Непрерывный контроль vs непрерывный аудит

Автор: Дмитрий Шахов, к.э.н, DipIFR, руководитель отдела по внутреннему контролю и управлению рисками «Ашан Ритейл Россия», член Ассоциации «Институт внутренних аудиторов»1

В последнее время все чаще стал использоваться термин «непрерывный аудит», актуальность которого объясняется необходимостью повышения скорости реакции подразделений защиты бизнеса на возникающие риски и принятия соответствующих корректирующих мер. Зачастую непрерывный аудит предполагает мониторинг в режиме реального времени определенных показателей, изменение значения которых может сигнализировать о необходимости оперативного принятия корректирующих мер. Такая концепция существенно отличается от традиционного подхода в организации деятельности внутреннего аудита, который состоял в проведении проверок по заранее утвержденному плану работы, проведению тестирования или других контрольных мероприятий в рамках этих проверок, оценке рисков и подготовке рекомендаций по снижению данных рисков. С учетом того, что исполнение рекомендаций было предметом регулярного мониторинга со стороны внутреннего аудита, можно сказать, что внутренний аудит трансформирует регулярный контроль в непрерывный. С этой точки зрения кажется, что более верно говорить не о непрерывном аудите, а об аудите, который использует непрерывный контроль (мониторинг) для повышения эффективности своей работы.

Данная трансформация должна сопровождаться объективным выбором показателей для мониторинга и автоматизацией процесса. При этом первый аспект представляется более значимым, так как, если выбор показателей был сделан неверно, то автоматизация их мониторинга не даст искомого результата.

Речь идет о неких показателях риска, которые бы показывали внутреннему аудиту необходимость оперативной реакции на данные события. Как же определить эти показатели?

Способ 1: Внутренний аудит самостоятельно разрабатывает показатели на основе своего профессионального суждения, возможно, используя результаты своих проверок, и осуществляет их непрерывный мониторинг. Существенный недостаток данного подхода, который может не предусматривать вовлечение операционных подразделений, состоит в том, что даже опытные сотрудники подразделения внутреннего аудита могут не обладать глубоким знанием бизнес-процессов, не всегда быть информированными об изменениях в бизнес-модели, договорных отношениях с контрагентами, которые могут привести к существенному изменению значения выбранного показателя. Например, повышение уровня запасов на складе выше среднего может свидетельствовать о подготовке промо-акции, изменение динамики остатков наличных денежных средств – об изменении условия договора по инкассации и т.д., то есть иметь объективные причины, которые не связаны с повышением риска.

Если в разработку системы показателей для непрерывного контроля первоначально не были привлечены операционные подразделения, то при превышении неких пороговых значений перед подразделением внутреннего аудита будет стоять дилемма:

• «бить тревогу», не спрашивая операционные подразделения о причинах изменения показателя. В этом случае есть риск ложной тревоги;

• сделать предварительный запрос в операционные подразделения перед тем, как эскалировать выявленную, по мнению аудита, проблему. В этом случае есть риск того, что бизнесу постоянно придется давать пояснения/ объяснения/ комментарии, что приведет к отвлечению бизнеса от его прямых обязанностей.

Способ 2: Внутренний аудит (или внутренний контроль, если в организации эти функции разделены) организует работу так, чтобы показатели риска для непрерывного контроля, который он будет реализовывать, были бы разработаны самим бизнесом, оказывает бизнесу при этом необходимую методологическую помощь. Однако успех данного подхода зависит от зрелости компании в области риск-менеджмента; во многих компаниях сотрудники просто откажутся участвовать в этом процессе либо их участие будет формальным.

Ключ к успеху заключается в вовлечении и привлечении бизнеса к процессу создания контрольной среды, непрерывный мониторинг которой обеспечит внутреннему аудиту возможность получения достоверной информации для последующего принятия решений о необходимости принятия корректирующих мер. В случае, если в организационно-штатной структуре организации есть подразделение внутреннего контроля, то такое вовлечение может быть реализовано следующей последовательностью действий:

1. Подразделение внутреннего контроля разрабатывает совместно с операционными подразделениями дизайн внутренних контролей (основные параметры, которые позволят формализовать как порядок проведения контроля, так и сформировать единые стандарты для формализации результатов контроля). На этом этапе важно показать полезность для операционных подразделений этих действий, сделать акцент на том, как повлияет их реализация на повседневную деятельность сотрудников, защитит от рисков, совершения ошибок, поможет выполнить ключевые показатели деятельности.

2. Подразделение внутреннего контроля совместно с ИТ-подразделением создает единый информационный ресурс в организации, доступ к которому будет ограничен, при этом подразделение внутреннего аудита будет иметь такой доступ. На этом ресурсе будут храниться результаты проведенных контролей.

3. Подразделение внутреннего аудита самостоятельно либо совместно с подразделением внутреннего контроля проводит постоянный мониторинг и оценку результатов контролей, которые были проведены операционными подразделениями.

В этом случае показателями риска для анализа внутренним аудитом как раз и будут результаты контроля, их непрерывный контроль со стороны внутреннего аудита сможет обеспечить реализацию концепции непрерывности защиты бизнеса.

Типология внутренних контролей будет отличаться в зависимости от видов деятельности организаций, результата анализа карты рисков и других факторов.

Тем не менее есть блоки, в которых реализация непрерывного внутреннего контроля будет актуальной для любой компании:

Блок контролей «R-2-R» (record-to-report) – в данном случае можно разработать и внедрить постоянные внутренние контроли процесса управления финансами и бухгалтерским учетом, сбором, обработкой и предоставлением финансовой информации, которые используются для консолидации финансовой отчетности, ее последующего анализа.

Пример 1: «Закрытие» бухгалтерской отчетности за отчетный период представляет собой сложный и многоступенчатый процесс. Несмотря на то, что он может быть максимально автоматизирован, наличие ручных корректировок, ручных проводок, в т.ч. связанных с начислением резервов, неизбежно влияет на финальную версию баланса и отчета о прибылях и убытках. В данном случае важно удостовериться, что все ручные проводки прошли установленный в организации процесс одобрения перед тем, как их результаты были консолидированы в бухгалтерский учет организации, что должно быть одной из точек непрерывного контроля.

С учетом наличия множества предварительных версий отчетности важно убедиться, что финальная версия была утверждена финансовым директором, который согласовал все корректировки, которые были в нее внесены. Необходимость подтверждения со стороны финансового директора финальной версии может быть также объектом непрерывного контроля.

В этом случае основные элементы дизайна контроля могут выглядеть следующим образом:

Объект контроля: финансовая отчетность.

Риск: финансовая отчетность не является полной и содержит ошибки.

Минимальный контроль: основные формы финансовой отчетности, существенные отклонения от значений предыдущего периода текущего года, соответствующего периода прошлого года, корректировки должны быть предметом рассмотрения финансового директора.

Периодичность контроля: ежемесячно.

Подтверждение исполнения контроля: протокол рабочего совещания с участием финансового директора, на котором обсуждалась окончательная версия финансовой отчетности, подтверждение по электронной почте от финансового директора с его согласием.

Лицо, ответственное за контроль: руководитель финансового отдела.

Блок контролей «P-2-P» (procure-to-pay) – в данном случае целесообразно внедрить непрерывный контроль в отношении процесса, который затрагивает весь цикл закупок и платежей внутри организации. Он включает в себя подачу заявок, поиск поставщиков, закупку, получение товаров или услуг, проверку счетов и оплату поставщикам.

Пример 2: Создание профиля поставщика, включающий в себя основные реквизиты, которые используются для перечисления денежных средств, должно быть предметом пристального внимания со стороны как внутреннего контроля, так и других подразделений защиты бизнеса. Такой процесс должен включать в себя разделение полномочий между различными сотрудниками, а, возможно, между различными подразделениями компании (проверка поставщика перед его одобрением в качестве такового, занесение реквизитов поставщика в учетную систему, изменение данных реквизитов (например, в случае получения от поставщика официального уведомления о смене банковского счета), осуществление перевода денежных средств поставщику). Соответственно, соблюдение процесса создания профиля поставщика должно быть предметом непрерывного внутреннего контроля.

Объект контроля: профиль поставщика в системе (включая банковские реквизиты).

Риск: мошеннические действия по причине нарушения разграничения доступа в информационную систему, содержащую профиль поставщика.

Минимальный контроль: контроль, который гарантирует, что все учетные данные в профиле нового поставщика действительны и их настройка авторизована. Есть адекватное разделение обязанностей.

Периодичность контроля: ежеквартально

Подтверждение исполнения контроля: письменное подтверждение о лицах, которые имеют право на проверку поставщика перед внесением его данных в систему для последующих расчетов, лицах, которые вносят такие данные и имеют право их менять, подтверждение со стороны руководителя отдела казначейства о согласии с существующим разделением прав доступа.

Лицо, ответственное за контроль: руководитель отдела казначейства.

Блок контролей «O-2-C» (order-to-cash) – относится ко всем этапам обработки заказов клиентов с момента размещения заказа клиентом до момента получения платежа, его учета для расчета дебиторской задолженности. В данном случае объектом контроля может быть эффективность мер, которые предпринимает организация (либо привлеченная для этого внешняя компания) для сбора дебиторской задолженности или сверка банковской выписки с данными бухгалтерского учета в отношении поступившей выручки.

Объект контроля: качество дебиторской задолженности.

Риск: необоснованное предоставление кредитного лимита, которое приведет к появлению дебиторской задолженности невозможной для взыскания.

Минимальный контроль: все контрагенты, которым предоставлен кредитный лимит, должны получить одобрение в рамках существующего внутреннего документа перед предоставлением такого лимита. Периодичность контроля: ежеквартально.

Подтверждение исполнения контроля: протокол совещания, электронное сообщение, подтверждающее предоставление кредитного лимита контрагенту в рамках существующего внутреннего порядка до его предоставления.

Лицо, ответственное за контроль: руководитель финансового отдела.

Блок контролей «Банковские операции и операции казначейства» – данный блок контролей в основном покрывает деятельность по исполнению платежей организации. Примерами контролей могут быть контроль анализа причин и исправления технических ошибок, которые возникли при исполнении платежей в банке, соблюдение системы лимитов при проведении платежей, контроль доступа в систему банк-клиент.

Объект контроля: безналичные платежи.

Риск: платеж был исполнен с нарушением установленных в организации правил авторизации, лимитов.

Минимальный контроль: разделение полномочий между сотрудником, который готовит перечень платежей для исполнения, сотрудником, осуществляющим платеж, и лицом, авторизующим платеж; применение принципа «4-х глаз» при подписании платежей для исполнения.

Периодичность контроля: ежемесячно.

Подтверждение исполнения контроля: выборка платежей за отчетный период, которая позволит подтвердить соблюдение установленных правил для обеспечения исключения мошеннических действий при переводе денежных средств.

Лицо, ответственное за контроль: руководитель соответствующего подразделения бухгалтерии/ руководитель отдела казначейства.

Блок контролей «Расчеты с сотрудниками» – данный блок контролей может покрывать расчеты с сотрудниками в части заработной платы и других видов вознаграждения, контроль представительских и командировочных расходов и пр.

Объект контроля: денежные средства, выданные под отчет сотрудникам.

Риск: невозмещение сотрудником денежных средств, выданных под отчет.

Минимальный контроль: сроки возмещения денежных средств, выданных сотрудникам, контролируются; в необходимых случаях об их возмещении направляется напоминание; если потребуется, то составляется план действий по возврату денежных средств организации.

Периодичность контроля: ежемесячно.

Подтверждение исполнения контроля: таблица с результатами мониторинга предоставления авансовых отчетов, динамикой размера и срока задолженности.

Лицо, ответственное за контроль: руководитель соответствующего подразделения бухгалтерии.

В зависимости от профиля деятельности компании могут быть добавлены другие блоки. Например, для предприятий торговли могут быть актуальны контроли в сфере закупочной деятельности. В этом случае основное внимание может быть направлено на порядок выбора поставщика, соблюдение внутренних правил проведения тендера, согласования условий договора, контроль за качеством и полнотой приемки товара и пр.

При проведении предварительного анализа и конструировании дизайна контролей совместно с операционными подразделениями важно понимать, что в организации уже могут существовать элементы таких контролей (например, введение данных поставщиков в ИТ-систему уже может быть объектом контроля), но надо задать себе вопрос: регулярно ли они реализуются, определены ли все элементы контроля, включая порядок формирования выборки, если контроль реализуется на выборочной основе, есть ли единое информационное пространство, в котором описаны сами контроли и хранятся их результаты, имеет ли к нему доступ подразделение внутреннего аудита. Последнее обстоятельство особенно важно, так как анализ результатов контроля, который был проведен операционными подразделениями, как раз и может стать для внутреннего аудита источником информации для планирования и реализации мероприятий по внутреннему аудиту и либо заменить, либо дополнить мониторинг тех показателей, которые внутренний аудит решил самостоятельно отслеживать в рамках этого процесса.

Непрерывный аудит и непрерывный контроль могут быть эффективными только при условии вовлечения бизнеса в процесс, в противном случае это будет работа контрольного подразделения, изолированная от реальных потребителей ее результатов.


1. Ассоциация «Институт внутренних аудиторов» (Ассоциация «ИВА»), зарегистрированная в 2000 г., является профессиональным объединением внутренних аудиторов, внутренних контролеров и работников других контрольных подразделений российских компаний и организаций. Подробности на сайте www.iia-ru.ru

Комментарии закрыты