что такое свк в аудите

Что такое свк в аудите

7 МИН

Как провести внутренний аудит

Задача внутреннего аудита — предугадать финансовые риски и повысить эффективность менеджмента. Разбираемся, как проверить работу собственной компании.

Что такое внутренний аудит компании

Внутренний аудит — это форма контроля деятельности организации изнутри. Процедура помогает руководству проверять финансовое состояние бизнеса и достоверность отчётности. Главная цель внутреннего аудита — выявить риски и усовершенствовать процессы после консультации аудитора.

В ходе аудита решаются следующие задачи:

По закону все предприятия должны проводить общий внутренний контроль или, проще говоря, проверку хозяйственной деятельности. Процедуру и итоги проверки компания обязана регламентировать самостоятельно, но строгих требований в законе нет, ответственности за нарушение не предусмотрено.

Ч. 1 ст.19 402-ФЗ
П. 17 ч. 4 Информации Минфина России № ПЗ-11/2013
П. 2 ч. 1 Информации Минфина России № ПЗ-11/2013

Каким бывает внутренний аудит

Существует несколько видов внутреннего аудита. У каждого из них свои функции.

1

Операционный

Это контроль бизнес-процессов компании: эффективности работы подразделений, выполнения бизнес-планов, смет, политики управления и т. д.

1

Финансовый

Проверка системы бухгалтерского учёта и достоверности отчётности. Основная цель — оценить эффективность расходования средств компании и выявить риски.

1

Криминальный

Контроль рисков, связанных с нарушением норм законодательства. В первую очередь инспектируются налоговый учёт и платежи.

1

Аудит соответствия

Позволяет проверить, соблюдаются ли законы, нормы регулирования, отраслевые кодексы, корпоративная политика.

1

Экологический аудит

Его цель — проверить, выполняет ли компания требования по защите окружающей среды. Например, не превышен ли уровень вредных выбросов.

1

Аудит информационных технологий

Контроль безопасности информационных систем организации и эффективности процессов управления в области IT.

С чего начинается внутренний аудит

Согласно информации Минфина, положения о внутреннем контроле являются частью учредительных документов. В них прописывается общая процедура проверки. Детали проведения аудита индивидуальны для каждой организации и зависят от её структуры, масштабов, документооборота.

П. 11 ч. 3 Информации Минфина России № ПЗ-11/2013

Проверка должна проходить на основании приказа руководителя, который содержит следующее:

Факторы эффективной проверки

Важное условие — независимость и непредвзятость тех, кто проводит внутренний аудит. Нежелательно, чтобы в процедуре участвовали, например, сотрудники бухгалтерии, поскольку финансовая отчётность — один из главных объектов проверки.

Закон никак не регламентирует, кто именно должен проводить внутренний аудит. При этом Министерство финансов рекомендует несколько вариантов: например, аудитором может быть действующая комиссия из компетентных сотрудников, сам руководитель, если предприятие маленькое, а в больших компаниях — специально созданное для этого подразделение. Допустимо также приглашать внешних консультантов.

Сроки и частота проверки устанавливается руководителем. Проводить аудит можно как угодно часто. Эффективным считается аудит бухгалтерской отчётности и налоговых выплат раз в квартал, средняя продолжительность процедуры — 3–4 недели. Если для проверки нанимается аудиторская компания, сроки прописываются в договоре.

Как проводится внутренний аудит организации

Первый этап — планирование, для проверяющих готовят методологические документы. Они должны описывать:

Перед каждой проверкой составляется чек-лист. Он включает в себя предмет и метод проверки, сроки, контрольные вопросы, план выборочных бесед с работниками, результаты проверки и комментарии проверяющих.

Второй этап — открытие аудита, ответственные рассказывают сотрудникам о ходе предстоящей проверки и отвечают на вопросы. После этого начинается процедура по установленному заранее чек-листу.

Третий этап — подведение итогов и написание аудиторского отчёта. Результат внутренней проверки, как правило, получает владелец бизнеса или генеральный директор.

Аудиторское заключение должно содержать следующую информацию:

При этом по итогам финансовой проверки аудиторская организация или индивидуальный аудитор обязаны уведомить уполномоченные органы, если заподозрили проверяемую компанию в отмывании денег, а Федеральная налоговая служба имеет право потребовать у аудитора предоставить информацию, которую тот получил в ходе проверки.

П. 2.1 ст.7.1 115-ФЗ
Пп. 1–2 ст. 93.2 НК РФ

Источник

Как проводится внутренний аудит на предприятии

Внутренний аудит применяется в большинстве крупных компаний. Он нужен для предотвращения появления существенных недочетов. Проводится в соответствии с заданным алгоритмом.

Как организовать проведение внутреннего кадрового аудита и оформить итоги в организации?

Что собой представляет внутренний аудит

Внутренний аудит представляет собой проверку деятельности компании, которая проводится в интересах собственника. Процедура осуществляется на основании регламента, составленного самой фирмой. В процессе проверяются документы, проводится опрос сотрудников.

Вопрос: В чем основные отличия функционала службы внутреннего контроля и службы внутреннего аудита?
Посмотреть ответ

Основные задачи

Рассмотрим задачи внутреннего аудита фирмы:

Внутренний аудит нужен, прежде всего, руководителю компании. Результаты проверки помогут оптимизировать производство.

Вопрос: В каком случае целесообразно принятие решения о вынесении функции внутреннего аудита на аутсорсинг?
Посмотреть ответ

Законодательная база

Работа специалистов, осуществляющих внутренний аудит, должна соответствовать международным (МСВА) и отечественным стандартам. Она регламентируется ФЗ №307 «О деятельности аудитора». Кроме того, проверка не должна противоречить этим нормам:

Стандарты внутреннего аудита должны также содержаться во внутренних документах компании.

Что проверяется в процессе внутреннего аудита

Проведение внутреннего аудита предполагает комплексный подход. То есть осуществляется проверка всех аспектов деятельности предприятия. В частности, это:

Аудитор также должен удостовериться в информационной безопасности. Проверяется обработка информации в компании, действующая информационная система, наличие коммерческих тайн. Специалист проводит аудит системы защиты сведений.

Разновидности внутреннего аудита

Существуют различные виды внутреннего аудита. Проверка подразделяется на типы в зависимости от задач, поставленных перед аудитором. Существуют следующие его разновидности:

Все рассматриваемые разновидности аудита обязательными не являются. Проводятся они по инициативе руководителя.

Документальное сопровождение аудита

В рамках проверки нужно обязательно составить ряд документов. В обратном случае аудит не будет правомерным.

Издание приказа об аудите

Проверка осуществляется на основании приказа руководителя. Этот документ устанавливает следующие аспекты работы:

В приказе должны содержаться четкие указания относительно начала аудита.

Чек-лист

В рамках аудита проводится контроль множества сфер. Выполняется много операций, последовательность которых нужно соблюдать. Для соблюдения алгоритма рекомендуется составлять чек-лист. Он включает в себя список контрольных вопросов. Не существует законов, регламентирующих составление этого документа. Чек-лист заполняется в соответствии с пожеланиями руководителя. Он позволяет решить эти задачи:

Составлять чек-лист можно на основании положений ФЗ №307 «Об аудиторской деятельности» от 30 декабря 2008 года.

Этапы проведения внутреннего аудита

Внутренний аудит можно подразделить на три этапа:

Каждый из этих этапов имеет свое значение. К примеру, если не будет проведена адекватная подготовка, процедура в дальнейшем станет не такой эффективной.

Инструменты внутреннего аудита

Составляющие внутренней проверки зависят от нужд компании. К примеру, это могут быть следующие инструменты:

Этот перечень может быть дополнен. Характер дополнений определяется спецификой деятельности компаний.

Аудиторы в ходе своей работы используют самые различные инструменты. К примеру, если проверяются счета-фактуры, актуален следующий порядок контроля:

Проверка движения материальных ценностей проводится посредством инвентаризации. К этой процедуре нужно подготовиться. Подготовка включает в себя эти этапы:

Анализ верности начисления амортизации выполняется на основании документов. В перечень бумаг, подлежащих аудиту, входят инвентарные карточки. Аудитор также может проводить перерасчет.

Результаты внутреннего аудита

Результаты аудита фиксируются в отчете. В нем прописывается эта информация:

Отчеты об аудите должны быть сохранены. Они могут сравниваться между собой для того, чтобы проанализировать динамику деятельности компании. На основании отчетов производится работа по исправлению обнаруженных недочетов.

К СВЕДЕНИЮ! Не каждый сотрудник может участвовать в аудите. Желательно, чтобы у специалиста было соответствующее образование. Получить все необходимые знания можно на специализированных курсах.

Источник

Как построить в компании систему внутреннего контроля

Вице-президент ABPMP Russia, Директор департамента по оптимизации бизнес-процессов Университета Синергия, Эксперт по процессному управлению и моделированию бизнес-процессов, преподаватель программы Операционная эффективность бизнеса и совершенствование бизнес-процессов

Все ли операционные риски следует контролировать и предотвращать? Как оценить, что контрольные процедуры выполнены должным образом? Разбираемся с Андреем Коптеловым.

Если вам кажется, что у вас все под контролем, вы просто еще не набрали скорость.

Марио Андретти, участник гонок «Формула 1»

Пока гром не грянет, мужик не перекрестится, — эта пословица прекрасно описывает российскую специфику управления операционными рисками. К сожалению, наши компании нередко отличаются слабым уровнем работы с операционными рисками и полным отсутствием системы внутреннего контроля. Исправить данный недостаток можно, применяя к бизнес-процессам компании методологию американского законодательства SOX (Sarbanes-Oxley Act)

Что такое операционный риск

Операционный риск, можно определить как риск прямых или косвенных убытков в результате неверного исполнения бизнес-процессов, неэффективности процедур внутреннего контроля, технологических сбоев, мошенничества, несанкционированных действий персонала или внешнего воздействия.

Ключевой идеей системы управления операционными рисками является определение наиболее вероятных и серьезных в части ущерба рисков и последующее изменение существующих бизнес-процессов с целью недопущения реализации данных рисков или минимизации последствий в случае, если риск все-таки реализовался.

По статистике среднестатистическая компания теряет 5% прибыли только из-за мошенничества, тогда как потери из-за других видов операционных рисков в разы больше. Смысл системы управления операционными рисками хорошо иллюстрирует следующее определение: управление операционными рисками – это возможность не терять значительные деньги по незначительным поводам.

Многие операционные риски отличает от финансовых и кредитных рисков тот факт, что их источник лежит внутри самой организации. А, значит, вероятность реализации операционных рисков может быть снижена за счет устранения причин, их порождающих. Операционные риски в основном приводят к неоправданным потерям. Поэтому, в случае их обнаружения и устранения, компания получает ощутимую выгоду с точки зрения повышения качества внутренних бизнес-процессов и снижения неоправданных потерь.

Формализация операционных рисков

Формализация операционных рисков необходима для превентивного определения тех точек в бизнес-процессах, где с высокой вероятностью может произойти нештатное событие. Однако на практике некоторые российские компании даже в случае многократной реализации операционного риска так и не предпринимают никаких мер для исключения его в будущем.

Тут можно привести известный афоризм, что грабли бывают двух видов: первые чему-то учат, и вторые — мои любимые. Именно поэтому в рамках управления операционными рисками, помимо формализации операционных рисков в специальном реестре или даже в специализированной информационной системе, рекомендуется создавать базу убытков, чтобы заносить в нее случаи реализации рисков в компании, а также понесенный ущерб. Такая практика позволяет анализировать причины рисков и специальными мероприятиями снижать вероятность их реализации в будущем.

Первый шаг — создание реестра операционных рисков, вести который следует поручить экспертам из подразделений компании или внутренним аудиторам. А после того, как ключевые риски собраны, можно начать накапливать статистику по случаям их реализации, чтобы определить первоочередные мероприятия по их предотвращению.

Сложным вопросом в части выявления операционных рисков является доказательство полноты выявленных рисков, и тут наиболее просто использовать отраслевые реестры рисков, которые, как правило, собираются аудиторами. Использование отраслевых реестров операционных рисков позволяет выполнить формализацию операционных рисков в бизнес-процессах на порядок быстрее, чем использование экспертных методов сбора операционных рисков от своих сотрудников и руководителей.

Оценка операционных рисков

Учитывая, что в крупной компании количество операционных рисков может смело перевалить за тысячу, то нужен простой способ их оценки и ранжирования для определения наиболее критичных рисков, с которыми придется бороться в первую очередь.

Управление всеми найденными операционными рисками экономически невыгодно для компании. Проще смириться с убытками, которые вызывают риски с небольшим ущербом и низкой вероятностью реализации, чем проектировать и внедрять мероприятия по их предотвращению. Именно поэтому ключевой задачей оценки операционных рисков является отсечение тех рисков, которые с высокой степенью вероятности не оправдают дальнейших затрат на их предотвращение.

Существует множество подходов к оценке рисков, однако самым простым является экспертное ранжирование рисков по двум критериям: вероятность реализации риска и объем ущерба от случая реализации. Данная оценка производится на основании мнений экспертов, которые анализируют вероятность и ущерб для всех операционных рисков, актуальных для компании.

После того как оценка проведена, можно использовать четыре стратегии управления операционными рисками. Первая, самая применяемая в России, называется «принимать»: риски принимаются к сведению, но действия по их минимизации не планируются. Вторая стратегия — «страховать»: особенно часто эту стратегию используют для маловероятных рисков с серьезным ущербом. Третья стратегия называется «избегать»: в этому случае компания отказывается от рискованных бизнес-процессов, либо сосредоточивает максимальные усилия на оптимизации данных процессов в части снижения ущерба и его вероятности. Четвертая стратегия называется «предотвращать» и требует построения контрольных процедур для минимизации высоко вероятных рисков со средним или малым ущербом.

Построение системы внутреннего контроля

Для недопущения реализации рисков или минимизации последствий используется система внутреннего контроля, в рамках которой не только определяется ответственный за операционный риск, но и создается контрольная процедура, которая внедряется в существующий бизнес-процесс.

Контрольная процедура — это действие, которое помогает удостовериться, что все необходимые меры в отношении предотвращения случаев реализации операционных рисков приняты. При этом, чтобы проверить работоспособности контрольной процедуры, важно также получить свидетельство контроля — документальное подтверждение факта ее исполнения.

Наиболее результативными считаются превентивные контрольные процедуры, которые позволяют минимизировать саму вероятность наступления рискового события. Однако для повышения надежности бизнес-процесса их часто применяют одновременно с детективными процедурами. Например, наряду с процедурой изъятия карточки-пропуска при увольнении сотрудника должна существовать контрольная процедура сверки списка сотрудников, которым закрыт доступ по их карточкам-пропускам, со списком уволенных за определенный период.

Для создания контрольной процедуры в бизнес-процессе нужно ответить на следующие вопросы:

При проектировании контрольной процедуры в обязательном порядке необходимо предусмотреть необходимость создания свидетельств контроля, подтверждающих факт правильного выполнения контрольной процедуры. На практике свидетельством контроля может являться акт сверки, log-файл информационной системы, — все то, что подтвердит факт успешного выполнения контрольной процедуры сотрудником или информационной системой.

При этом нужно учитывать, что ручной контроль требует серьезных трудозатрат, и поэтому автоматизация контрольных процедур является ключевым направлением развития системы внутреннего контроля в последнее время. Чем больше в компании автоматизированных контрольных процедур, результаты выполнения которых видны в log-файлах информационных систем, тем эффективнее и, главное, дешевле, система внутреннего контроля.

Тестирование эффективности системы внутреннего контроля

Чтобы быть уверенным в том, что система внутреннего контроля эффективна, необходимо с определенной периодичностью проверять, как на практике выполняются контрольные процедуры. Данная проверка осуществляется с помощью специализированных тестов, которые состоят из следующих шагов:

Сначала устанавливается наличие регламента, где определяется порядок, правила выполнения данного бизнес-процесса и соответствующих контрольных процедур.

Далее проверяется выполнение на практике требований, описанных в документе, и документируются конкретные примеры выполнения.

По результатам проведенного теста принимается решение об эффективности или неэффективности анализируемых контрольных процедур.

Дополнительной сложностью в тестировании является требование, чтобы тестирование выполнялось сотрудниками, не участвующими в проверяемых бизнес-процессах. Тысяча тестов, которые необходимо выполнить в течение месяца, — это нормальная ситуация для системы внутреннего контроля крупной компании. При этом количество проводимых тестов зависит от количества экземпляров бизнес-процессов, проходящих через проверяемую контрольную процедуру. Таким образом, периодичность проведения тестирования устанавливается в зависимости от критичности операционных рисков и частоты исполнения бизнес-процесса и может варьироваться.

В существующих условиях количество трансакций в деятельности крупной компании достигает сотен тысяч в день, а число операционных рисков превышает несколько сотен. При этом достаточно сложно отследить эффективность выполнения контрольных процедур на ручном уровне, поэтому единственным эффективным путем является максимальная автоматизация как контрольных процедур, так и проверочных тестов.

Почему нужно равняться на методологию SOX

Анализ разных подходов к построению систем внутреннего контроля показал, что максимально жесткой и проработанной в части внедрения является именно методология закона SOX, которая предназначена для минимизации нарушений, связанных с финансовой отчетностью. Только в системе внутреннего контроля, построенной по требованиям SOX, можно обнаружить не только контрольные процедуры и свидетельства контроля, но и специализированные тесты, с помощью которых в регулярном режиме проверяют эффективность работы контрольных процедур.

При этом вся система, помимо внутренних тестов, дополнительно контролируется внешним аудитором. Его задача — выборочно проверять не только качество оценки операционных рисков, но и правильность работы контрольных процедур, существование свидетельств контроля, а также регулярность внутреннего тестирования системы.

И хотя внедрение такого объема контрольных процедур и тестов часто слишком дорого для компании, в тех бизнес-процессах, над которыми нужно установить максимальный контроль, можно использовать методологию SOX в полном объеме.

Источник

Система внутреннего контроля при налоговом мониторинге: что про нее надо знать и как ее организовать

Всё больше компаний переходит от обычных налоговых проверок на налоговый мониторинг. К тому же каждый год ФНС постепенно снижает критерии вхождения в этот режим контроля. В связи с этим приказ ФНС России от 25.05.2021 № ЕД-7-23/518 утвердил требования к организации системы внутреннего контроля и формы (форматы) документов при налоговом мониторинге для отчётности.

Чем руководствоваться

На основании п. 7 ст. 105.26 НК РФ (Закон от 29.12.2020 № 470-ФЗ с изменениями) система внутреннего контроля должна соответствовать требованиям к её организации, которые устанавливает ФНС России.

Поэтому с 7 августа 2021 года нужно руководствоваться таким приказом ФНС от 25.05.2021 № ЕД-7-23/518 (далее — Приказ № ЕД-7-23/518). Он закрепил:

Суть в том, что в соответствии с этим приказом вся информация о системах внутреннего контроля участников налогового мониторинга будет приведена к единому стандарту. А это позволит налоговикам обрабатывать ее автоматически.

Кроме того, конкретизация раскрываемых данных позволит налоговикам активнее применять риск-ориентированный подход в налоговом мониторинге.

Какие изменения

Важная задача налогового мониторинга — снижение налоговых рисков организации. Налоговый орган комплексно анализирует их и оценивает эффективность работы системы внутреннего контроля налогоплательщика по выявлению и предотвращению этих рисков. Результаты этой работы — основа для планирования проверок. Они определяют:

Компании с 07.08.2021 предоставляют более подробную информацию о рисках. Так, предусмотрено раскрытие информации:

Больше про налоговый мониторинг мы рассказываем в записи вебинара с экспертами — забрать ее можно прямо сейчас.

В форме «Информация об организации системы внутреннего контроля» теперь более стандартизованное изложение информации обо всех внутренних нормативных документах налогоплательщика в отношении организации и функционирования системы внутреннего контроля.

Соответствующим образом скорректирован состав документов. Так, таблицы «Анализ контрольных процедур» больше нет. Введена новая форма «Информация о рисках по отдельным сделкам и операциям».

Если до 07.08.2021 по электронке отправляли информацию об организации системы внутреннего контроля, то теперь добавлены электронные форматы представления:

Таблицы с данными тоже поправили.

Например, в сведения о результатах контрольных процедур нужно вносить информацию о количестве проверенных договоров, операций и документов.

Когда отчитываться

Пункт 18.3 Приказа № ЕД-7-23/518 установил сроки сдачи документов и информации, формируемых в соответствии с требованиями к организации системы внутреннего контроля. Вот они:

ПЕРИОДИЧНОСТЬ И СРОК СДАЧИ

Риски, идентифицируемые в целях налогового мониторинга, на календарный год, за который он проводится	Ежеквартально на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала
Информация о рисках по отдельным сделкам и операциям на календарный год, за который проводится налоговый мониторинг	Ежеквартально на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала. При отсутствии данных для раскрытия сдают с нулевыми значениями.
Контрольные процедуры в целях налогового мониторинга, на календарный год, за который проводится налоговый мониторинг	При подаче заявления о проведении налогового мониторинга Далее — ежеквартально на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала
Матрица рисков и контрольных процедур организации на календарный год, за который проводится налоговый мониторинг	Ежеквартально на 1-е число месяца соответствующего квартала, не позднее одного месяца со дня наступления соответствующего квартала
Результаты выполнения контрольных процедур в целях налогового мониторинга за истекший квартал	Не позднее 1-го числа второго месяца, следующего за окончанием соответствующего квартала
Оценка уровня организации системы внутреннего контроля за период, предшествующий проведению налогового мониторинга	При подаче заявления о проведении налогового мониторинга Далее — за период проведения налогового мониторинга 1 ноября года, следующего за периодом проведения мониторинга
Мероприятия по совершенствованию системы внутреннего контроля за период мониторинга	1 ноября года, следующего за периодом проведения налогового мониторинга
Информация об организации системы внутреннего контроля	При подаче заявления о проведении налогового мониторинга Далее — ежегодно на 1-е число месяца соответствующего года, не позднее одного месяца со дня наступления соответствующего года Вообще проводить оценку необходимости внесения изменений в систему внутреннего контроля нужно не реже 1 раза в квартал. При внесении изменений актуальную информацию нужно сообщить налоговикам в срок до 5 рабочих дней со дня внесения изменений. Когда отчитываться Раскрываемую налоговикам информацию о рисках компании, идентифицируемых для налогового мониторинга, сведения о рисках по отдельным сделкам и операциям и матрицу рисков и контрольных процедур нужно сдать за отчетные периоды, наступившие после 1 января 2022 года. Что мониторят налоговики Компании, в отношении которых идёт налоговый мониторинг, обязаны соблюдать требования к системе внутреннего контроля: Вообще, система внутреннего контроля должна работать на всех уровнях бизнес-процесса (операции). А именно:
До фактического начала бизнес-процесса (операции)	Предупреждение или снижение негативного воздействия событий и факторов, которые могут повлиять на достижение целей организации
Непосредственно в ходе бизнес-процесса (операции)	Своевременное выявление и немедленное устранение возникающих в ходе работы нарушений и отклонений от заданных параметров
После бизнес-процесса (операции)	Установление достоверности отчетных данных и оценки соответствия результатов целевым (плановым) показателям

Для налогового мониторинга интересны следующие области риска:

Содержание требований к организации системы внутреннего контроля

Это следующие вопросы:

Также Приказ № ЕД-7-23/518 содержит 19 приложений с бланками отчётов и их электронными форматами. А ещё — 4 перечня:

ВНИМАНИЕ!

1 декабря на «Клерке» стартует обучение на онлайн-курсе повышения квалификации для получения удостоверения, которое попадет в госреестр. Тема курса: управленческий учет.

Повышайте свою ценность как специалиста прямо на «Клерке». Подробнее

Источник