4.3. Оцінка системи внутрішнього контролю і внутрішнього ау-диту на підприємстві
4.3. Оцінка системи внутрішнього контролю і внутрішнього аудиту на підприємстві
З метою успішного функціонування підприємства, підвищення рівня рентабельності, збереження та збагачення його активів необхідний налагоджений механізм управління, найважливішим елементом якого є повсякденний внутрішній контроль.
Система контролю має бути економічно вигідною, тобто затрати на її функціонування мають бути меншими за витрати підприємства через її відсутність. Якщо система внутрішньогосподарського контролю буде функціонувати ефективно, це дасть змогу скоротити витрати на проведення внутрішнього аудиту.
Система внутрішнього контролю визначає всі внутрішні правила та процедури контролю, запроваджені керівництвом підприємства для досягнення поставленої мети — забезпечення (в межах можливого) стабільного і ефективного функціонування підприємства, дотримання внутрішньогосподарської політики, збереження та раціональне використання активів підприємства, запобігання та викриття фальсифікацій, помилок, точність і повнота бухгалтерських записів, своєчасна підготовка надійної фінансової інформації.
При формуванні ефективної системи внутрішнього контролю адміністрація суб’єкта господарювання повинна забезпечити:
надійну інформацію, яка необхідна для успішного керівництва діяльністю суб’єкта господарювання;
збереження активів і документів — уникнення фактів крадіжок, псування та нецільового використання майна, знищення і розголошення інформації (в тому числі тієї, що міститься в облікових регістрах, комп’ютерних базах даних);
ефективність господарської діяльності — виключення шляхом контрольних процедур дублювання, невиробничих витрат, нераціонального використання всіх видів ресурсів; оптимізація податкових платежів, зміцнення розрахункової дисципліни;
відповідність визначеним обліковим принципам — обов’язкове виконання працівниками встановлених на підприємстві інструкцій і правил, а також вимог нормативних документів;
надійну систему бухгалтерського обліку.
Система внутрішнього контролю включає три основні елементи: середовище контролю, систему бухгалтерського обліку та незалежні процедури перевірки.
1. Середовище контролю, де відбуваються операції, — це заходи і записи, які характеризують загальне ставлення керівництва і власників підприємства до діючої системи внутрішнього контролю, значення діючої системи внутрішнього контролю для підприємства.
До факторів середовища контролю належать:
діяльність керівництва (власників) клієнта;
політика та методи керівництва;
організаційна структура підприємства і методи розподілу функцій управління і відповідальності;
управлінські методи контролю, в тому числі кадрова політика і практика, а також порядок розподілу обов’язків.
До специфічних заходів контролю включають:
періодичне зіставлення, аналіз і перевірку рахунків;
перевірку арифметичної точності записів;
контроль за умовами функціонування та використання комп’ютерних інформаційних систем, зокрема підтримання контролю за періодичними змінами комп’ютерних програм, доступом до бази інформаційних даних;
введення і перевірку контрольних рахунків і перевірочних облікових регістрів по рахунках;
порядок проходження та затвердження документів (графік документообігу);
відповідність прийнятих внутрішніх правил вимогам законодавчих актів та зовнішнім джерелам інформації;
порівняння загальної суми наявних грошових коштів, вартості цінних паперів і товарно-матеріальних ресурсів із записами в облікових регістрах;
порівняння і аналіз фінансових результатів діяльності підприємства з показниками фінансового плану (прогнозу).
2. Система бухгалтерського обліку — це заходи і записи підприємства, шляхом яких бухгалтерські операції оформлюються в регістрах бухгалтерського обліку. Така система визначає, збирає, аналізує, підраховує, класифікує, записує, підсумовує і надає інформацію про операції та інші заходи.
3. Незалежні процедури перевірки — це аудиторські процедури, які використовуються аудитором для визначення того, чи були фінансово-господарські операції клієнта належним чином санкціоновані, правильно оформлені і відображені в облікових регістрах, а також чи всі помилки в процесі ведення справ і реєстрації даних по них виявляються максимально швидко. Це означає, що процедури контролю дають упевненість у тому, що мета контролю за забезпеченням повноти, точності, законності, захисту активів і файлів даних будуть досягнуті та буде видана надійна фінансова інформація.
На практиці існують різні процедури контролю, а саме:
а) процедури контролю за повнотою даних, що призначені для впевненості в тому, що всі дані по всіх господарських операціях внесені до облікових регістрів (комп’ютерних файлів) і прийняті на обробку;
б) процедури контролю за точністю даних необхідні для впевненості в тому, що дані по кожній господарській операції відображені в обліку своєчасно і в повному обсязі та правильно рознесені по рахунках;
в) процедури контролю за дозволом (санкціонуванням) операцій спрямовані на забезпечення законності здійснення операцій;
г) процедури контролю за збереженням активів і записів — процедури, що базуються на обмеженні доступу до активів підприємства осіб, котрі не мають на те повноважень, запобіганні крадіжкам, псуванню та нестачі активів. Вони включають: створення та налагодження надійної контрольно-пропускної системи на підприємстві, встановлення засобів охорони, сигналізації, сейфів, обладнання складських приміщень тощо, а також періодичне проведення внутрішніх ревізій та інвентаризацій.
Під час аудиторської перевірки аудитор досліджує тільки ту методику і процедури бухгалтерського обліку, які відносяться до тверджень звітності. Розуміння відповідних аспектів систем бухгалтерського обліку і внутрішнього контролю разом з оцінкою властивого ризику і ризику невідповідності функціонування внутрішнього контролю разом із розглядом інших обставин нададуть аудитору можливість:
з’ясувати для себе види потенційних суттєвих перекручень, котрі можуть бути у фінансових звітах;
визначити фактори, що впливають на ризик наявності суттєвих помилок;
запланувати необхідні аудиторські процедури.
Внутрішній контроль за функціонуванням системи обліку на підприємстві повинен забезпечувати:
наявність дозволу на проведення облікових операцій, які мають здійснюватися відповідно до розпорядження керівництва;
відображення всіх облікових операцій у вигляді точних підсумкових показників на відповідних рахунках обліку і у відповідний час, що дає можливість спеціалістам підготувати фінансову звітність згідно зі встановленими вимогами щодо її подання;
доступ до облікових записів по активах підприємства тільки після дозволу керівництва;
систему обліку, що передбачає порядок порівняння відображених в обліку активів з активами, які є у наявності, через певні інтервали часу, і по всіх існуючих розбіжностях вживати необхідних та своєчасних заходів щодо їх усунення.
Через певні обмеження наявні системи обліку і внутрішнього контролю не можуть дати керівництву докази того, що поставлені перед внутрішнім контролем завдання виконані.
Існують такі обмеження:
вимоги керівництва, які виходять із того, що витрати на внутрішній контроль не можуть перевищувати корисного ефекта від його функціонування;
більшість процедур внутрішнього контролю спрямовані на звичайні, а не на неординарні операції, можливість припущення помилки будь-якою службовою особою з причин необачності, неуважності, неправильного судження і неправильного розуміння законодавства, норм і правил;
можливість уникнути проведення заходів внутрішнього контролю шляхом змови членів керівництва або співробітників з персоналом підприємства і третіми особами;
можливість нехтування принципів внутрішнього контролю особами, відповідальними за забезпечення внутрішнього контролю;
з причини несвоєчасного врахування змін певних обставин існує можливість проведення неадекватних процедур внутрішнього контролю.
Оцінка аудитором системи внутрішнього контролю визначається на основі певних елементів (рис. 4.1).
Наявність компетентного персоналу, що заслуговує на довіру, з чітко визначеними правами та обов’язками є найважливішим елементом внутрішнього контролю. Працівники підприємства мають бути компетентними, чесними і ретельними, а права та обов’язки кожного працівника повинні бути чітко визначені в посадових інструкціях.
Рис. 4.1. Основні елементи функціонування
системи внутрішнього контролю
Наявність розподілу упорядкованих посадових обов’язків між працівниками, котрі беруть участь у формуванні інформації, щодо ведення справ і формування інформації, допоможе уникнути зловживань і крадіжок, а також виявляти випадкові помилки. Ймовірність виявлення помилок знижується у разі, якщо одна і та сама людина здійснює господарську операцію та відображає її в регістрах бухгалтерського обліку.
Дотримання необхідних формальних процедур при здійсненні господарських операцій працівниками підприємства має бути неупередженим. Цей елемент внутрішнього контролю безпосередньо пов’язаний із чітким визначенням прав та обов’язків кожного працівника.
Наявність фізичного контролю (контролю за фактичною наявністю) за активами та документацією повинна забезпечувати охорону майна підприємства та проведення його інвентаризації.
Своєчасне складання первинних документів. Підставою для здійснення господарських операцій мають бути своєчасно складені первинні документи у відповідності зі встановленими вимогами до їх складання, визначеними діючими нормативними актами.
При вивченні системи внутрішнього контролю необхідно оцінити вплив одержаних результатів на подальшу перевірку достовірності фінансової звітності підприємства. Процес оцінювання складається з кількох основних етапів (рис. 4.2).
Рис. 4.2. Основні етапи оцінювання системи
внутрішнього контролю на підприємстві
На етапі загального знайомства з системою внутрішнього контролю аудитор отримує загальне уявлення про специфіку і масштаби діяльності підприємства, систему бухгалтерського обліку, структуру служби внутрішнього аудиту та її місце в системі управління, оцінює рівень професійності служби внутрішнього аудиту та перелік основних завдань, що вирішуються такою службою. Аудитор визначає порядок застосування заходів щодо забезпечення збереження майна, надійності бухгалтерського обліку і достовірності звітності. Якщо за результатами такого вивчення буде зроблено висновок про ненадійність системи внутрішнього контролю, низький його рівень, то покладатись на таку систему контролю недоцільно, отже виникає потреба в більш детальній аудиторській перевірці. А коли, на думку аудитора, можна довіряти системі внутрішнього контролю клієнта, тоді аудитор переходить до наступного етапу.
Початкова оцінка надійності системи внутрішнього контролю здійснюється аудитором на основі власного досвіду застосування методик та прийомів. При цьому слід враховувати, що для перевірки надійності засобів контролю потрібно вивчити облікову та господарську документацію за весь звітний період, більшу увагу приділити періодам, в яких мали місце певні особливості та відмінності.
У результаті таких досліджень надійність системи внутрішнього контролю може бути оцінена як:
а) висока;
б) середня;
в) низька.
Підтвердження достовірності оцінки системи внутрішнього контролю здійснюється в процесі перевірки. Довіряючи певною мірою системі внутрішнього контролю на підприємстві, аудитор в ході перевірки повинен проводити процедури підтвердження її надійності, застосовуючи різні методи та прийоми при проведенні тестів на відповідність системи внутрішнього контролю та процедур перевірки на суттєвість.
Тести на відповідність внутрішнього контролю здійснюються з метою отримання аудиторських доказів ефективності:
структури систем обліку і внутрішнього контролю, що означає, наскільки ця структура попереджає, виявляє і своєчасно виправляє істотні помилки;
функціонування внутрішнього контролю протягом всього періоду перевірки.
Деякі процедури аудиту можна не планувати окремо як тести на відповідність внутрішнього контролю, але вони можуть дати аудиторські докази ефективності як структури внутрішнього контролю, так і її функціонування. Таким чином, ці процедури перевірки можуть служити для аудиту тестами відповідності внутрішнього контролю. Наприклад, під час вивчення систем бухгалтерського обліку і внутрішнього контролю грошових коштів аудитор може отримати аудиторські докази ефективності контрольної перевірки рахунків банку шляхом опитування і спостереження.
Якщо аудитор зробить висновок, що процедури перевірки з метою отримання уявлення про систему бухгалтерського обліку і внутрішнього контролю свідчать про доцільність і ефективність внутрішньої політики підприємства, і вони відповідають окремим твердженням фінансової звітності, він може використати ці докази для оцінки ризику внутрішнього контролю і визначити його рівень як незначний.
Аудитор може провести такі тести перевірки відповідності внутрішнього контролю. Насамперед, перевірку первинних документів, які підтверджують операції та інші дії, з метою отримання аудиторських доказів про відповідність функціонування системи внутрішнього контролю; перевірку порядку надання дозволу на проведення певної категорії операцій на підприємстві; опитування і спостереження стосовно процедур внутрішнього контролю, щодо яких немає змоги провести наскрізну перевірку, наприклад, при визначенні фактичного виконавця окремих функцій процесу виробництва; повторення процедур внутрішнього контролю, зроблених на підприємстві аудитором, наприклад, проведення перевірки банківських рахунків для підтвердження правильності ведення обліку підприємством.
Щоб підтвердити кожну зроблену оцінку незначного ризику невідповідності внутрішнього контролю, аудитор повинен обов’язково провести ретельні тести на відповідність системи внутрішнього контролю. Тобто, чим менший ризик невідповідності внутрішнього контролю, визначений аудитором, тим більше підтверджень йому потрібно отримати стосовно того, що структура системи обліку та внутрішнього контролю працює ефективно.
Під час отримання доказів ефективного функціонування системи внутрішнього контролю аудитору необхідно враховувати спосіб та послідовність їх отримання протягом певного періоду; професійний досвід особи, яка отримала такі докази (у разі залучення помічників та асистентів). Слід мати на увазі, що принцип ефективної роботи кожної системи не виключає можливості виникнення відхилень. Відхилення від діючих і запланованих систем контролю можуть викликатися такими факторами та ознаками, як зміни в основному складі співробітників підприємства, значні сезонні коливання в обсязі операцій (реалізація товарних запасів, сировини і таке інше), помилки окремих співробітників. Виявивши певні відхилення, аудитору необхідно зробити запити щодо них, наприклад, уточнити терміни звільнення та прийняття на роботу співробітників, які виконували основні функції внутрішнього контролю.
Мета тестів на відповідність внутрішнього контролю в комп’ютерному середовищі є такою самою, щоправда деякі аудиторські процедури можуть відрізнятися, оскільки в комп’ютерному середовищі можуть бути відхилення, властиві тільки йому (своєчасність внесення корективів у програму бухгалтерського обліку).
Використовуючи результати тестів на відповідність системи внутрішнього контролю, аудитору необхідно визначити, наскільки її функціонування і структура відповідають його попередній оцінці ризику невідповідності внутрішнього контролю. Зроблена оцінка існуючих відхилень може привести аудитора до висновку про те, що визначений розмір ризику невідповідності внутрішнього контролю він повинен переглянути. У таких випадках аудиторові слід змінити характер, строки і масштаб виконання запланованих процедур аудиту.
Усі етапи оцінки системи внутрішнього контролю аудитор фіксує в робочих документах: отримані відомості про систему обліку і внутрішнього контролю; оцінку ризику невідповідності внутрішнього контролю. Якщо ризик невідповідності внутрішнього контролю оцінюється аудитором як незначний, він додатково пояснює в документах обґрунтування своїх висновків.
Існують різні методи документального оформлення інформації про систему обліку і внутрішнього контролю. Вибір необхідних методів документального оформлення є виключно предметом особистого судження та вибору аудитора. Заходи, що виконуються окремо або в комбінаціях, оформлюються аудитором у вигляді письмових звітів, анкет, контрольних переліків і блок-схем. Форма і обсяг цієї документації залежать від розміру і структури підприємства, кількості видів діяльності, порядку ведення бухгалтерського обліку на підприємстві і структури систем внутрішнього контролю. Як правило, чим складніші системи обліку і внутрішнього контролю і більший обсяг аудиторських процедур, тим більший обсяг документації аудитора.
Таким чином, з аудиторської точки зору, оцінка ефективності системи внутрішнього контролю полягає в оцінці аудитором сильних і слабких сторін контролю економічного суб’єкта, що перевіряється.
Система внутрішнього контролю вважається ефективною, якщо вона:
ефективно попереджує про виникнення недостовірної інформації;
ефективно виявляє недостовірність у межах обмеженого часу з моменту, коли така інформація виникла.
Організація системи внутрішнього аудиту здійснюється на підприємстві з метою незалежної перевірки виконання працівниками своїх посадових обов’язків.
Внутрішній аудит — організована на підприємстві служба, що діє в інтересах його керівництва або власників, регламентована внутрішніми документами система контролю з дотримання встановленого порядку ведення бухгалтерського обліку, охорони власності та надійності системи внутрішнього контролю.
Структура та штат служби внутрішнього аудиту затверджуються керівником підприємства. Організаційні форми внутрішнього аудиту можуть бути різними, наприклад, відділ внутрішнього контролю, аудит, управління тощо.
У своїй діяльності служба внутрішнього аудиту керується законодавством України, внутрішніми нормативними актами, рішеннями засновників та наказами керівника підприємства.
Мета внутрішнього аудиту — допомогти керівництву та всім працівникам підприємства ефективно виконувати свої функції.
До об’єктів внутрішнього аудиту слід відносити:
ведення бухгалтерського обліку та достовірність фінансової звітності на підприємстві;
стан активів та забезпеченість ними підприємства, що перевіряється;
основні показники фінансового стану підприємства;
систему управління підприємством;
якість роботи планово-економічних та технологічних служб;
розміри податків, обов’язкових зборів та платежів;
основні процеси господарської діяльності підприємства;
систему внутрішньогосподарського контролю;
дотримання трудової дисципліни.
Внутрішній аудит у порівнянні із зовнішнім є більш поглибленим і таким, що враховує специфіку підприємства, форми звітності, яка не оприлюднюється і не розглядається зовнішнім аудитором, а саме:
дотримання встановленої політики підприємства;
прогноз обсягу реалізації продукції, товарів, робіт та послуг, розміру отриманих прибутків;
розробку та контроль за дотриманням планів невідкладних заходів;
дані аналізів кошторисів та витрат;
аналіз ситуацій ризику і запобігання банкрутству;
використання ноу-хау тощо.
Внутрішній аудит підпорядкований тільки керівництву підприємства або його власнику. Тому такий аудит не є незалежним стосовно господарюючого суб’єкта, але його можна назвати незалежним стосовно внутрішніх служб та підрозділів підприємства.