенту компании, так как руководитель службы внутреннего аудита подчинен и подотчетен непосредственно ему. После рассмотрения президент принимает решение о рассылке аудиторского отчета, т.е. определяет круг лиц, которым сообщаются результаты аудиторского задания.

Какой вариант представления отчета лучше? Решать придется самостоятельно. Статистика же такова: имея приблизительно равное количество объектов в аудиторской базе (свыше 500 у каждой компании), служба внутреннего аудита WorldWideOil проводит около 120 аудиторских проверок в год, внутреннего аудита PetrolUnion – чуть больше тридцати. И срок подготовки окончательного варианта аудиторского отчета, конечно, не единственный, но очень важный фактор для объяснения такой разницы. Казалось бы, вывод очевиден – срочно менять порядок представления результатов аудита, упростить структуру отчета и не направлять его первому лицу компании (или направлять только в исключительных случаях). Но здесь стоит задуматься об одном щепетильном моменте.

Представим себе работу внутреннего аудита в условиях более или менее отлаженной работы системы внутреннего контроля, риск-менеджмента, корпоративного управления. Это когда замечания в аудиторском отчете могут звучать примерно так: «не представлено подтверждения того, что сверка счетов за март проводилась в установленном порядке». На самом деле для системы внутреннего контроля это серьезное нарушение, и менеджеры разного уровня это прекрасно понимают. И к виновному будут приняты самые строгие меры. Но это же… момент рабочий. С такими замечаниями на самый верх идти неудобно. И что получается? Работа отлажена лучше некуда, но это не оценивается по достоинству, так как встречи с высшим руководством крайне редки, и, как говорится, со временем происходит « выпадение из обоймы». Поэтому парадокс: чем лучше результаты работы, чем четче работает весь механизм, тем уязвимее со временем позиция, а это и потеря авторитета, и далеко идущие выводы.

Порой, по-видимому, так и происходит на самом деле. Правда, это не касается вышеназванных компаний.

И в завершение. Теоретически процессы формирования и представления результатов выполненного аудиторского задания в компаниях PetrolUnion и WorldWideOil не имеют принципиальных различий, так как внутренний аудит и в той и в другой компании соответствует Международным профессиональным стандартам. Практически же эти различия существенны. Причина кроется в разных задачах, стоящих перед службами внутреннего аудита на сегодняшнем этапе развития компаний.

Первостепенная задача внутреннего аудита компании PetrolUnion – создание современной системы корпоративного управления посредством рекомендаций (в том числе топ-менеджменту), разрабатываемых по результатам аудиторских проверок, и систематического контроля их исполнения.

В WorldWideOil ситуация следующая. Развитию корпоративного управления компании, формализации процессов риск-менеджмента, внутреннего контроля поспособствовала внешняя среда (и в первую очередь – рынок ценных бумаг). Каким образом? Прежде всего, наличием соответствующего законодательства. Внутренний аудит сегодня, в основном, осуществляет проверку соответствия контрольных действий менеджеров и исполнителей принятым регламентам, что вполне соответствует требованиям Закона Сарбейнса-Оксли. В таких условиях проще стандартизировать и аудиторский процесс, и процесс представления результатов аудита. Рекомендаций по результатам проверки внутренний аудит WWO не дает. Соответствие Международному стандарту 2130 достигается путем оказания дочерним предприятиям и структурным подразделениям консультационных услуг, т.е. проведения анализа с целью выработки рекомендаций. Однако количество таких проектов в год очень незначительно, и вот уже сами аудиторы WorldWideOil жалуются на снижение эффективности, на невозможность в связи с нехваткой времени больше внимания уделять выявлению новых рисков и подготовке рекомендаций, направленных на повышение эффективности компании.

Очевидно, единого рецепта нет, но есть главный принцип: не останавливаться на достигнутом, постоянно стремиться к совершенствованию и улучшению методов и процессов.