Вагомий внесок у розвиток теоретичних основ та проблематики внутрішнього аудиту зробили: С.В. Бардаш, В.В. Головач, Н.І. Дорош, Т.О. Каменська, О.А. Петрик, Н.М. Проскуріна, О.Ю. Редько, В.С. Рудницький, О.В. Сметанко, Л.О. Сухарева, Н.С. Шалімова, М.М. Шигун, А.В. Янчев та інші. Аналіз наукової літератури та спеціальних джерел показує спрямованість досліджень на визначення сутності внутрішнього аудиту та його видів, співвідношення зовнішнього, внутрішнього аудиту та внутрішнього контролю, використання міжнародних стандартів професійної практики внутрішнього аудиту та удосконалення методології аудиту, використання методики внутрішнього аудиту окремих об'єктів та видів підприємницької діяльності, розвиток системи якості аудиторських послуг та сертифікації внутрішніх аудиторів тощо.

Визначення сутності внутрішнього аудиту зарубіжними фахівцями та вітчизняними науковцями еволюційно змінювались під впливом розвитку теорії та потреб практики. Наукові дослідження були присвячені встановленню сутності та призначення внутрішнього аудиту, його відмінності від зовнішнього аудиту [16, с.21 - 41]. Розкривались питання встановлення інтересів щодо здійснення внутрішнього аудиту. Виокремилась думка про те, що внутрішній аудит організаційно призначений обслуговувати інтереси власників підприємства [5, с.53-63].

Значна увага приділяється розвитку підходів щодо класифікації та видів завдань внутрішнього аудиту, дослідженню організаційних форм внутрішнього аудиту [17], організації внутрішнього аудиту на підприємствах України [2], його підпорядкованості аудиторському комітету та практики створення та функціонування внутрішнього аудиту на підприємствах та в комерційних банках України [7; 18]. Розглядається законодавчо - нормативне забезпечення проведення внутрішнього аудиту [3], зарубіжний та вітчизняний досвід сертифікації внутрішніх аудиторів [6; 1], встановлення ефекту синергії зовнішнього та внутрішнього аудиту [10].

Досліджуються також окремі аспекти методології внутрішнього аудиту, зокрема процедури одержання аудиторських доказів [13], застосування вибіркових досліджень в загальній системі аудиту [15], виявлення шахрайства при проведенні аудиторської перевірки [8], а також методики проведення внутрішнього аудиту окремих об'єктів, зокрема, витрат підприємств ресторанного господарства [19].

Аудит, заснований на ризику, є можливо найбільш визначальним та суттєвим в розвитку історії аудиту. Зростання конкурентного та ризикового середовища економіки країни викликає посилення управління ризиками діяльності підприємства. Особливо важливе значення в управлінні та контролі ризиків відіграє внутрішній аудит, якому присвячується все більша кількість наукових праць.

Разом з тим потребують подальшого розвитку теоретичні та методологічні питання оцінювання та управління ризиками суб'єкта господарювання, а також використання функцій внутрішнього аудиту з метою забезпечення досягнення мети підприємства.

Методологія дослідження

У процесі дослідження внутрішнього ризик-орієнтованого аудиту було використано загальнонаукові та специфічні методи дослідження. Шляхом вивчення та аналізу зарубіжного досвіду встановлено можливості його застосовування в Україні з урахуванням конкретних національних особливостей з метою розвитку внутрішнього аудиту. Вирішенню цієї проблеми сприяло вивчення законодавчої бази, нормативно - методичного забезпечення, практичного досвіду та зарубіжної літератури, які представляють весь спектр питань з предмету дослідження.

Вивчення зарубіжної та вітчизняної літератури здійснювалось у напряму узагальнення, систематизації та групування поглядів науковців щодо сутності, концепції та розвитку внутрішнього ризик - орієнтованого аудиту з метою визначення параметрів та складових предмету, формування окремих напрямів досліджень, встановлення основних тенденцій у поглядах фахівців з обраної проблематики з огляду на те, що вже досягнуто в науці. Аналіз досліджень сприяє не тільки вирішенню проблем, окресленню пріоритетних напрямів розробок, перспектив подальших напрацювань, а й виокремленню подальших дискусій.

Застосуванням історичного підходу вдалося краще розкрити стан обраної проблеми, оскільки витоки основних її положень фактично завжди закладені в більш ранніх наукових дослідженнях, в яких започатковано вирішення певної наукової проблеми. Історична ретроспектива визначає позитивні та негативні тенденції, зміну та розвиток концепції внутрішнього аудиту під впливом факторів.

Вивчення та аналіз взаємозв'язку причин, факторів та показників здійснювалось у двох основних напрямах: щодо впливу ризиків та їх факторів на бізнес - процеси підприємства, а також конвертації ризиків стосовно процесів в окремі об'єкти плану та програми внутрішньої аудиторської перевірки.

Одним із основних положень методології наукових досліджень є необхідність застосування математичного апарату для вивчення явищ та процесів. Це стосується визначення інтегрованих рівнів суттєвості ризиків та їх рангжування на базі основних характеристик щодо ймовірності настання та наслідків впливу ризиків, а також розміщення їх на діаграмі ймовірностей та наслідків. Для формування реєстру ризиків використовуються електронні таблиці Excel або програма бази даних Access. Це дає можливість створити реєстр ризиків щодо процесів підприємства, ризиків, які їм відповідають, їх наслідків, походження інформації про ризик, наприклад, дату проведення семінару, а також оцінку первинного рівня ризику (наслідків, ймовірності та інтегровану).

Табличний метод є достатньо ефективною формою представлення інформації з точки зору їх сприйняття. За допомогою таблиці досягнуто наочність - характеристики та взаємозв'язку окремих показників рівнів суттєвості ризиків, а також впливу рівнів зрілості управління ризиками на дії внутрішнього аудиту. Табличний спосіб полегшує розгляд даних, робить їх наглядними, виразними, оглядовими.

Основні результати

Діяльність будь-якого підприємства здійснюється з метою досягнення його завдань. У цьому зв'язку можна визначити, що основною метою внутрішнього аудиту є сприяння, допомога підприємству в досягненні його цілей.

Виконанню місії та досягненню цілей підприємства перешкоджають ризики. Ризик - це набір обставин, які заважають досягненню цілей. Альтернативним способом визначення ризику може бути імовірність появи ризику та його наслідків. Наприклад, ISO (Міжнародна організація по стандартизації) визначає ризик як "поєднання вірогідності події та її наслідків" (ISO / IEC Керівництво 73) [24,c.2].

Є кілька способів, якими працівники підприємства можуть управляти ризиками, щоб звести їх до прийнятного рівня:

- уникнення ризиків, наприклад, не розпочинати бізнес з продажу інноваційних продуктів або закрити підприємство з виробництва небезпечних хімічних речовин. Цей процес відомий як "припинення дії";

- передача ризиків, найкращим прикладом послугує страхування;

- прийняття ризиків, не плануючи при цьому ніяких непередбачених обставин, витрат;

- прийняття ризиків, при цьому плануючи їх імовірність та непередбачувані витрати;

- запровадження таких процесів та систем, щоб зменшити наслідки або/та ймовірність ризику. Ці процеси, як правило, називають "контроль, управління" і включають все: від чіткої стратегії підприємства до встановлення пожежної сигналізації [24, c.3].

Отже, цілі підприємства перебувають під загрозою ризиків і потребують відповідних дій, щоб їх уникнути, прийняти, передати або мінімізувати. Ризики неможливо усунути повністю, адже це неможливо без припинення діяльності підприємства.

Управління ризиками підприємства - це процес, здійснюваний радою директорів, менеджерами та іншими співробітниками, який починається з розробкою стратегії підприємства і торкається всієї діяльності підприємства. Він спрямований на визначення подій, які можуть впливати на підприємство, та ризиків, пов'язаних з цими подіями, а також контроль того, щоб не був перевищений "ризик апетит" підприємства та забезпечувалась розумна гарантія досягнення цілей підприємства [22, с.124].

Процес управління ризиками шляхом здійснення відповідних дій щодо господарських процесів підприємства можна визначити як внутрішній контроль. Контроль - це частина структури ризик-менеджменту підприємства та механізм для зменшення ризиків.

Керівництво підприємства несе відповідальність за те, щоб застосована методика управління ризиками забезпечувала зменшення імовірності появи та величини прояву ризиків до прийнятного рівня, а саме: ідентифікацію існуючих ризиків; оцінку ризиків; виконання дій, які є адекватною відповіддю на ризики; інформування Ради директорів про ризики, які знаходяться за межами допустимих рівнів; забезпечення виконавчої системи підприємства, яка завдяки моніторингу системи внутрішнього контролю утримує ризики на прийнятному рівні.

Менеджери, як правило, добре розуміють яким чином ризики впливають на процеси підприємства і схильні до того, щоб визнавати свою відповідальність за управління ними.

Внутрішній аудит забезпечує керівництво підприємства незалежною й об'єктивною оцінкою системи управління ризиками на підприємстві щодо їх виявлення та зведення до прийнятного рівня (рис.1).

Ризик-орієнтований внутрішній аудит - це сучасний підхід до побудови внутрішнього аудиту, який спрямований на сприяння досягненню цілей підприємства через посилення взаємодії з ризик - менеджментом та внутрішнім контролем в частині методології, технологій та внутрішніх комунікацій.

Згідно з Міжнародним стандартом професійної практики внутрішнього аудиту 2100 "Сутність роботи внутрішнього аудиту" використовуючи систематичний та послідовний підхід, функція внутрішнього аудиту має оцінювати та сприяти удосконаленню процесів корпоративного управління, управління ризиками та контролю. 2130. А1 Функція внутрішнього аудиту має оцінити достатність і ефективність контролів відповідно до ризиків у сфері корпоративного управління, операційної діяльності та інформаційних систем організації з огляду на: досягнення стратегічних цілей організації; достовірність та цілісність фінансової та операційної інформації; ефективність та продуктивність операційної діяльності та програм; захист активів; та дотримання законів, нормативних документів, політик, процедур та договірних зобов'язань [20].

Важливість управління ризиками обумовлює створення на деяких підприємствах спеціальної системи ризик-менеджменту для виявлення, оцінки та управління ризиками. На практиці ризик-менеджери, як правило, прагнуть виконувати обов'язки і керівників, і менеджерів, і внутрішніх аудиторів, забезпечуючи завдання з ідентифікації та управління ризиками шляхом створення відповідних робочих груп, проведення семінарів з виявлення та управління ризиками, організації навчання персоналу з управління ризиками та встановлення "найкращих практичних стандартів".

Якщо на підприємстві існує ризик-менеджмент, то обов'язки з внутрішнього аудиту і управління ризиками мають бути чітко визначені. В ідеалі обидві функції мають звітувати різним структурам, топ-менеджерам або директорам, щоб посилити їх відмінність та винятковість.

Внутрішній аудит надає незалежну й об'єктивну оцінку керівництву підприємства щодо того, чи управління ризиками на підприємстві забезпечує їх прийнятний рівень.

Сучасна концепція ризик-орієнтованого аудиту передбачає відповідальність керівництва підприємства за виявлення, оцінювання та управління ризиками. Повна ідентифікація ризиків керівництвом, менеджментом, працівниками підприємства - це найважливіша умова проведення ризик-орієнтованого внутрішнього аудиту, а також має життєво важливе значення для належного функціонування будь-якого підприємства. Керівництво відповідає за складання реєстру ризиків підприємства та передачу його внутрішнім аудиторам, на базі якого внутрішні аудитори можуть складати план та програму аудиторської перевірки.

Цілі підприємства забезпечуються процесами, які завжди взаємопов'язані з низкою ризиків. Ризики перешкоджають досягненню мети підприємства. У разі реалізації негативних наслідків ризиків мета будь-якого бізнес-процесу досягається частково або не досягається взагалі.

Керівництво підприємства має прагнути ідентифікувати всі ризики, які можуть вплинути на успішну діяльність підприємства, від найбільшого чи більш значущого ризику для бізнесу загалом до менш важливих ризиків, пов'язаних з окремими процесами, або невеликими підрозділами. Процес виявлення потенційних ризиків вимагає спрямованого підходу до кожної сфери діяльності підприємства, а далі виокремлення найбільш важливих ризиків, які можуть вплинути на кожен процес протягом певного періоду часу. Основна ідея полягає не тільки у тому, щоб з'ясувати всі ризики, характерні для підприємства, але й визначити ті, які можуть мати найбільший оперативний вплив на процеси протягом певного, встановленого періоду часу. Процес визначення ризиків має відбуватися на всіх рівнях підприємства із розумінням того, що ризик, який впливає на окремий бізнес - процес або на невелику частину структури підприємства може не мати суттєвого впливу на все підприємство, або за його межами. З іншого боку, ризики на макрорівні, що впливають на загальну економіку, будуть мати наслідки і для кожного підприємства, і його окремого підрозділу. Деякі значні ризики виникають дуже рідко, але мають глобальні, катастрофічні наслідки, виявити їх, як ті, що відбудуться в найближчий перспективі, практично неможливо.

У цьому зв'язку, проведення ризик-орієнтованого аудиту передбачає процесний підхід (схема процесу). Такий метод полягає у визначення основної мети підприємства і процесів, необхідних для її досягнення, та зосередженні уваги на ризиках, які заважають господарським процесам для забезпечення мети. Він має переваги у створенні структури ризиків та полегшує надання впевненості керівництву в тому, що ризики, виявлені в кожному господарському процесі чи підрозділі є повними, а також допомагає організувати роботу аудиторів щодо перевірки управління цими ризиками. Порівняно легко можна визначити всі процеси, необхідні для досягнення цілей підприємства. Пов'язавши ризики з процесами, можна бути впевненими, що виявлені майже всі значні ризики. За результативністю впливу ризиків, пов'язаних з кожним процесом, можна визначити найбільш значні процеси, яким перешкоджають найбільш суттєві ризики та провести їх аудит в першу чергу. Встановлення взаємозв'язку між ризиками і процесами дає можливість конвертувати ризики в план та програму внутрішнього аудиту. Отже, об'єкти аудиторської перевірки визначаються з точки зору процесів, включених до аудиту.

Для цілей управління та прийняття рішень потрібен спосіб визначення суттєвості, істотності кожного ризику. Це допоможе також спрямовувати аудит на ті ризики, які становлять для підприємства найбільшу загрозу. Є два основних елементи ризику: наслідок (також називається вплив) настання ризику; імовірність (також називається можливість) виникнення ризику.

Таблиця 1. Рівні суттєвості ризиків підприємства

Способи оцінювання кожного елемента ризику можуть бути різними та достатньо складними. Разом з тим можна визначити п'ять відносно простих рівнів суттєвості ризиків на підставі двох основних елементів ризику: наслідок ризику та імовірність настання ризику (табл.1).

Може бути використана велика кількість різноманітних підходів оцінювання ризиків, починаючи з деяких якісних підходів, та закінчуючи докладним математичним кількісним аналізом. Ідея полягає в тому, щоб за допомогою цих підходів виокремити потенційно небезпечні та ризиковані події, на які має звернути увагу управлінський персонал. Шляхом опитування, наприклад, можна отримати бальну оцінку ймовірності виникнення та вагомості наслідків ризику. Ці оцінки ризиків за обома факторами можуть бути нанесені на загальну діаграму оцінки ризиків. За наявності широкого переліку ризиків на підприємстві кращим є підхід оцінювання ймовірності та наслідків у відсотковому еквіваленті, або у коефіцієнтному значенні.

Наслідок (вплив) і ймовірність можна перемножити і таким чином встановити одну міру (рівень) значущості ризику, або можна використати різні комбінації оцінки. Якщо це можливо, то варто визначати і вартісну величину наслідку ризику, наприклад, готівкові втрати більше 10 млн. грн. можна вважати великою сумою, якщо вона загрожує існуванню підприємства.

Ризики необхідно оцінювати "до" та "після" з урахуванням результатів управління цим ризиком. Притаманний (властивий) ризик вимірюється шляхом оцінювання наслідків та ймовірностей ризику перед використанням заходів внутрішнього контролю, управління ризиком. Залишковий (чистий, або контрольований) ризик визначається шляхом оцінювання наслідків та ймовірностей ризику після того як застосування внутрішнього контролю буде взято до уваги.

На практиці відносно легко виміряти притаманний ризик для нових процесів, проектів, оскільки ще немає ніякого управління на місцях. Але для поточних операцій, які здійснюються, це набагато складніше. Вимірювання наслідків є не дуже складним моментом, оскільки більшість елементів управління не зменшують вплив ризику, а лише зменшують ймовірність. Але яка тоді ймовірність настання ризику, якщо контроль відсутній - майже завжди однакова. Вважаємо, що саме тому при проведенні інтерв'ю або семінарів з ризику, найкращий ризик для вимірювання це залишковий ризик, оскільки працівники природно припускають, що контроль має місце.

Оскільки метою внутрішнього аудиту є забезпечення думкою керівництва підприємства щодо того, чи контроль ризиків здійснюється належним чином, план внутрішнього аудиту має бути розроблений на основі притаманних ризиків, а не залишкових. За результатами аудиту буде встановлено залишковий ризик.

Одним із способів вирішення як необхідно здійснювати управління ризиками - є розмістити їх на діаграмі ймовірностей та наслідків (рис.2). В результаті ця діаграма дає можливість визначити подальші заходи, які необхідно прийняти керівництвом для кожної комбінації ймовірностей/наслідків. Межа між прийнятними ризиками і тими, які потребують управління, відома як "ризик апетит" підприємства - готовність йти на ризик. Якщо притаманні (властиві) ризики шляхом управління не можуть бути знижені нижче цієї лінії, то вони мають бути припинені (усунені) або передані, або прийняті.

Термін "ризик апетит" є новою концепцією або категорією. Управління ризиками підприємства націлене на визначення подій, які можуть вплинути на підприємство, та управління ризиками таким чином, щоб вони не перевищували готовності підприємства йти на ризик ("ризик апетит"). "Ризик апетит" може бути виміряний в якісному сенсі, класифікуючи ризики в таких категоріях, як високий, середній або низький; в якості альтернативи, він може бути визначений кількісним чином. Розуміння апетиту до ризику охоплює широкий спектр питань для зміцнення внутрішнього контролю за діяльністю підприємства. Основна ідея полягає в тому, що кожен менеджер окремо і загалом уся ланка управління підприємством має деяку схильність до ризику. Деякі з них будуть приймати ризиковані рішення з метою отримання потенційно високих доходів, інші віддають перевагу гарантованому зворотному доходу з досить низьким рівнем ризику. Ця концепція "ризик апетиту" може бути розглянута в рамках двох інвесторів. Перший надає перевагу інвестування з дуже низьким ризиком, але зазвичай і з низьким рівнем прибутковості або низьким фондовим індексом, в той час, як другий може інвестувати в стартовий пакет акцій високотехнологічних компаній з низьким рівнем капіталізації, але з очікуванням дуже високої прибутковості. Останній інвестор може характеризуватися, як той, що має високу схильність до ризику [22, с.125].

Матриця показує, що ризик, пов'язаний з катастрофічними наслідками і низькою ймовірністю, потребує дій з метою управління ним, навіть якщо він оцінюється в 5 балів. Звичайно, ця реакція може бути спрямована на прийняття ризику, тобто "терпіти" цей ризик, якщо його не можна зменшити з економічною ефективністю.

З метою проведення аудиту перш за все необхідно почати зі з'ясування ризиків, які є найбільш суттєвими, "реально істотними ризиками". Найкраще про них знають найбільш високопоставлені особи, тобто рада директорів, власники, керівництво, партнери.

Є три основні способи визначення ризиків: інтерв'ю (опитування); семінари з ризику; вивчення рахунків. Результатом інтерв'ю є формування індивідуального погляду на ризики, що перешкоджають досягненню цілей підприємства. Перевагами опитування є: проста організація; працівники можуть висловити свої побоювання, на які вони, можливо, не захочуть вказувати при зустрічі в конференц-залі. Це може збільшити коло можливих ризиків порівняно з тими ризики, які можна отримати на нараді. Недоліки: широкий спектр ризиків більш важко класифікувати; все ж доведеться провести семінар з ризиків, щоб досягти консенсусу щодо наслідків та ймовірностей ризику.

У ході семінару з ризиків внутрішні аудитори можуть допомогти менеджерам розробити список ризиків, які можуть перешкодити процесу або проекту, з оцінюванням наслідків та ймовірностей. Семінари з ризику можуть бути проведені з: високопоставленими особами підприємства, щоб визначити найбільш значущі ризики; членами команди процесу, проекту, щоб виділити ризики, з якими пов'язаний процес, проект; працівниками, що залучені до аудиту, щоб виділити всі відомі аспекти. Перевагою семінару з ризиків порівняно з опитуванням є те, що працівники взаємодіють один з одним для отримання нових ідей.

Внутрішні аудитори мають також перевіряти рахунки підприємства - як цифри, так і пов'язані з ними процеси з відповідним управлінням. Встановити істотні ризики для кожного із найменувань рахунків. Наприклад, на підприємстві вони можуть включати в себе створення "резерву сумнівних боргів", але для роздрібної торгівлі це можуть бути "застарілі запаси". Доцільно аналізувати не тільки цифри, які є надзвичайно високими, а й ті, які є незвично низькими.

Виявлені ризики, сформовані в їх перелік, мають бути оцінені, класифіковані та віднесені до тих господарських процесів підприємства, які вони ускладнюють. Вони є хорошим матеріалом для введення їх в "базу даних". Це може бути звичайна електронна таблиця Excel або програма бази даних Access. Така база даних, розміщена в електронній таблиці, відома як реєстр ризиків. Реєстр ризиків доцільно формувати за процесами підприємства, ризиками, які їм відповідають, їх наслідками, вказувати походження інформації про ризик, наприклад, дату проведення семінару, а також оцінку притаманного рівня ризику (наслідків, ймовірності та інтегровану). Якщо деякі ризики впливають більше ніж на один процес, то вони мають повторюватись. Перевага використання такої бази даних - один ризик може бути пов'язаний з декількома процесами, а також кілька ризиків можуть стосуватись одного процесу. Так як внутрішні аудитори мають перевіряти належне функціонування елементів контролю, то до реєстру ризиків необхідно додати наявні елементи контролю та оцінювати залишкові ризики.

Так як керівництво підприємства несе відповідальність за контроль ризиків, реєстр ризиків ефективно використовується ними. Вони мають погоджуватися з його змістом та оцінками й бути залученими в регулярне оновлення реєстру новими ризиками, видаляти ті, які вже не існують, та повторно переоцінювати їх за необхідності.

На практиці, найчастіше внутрішні аудитори не мають можливості впливати на складання реєстру ризиків. Аудитори можуть отримати групу ризиків, створену менеджерами, які були належним чином підготовлені, або які тільки прагнуть досягти належного рівня професійної кваліфікації. Рівень, у який підприємство розуміє ризики і реалізує управління ними, відомий як зрілість ризику (risk matiruty). Рівень зрілості ризиків підприємства впливає на організацію та методику проведення внутрішнього аудиту.

Дослідження показали, що у зарубіжній літературі визначаються 5 рівнів зрілості ризиків підприємства [22, с.23-24]: (enabled) вбудований ризик; (managed) ризик, яким управляють; (defined) ризик, який визначається; (aware) усвідомлений ризик і (naive) первинний ризик (наївний ризик). Оскільки ефективність ризик - орієнтованого внутрішнього аудиту залежить від надійного реєстру ризиків, необхідно розуміти особливості кожного типу зрілості ризиків та визначати який тип є адекватним конкретному підприємству.

Вбудований ризик (risk enabled) - управління ризиками та внутрішній контроль повністю вбудовані в операції. Розуміння управління ризиком і моніторингу управління є достатньо високим, досвідченим на такому підприємстві. Повний реєстр ризиків буде підготовленим та адекватним для планування аудиту. Впевненість у процесі управління ризиками має впливати на методи та технологію аудиту, починаючи від перевірки управління індивідуальними ризиками до тих, що є їх підвидами. Акцент аудиторської роботи необхідно спрямувати на те, чи процеси управління ризиками здійснюються належним чином, зокрема, основні ризики доповідаються Раді директорів, моніторинг заходів контролю проводиться.

Ризик, яким управляють (risk managed) - поширений підхід до управління ризиками, розроблений і здійснюється через його обговорення. Схожий до вбудованого ризику, зазначеного вище.

Ризик, який визначається (risk defined) - розроблена стратегія та політика управління ризиками на місцях. "Ризик апетит" визначений. Більшість менеджерів можуть складати списки ризиків, які ймовірно, не будуть зібрані в повному реєстрі ризиків. Якість управління ризиками може відрізнятися залежно від типу підприємства. Будь - який індивідуальний аудит внаслідок цього має робити акцент (наголос) на розумінні рівня зрілості ризику в тій області, де проводиться аудит. Внутрішній аудит у цьому разі може виконувати консультативні функції для полегшення складання повного реєстру ризиків.

Цілком ймовірно, що певна консультаційна робота буде потрібна, щоб порадити менеджменту (керівництву), які рішення доцільно прийняти щодо слабких місць.

Усвідомлений ризик (risk aware) - розсіяний підхід до управління ризиками. Не існує доступного реєстру ризиків, лише декілька менеджерів визначають свої ризики. Наївний ризик (risk naive) - немає формального підходу до управління ризиками.

Вплив рівнів зрілості управління ризиками на специфіку проведення ризик-орієнтованого аудиту представлено в табл.2.

Таблиця 2. Вплив рівнів зрілості управління ризиками на дії внутрішнього аудиту

Джерело: створено автором.

Вплив рівня зрілості управління ризиками на підприємстві на проведення внутрішнього аудиту полягає в наступному. Якщо підприємство лише усвідомлює ризик або має первинний (наївний) ризик, то можуть бути такі наслідки для внутрішнього аудиту: що стосуються адекватності управління ризиками, то рівень зрілості усвідомлених та наївних (первинних) ризиків є неприйнятним, недостатнім і внутрішні аудитори мають повідомити про це аудиторський комітет; за таких рівнів зрілості ризику підприємство не має надійного реєстру ризиків, і можна стверджувати, що внутрішні аудитори не можуть провести повний ризик-орієнтований внутрішній аудит; ризик - орієнтовані індивідуальні аудити можливі, вони базуються на ризиках, які були визначені як частина аудиторської роботи і вимагають підготовки управлінських кадрів та проведення семінарів з ризику для визначення ризику в сферах, що перевіряються.

Внутрішній аудит забезпечує керівництво підприємства незалежною та об'єктивною оцінкою управління ризиками на підприємстві. Ризик-орієнтований внутрішній аудит полягає у формуванні експертної думки про управління ризиками на підприємстві, яке має утримувати їх на прийнятному рівні в межах "ризик апетиту". Внутрішній ризик-орієнтований аудит здійснюється з використанням відповідної методології.

Доцільно виділити такі етапи та відповідні процедури ризик-орієнтованого внутрішнього аудиту:

1. Якщо внутрішні аудитори не були залучені до процесу складання реєстру ризиків, то спочатку необхідно перевірити його на повноту, точність та адекватність.

Підтвердити, що реєстр ризиків підприємства може бути використаний в якості основи для планування.

2. Визначити ті ризики, щодо управління якими внутрішні аудитори мають висловити свою експертну думку та час її надання. Згруповувати ці ризики в аудиторські перевірки, тобто сформувати сфери (середовище) ризиків та аудиту. Скласти план аудиту, ймовірно щорічний, для затвердження аудиторським комітетом.

3. Провести індивідуальні (окремі) аудити для висловлення експертної думки. Надавати періодичний, принаймні, щорічний, звіт аудиторському комітету, а також за необхідності оновлювати ризики та сфери аудиту.

Умови проведення ризик-орієнтованого внутрішнього аудиту передбачають, що підприємство: ідентифікувало всі значні притаманні ризики; оцінило ці ризики таким чином, що вони можуть бути розташовані в порядку загрози, яку вони представляють; визначило свій "ризик апетит" таким чином, що притаманні та залишкові ризики можуть бути кваліфіковані щодо розташування їх за своїм рівнем вище або нижче "ризик апетиту". Ці вимоги означають, що: керівництво підприємства встановило належну політику внутрішнього контролю; керівництво схвалило "ризик апетит"; менеджмент отримав відповідну підготовку щодо виявлення та оцінки ризиків, а також для розроблення, здійснення та моніторингу системи внутрішнього контролю, яка забезпечує політику, прийняту керівництвом.

Висновки. Досягненню місії підприємства та його завдань перешкоджають ризики. Управління ризиками підприємства - це процес, який здійснюється радою директорів, менеджерами та іншими співробітниками та починається при розробці стратегії й охоплює всю діяльність підприємства. Управління ризиками передбачає здійснення певних дій, щоб їх уникнути, прийняти, передати або мінімізувати. Керівництво підприємства має прагнути ідентифікувати всі ризики, які можуть вплинути на успішну діяльність підприємства, від найбільшого чи більш значущого ризику для бізнесу загалом до менш важливих ризиків, пов'язаних з окремими процесами, або невеликими підрозділами. Такий підхід полягає у визначення основної мети підприємства і процесів, необхідних для її досягнення, та зосередженні уваги на ризиках, які заважають господарським процесам для забезпечення мети.

Для цілей управління та прийняття рішень потрібен спосіб визначення суттєвості, істотності кожного ризику. Це також дає можливість спрямовувати аудит на ті ризики, які становлять для підприємства найбільшу загрозу. Оцінювання рівня суттєвості ризиків здійснюється шляхом визначення ймовірності появи та наслідків настання як в коефіцієнтному, так і кількісному (вартісному) виразі. Виявлені ризики, сформовані в їх перелік та віднесені до тих господарських процесів, які вони ускладнюють, утворюють реєстр ризиків підприємства. Керівництво відповідає за складання реєстру ризиків підприємства та передачу його внутрішнім аудиторам, на базі якого внутрішні аудитори можуть складати план та програму аудиторської перевірки. Сучасна концепція ризик-орієнтованого аудиту передбачає відповідальність керівництва підприємства за виявлення, оцінювання та управління ризиками. Метою внутрішнього ризик - орієнтованого аудиту є надання керівництву незалежної й об'єктивної оцінки щодо того, чи управління ризиками забезпечує їх прийнятний рівень. Разом з тим, однією із функцій внутрішнього аудиту є допомога менеджменту у визначенні та оцінюванні ризиків.

Рівень, у який підприємство розуміє ризики і реалізує управління ними, відомий як зрілість ризику. Рівень зрілості ризиків підприємства впливає на організацію та методику проведення внутрішнього аудиту. Дослідження показали, що у зарубіжній літературі визначаються 5 рівнів зрілості ризиків підприємства: вбудований ризик; ризик, яким управляють; ризик, який визначається; усвідомлений ризик і первинний ризик (наївний ризик). Оскільки ефективність ризик-орієнтованого внутрішнього аудиту залежить від надійного реєстру ризиків, необхідно розуміти особливості кожного типу зрілості ризиків та визначати який тип є адекватним конкретному підприємству. Так, якщо підприємство лише усвідомлює ризик або має первинний (наївний) ризик, то за таких рівнів зрілості ризику підприємство не має надійного реєстру ризиків, і можна стверджувати, що внутрішні аудитори не можуть провести повний ризик - орієнтований внутрішній аудит.

Дискусія. Багато підприємств визнають переваги створення окремого відділу управління ризиками, який несе відповідальність за координацію управління ризиками, забезпечення комплексної програми управління ризиками на корпоративній основі. Існує точка зору, що за відсутності такого структурного підрозділу вказані функції може виконувати внутрішній аудит. Разом з тим відповідно до концептуальних позицій міжнародних стандартів професійної практики внутрішнього аудиту функція внутрішнього аудиту має оцінювати та сприяти удосконаленню процесів корпоративного управління ризиками та контролю. Вважається не відповідним, що внутрішній аудит має керувати всією програмою управління ризиками, оскільки це є функцією управління і справедливо розглядається як втрата незалежності.

З метою забезпечення функцій оцінювання управління ризиками вважаємо, що внутрішні аудитори не можуть проводити ризик-орієнтований внутрішній аудит на основі власного аналізу ризиків та створеного реєстру ризиків. Адже це небезпечний підхід, оскільки внутрішні аудитори навряд чи зможуть підготувати повний комплексний реєстр ризиків. Внутрішні аудитори не повинні визначати ризики без участі керівництва, а також підтримувати свій список ризиків й використовувати його як основу для складання програми ризик - орієнтованого аудиту.

Список використаних джерел

1. Байдашнікова Т. Завершено цикл навчань майбутніх внутрішніх аудиторів/Т. Байдашнікова // Фінансовий контроль. - 2012. - № 1 (72). - С.16-17.

2. Беренда Н.І. Організація внутрішнього аудиту на підприємствах України/ Н.І. Беренда, Н.І. Дьякова // Національний вісник Ужгородського університету - Серія "Економіка". Випуск 1 (45). Т.1 - 2015 - С.242 - 245.

3. Долінська О.М. Нормативно-правова база організації внутрішнього аудиту в комерційних банках / О.М. Долінська // Соціально - економічні проблеми сучасного періоду України. Проблеми інтеграції України у світовий фінансовий простір (збірник наукових праць) / НАН України. Інститут регіональних досліджень; редкол.: відп. ред.В.С. Кравців. - Львів, 2014. - Вип.1 (105). - С.403 - 410.

4. Дмитренко І.М. Внутрішній аудит в корпораціях: системний підхід до організації: [монографія] / І.М. Дмитренко, М.Е. Шухман; Донец, нац. ун-т економіки і торгівлі ім.М. Туган-Барановського. - Донецьк: ДонНУЕТ, 2013. - 267 с.

5. Дорош Н.І. Аудит: теорія і практика / Н.І. Дорош. - К.: Знання, 2006. - 495 с.

6. Дорош Н.І. Зарубіжний досвід сертифікації внутрішніх аудиторів // Облік, економіка, менеджмент: наукові нотатки / Міжнародний збірник наукових праць. Випуск 2/відповід. ред.І.Б. Садовська. - Луцьк: РВВ Луцького НТУ, 2014. - С.247 - 255.

7. Дослідження практики внутрішнього аудиту і внутрішнього контролю в Україні. - [Електронний ресурс]. - Режим доступу: http://www.ifc.org/ifcext/ eca. nsf/AttachmentsByTitle/IAIC_StudyFinal_Ukr. pdf/ $FILE/IAIC_StudyFinal_Ukr. pdf.

8. Каменська Т.О. Шахрайство при аудиторській перевірці / Т.О. Каменська // Бухгалтерський облік і аудит - 2015. - №6 - С.2 - 9.

9. Каменська Т.О. Внутрішній аудит: Сучасний погляд [монографія] / Т.О. Каменська // К.: ДП "Інформаційно - аналітичне агентство" - 2010, 499с.

10. Назарова К.А. Перспективы реализации результатов синергии внутреннего и внешнего аудита] / К.А. Назарова // БІЗНЕСІнформ. - № - 2015. - С.219 - 224.

11. Міжнародні стандарти контролю якості, аудиту, огляду, іншого надання впевненості та супутніх послуг: Видання 2014 року // [Електронний ресурс]. - Режим доступу: http://apu.com.ua/msa

12. Про затвердження Стандартів внутрішнього аудиту [Затверджено Наказом Міністерства фінансів України від 04.10.2011 р. № 1247] [Електронний ресурс] // Верховна Рада України: [сайт]. - Режим доступу: http://zakon2. rada.gov.ua/laws/show/z1219-11 - Назва з екрану.

13. Проскуріна Н.М. Процедурне забезпечення. Теорія та практика [монографія] / Н.М. Проскуріна // К.: ДП "Інформ. - аналіт. Агентство" - 2010, 739с.

14. Сметанко О.В. Теорія та практика внутрішнього аудиту в акціонерних товариствах України: монографія / О.В. Сметанко. - К.: КНЕУ, 2013. - 436 с.

15. Сухарева Л.О. Вибіркові дослідження в загальній системі аудиту: методичний аспект/ Л.О. Сухарева // Вісник ДонНУЕТ: Донецьк - 2013. - №3 (59) - С.147 - 153.

16. Хома Д.М. Внутрішній аудит: курс лекцій / Д.М. Хома. - ПВНЗ Університет економіки і підприємництва - Хмельницький - 2010. - 173 с.

17. Шалімова Н.С. Розвиток підходів щодо класифікації та видів завдань, що виконуються в рамках внутрішнього аудиту / Н.С. Шалімова, І.І. Андрощук // Технологический аудит и резервы производства - 2015. - №4/5 (24) - С.52 - 57.

18. Шухман М.Е. Формування концепції організації внутрішнього аудиту в корпораціях/ М.Е. Шухман // Глобальні та національні проблеми економіки - електронне наукове фахове видання - 2015. - Випуск №6.

19. Янчев А.В. Сучасна концепція організації внутрішнього аудиту в управлінні витратами підприємств ресторанного господарства / А.В. Янчев, Д.Д. Шеховцева // БІЗНЕСІНФОРМ № 7 '2016 - С.119 - 124 - [Електронний ресурс]. - Режим доступу: www.business-inform.net

20. International Professional Practices Framework (IPPF) 2013 Edition. Copyrigt @ 2009 - 2012 by The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florrida 32701 - 4201, USA. All right reserved. [Електронний ресурс]. - Режим доступу: http://www.theiia.org/bookstore/product/international-professional-practices-framework-2011-1533. cfm

21. Matthew, S,. Ege, 2015. Does Internal Audit Function Quality Deter Management Misconduct?. The Accounting Review: March 2015, Vol.90, No.2, pp.495-527. DOI: http://dx. doi.org/10.2308/accr-50871

22. Moeller, Robert R. Brink's modern internal auditing: a common body of knowledge / Robert Moeller. - 7th ed. - John Wiley & Sons, Inc. - 2009 - 794 p.

23. Pizzini, M., Lin, S., & Ziegenfuss, D. E., 2014. The impact of internal audit function quality and contribution on audit delay. Auditing: A Journal of Practice & Theory, 34 (1), 25-58. DOI: http://dx. doi.org/ 10.2308/ajpt-50848

24. Griffiths D. Risk based internal auditing. Three views on implementation/ Implementing RBIA - guidance for internal audit staff - 2006 - 89 p. - www.internalaudit. biz

Размещено на Allbest.ru