Внутрішній контроль та внутрішній аудит в системі аудиту фінансової звітності

Доктор економічних наук, професор

Сумський національний аграрний університет

У науковій праці проаналізовано ключові підходи до інтерпретації терміну «внутрішній контроль», ідентифікованойого суб'єкти та об'єкти, охарактеризовано принципи, функції, складові елементи, а також обґрунтовано особливості застосування SMART підходу до визначення цілей, деталізовано процес побудови системи внутрішнього контролю на підприємстві та ін. Також в роботі подано характеристику внутрішнього аудиту, проаналізовано зміст Міжнародних стандартів професійної практики внутрішнього аудиту, деталізовано перелік та характеристику критеріїв для оцінки ефективності досліджуваного виду аудиту. Визначено роль внутрішнього контролю та внутрішнього аудиту в системі аудиту фінансової звітності підприємства. Ключові слова: аудитор, аудит фінансової звітності, внутрішній аудит, внутрішній контроль, стандарти.

Актуальність аудиту фінансової звітності з кожним роком зростає.У Законі України «Про бухгалтерський облік та фінансову звітність в Україні» чітко задекларовано, що підприємства, що становлять суспільний інтерес, великі підприємства, які не є емітентами цінних паперів, середні підприємства, інші фінансові установи, недержавні пенсійні фонди, що належать до мікропідприємств та малих підприємств повинні річну фінансову звітність оприлюднювати на веб-сторінці або своєму веб-сайті разом зі Звітом аудитора. Крім того, послуги з ініціативного аудиту також періодично надаються суб'єктами аудиторської діяльності, оскільки аудиторська перевірка допомагає виявити можливі ризики та недоліки в фінансовій звітності, що дозволяє уникнути фінансового шахрайства та підтримує довіру до бізнес-суб'єкта.

У достовірності показників фінансової звітності зацікавлена значна кількість стейкхолдерів, а незалежний аудит може задовольнити їхні потреби в достовірній інформації про діяльність підприємства. На практиці є такі підприємства, які відповідно до вимог законодавства не зобов'язані проводити обов'язковий аудит фінансової звітності, також вони не мають бажання періодично користуватися послугами зовнішніх аудиторів з питань ініціативного аудиту, оскільки їх повністю задовольняє діюча система внутрішнього контролю або внутрішнього аудиту. Реалії сьогодення засвідчують, що процедури внутрішнього контролю та внутрішнього аудиту не завжди можуть бути об'єктивними, результативними та надавати реалістичні результати.

В умовах сьогодення на державному рівні розроблено, затверджено значну кількість нормативних документів, які регламентують питання, надають рекомендації по організації, впроваджені внутрішнього контролю та внутрішнього аудиту в структуру та діяльність підприємства, визначають критерії оцінки їх ефективності, а також обгрунтовують особливості їх використання в процесі зовнішнього аудиту. Осторонь даної проблематики не залишаються науковці, практики, які свої погляди, рекомендації узагальнюють в наукових працях. Проте, дана проблематика не втрачає своєї актуальності.

Відповідно, наукова праця буде спрямована на дослідження сутності термінів «внутрішній контроль», «внутрішній аудит», визначенні ключових особливостей та методики оцінки ефективності, а також встановленні їх ролі в системі аудиту фінансової звітності.

На рисунку 1 візуалізовано узагальнені поглядів науковців, а також підходи, задекларовані в нормативній документації щодо інтерпретації терміну «внутрішній контроль».

Рис. 1. Інтерпретація сутності терміну «внутрішній контроль» *Джерело: складено автором за матеріалами [1, 2, 3, 6, 13, 15, 16].

Розглядаючи питання організації внутрішнього контролю на підприємстві необхідно увагу приділити його суб'єктам, ідентифікацію яких доцільно зробити з урахуванням ієрархічності управлінської системи (рисунок 2).

Рис. 2. Ідентифікація суб'єктів внутрішнього контролю з урахуванням ієрархічності управлінської системи *Джерело: складено автором за матеріалами [3].

Варто зазначити, що на сьогодні перелікоб'єктів виходить за параметри класичного розуміння, відповідно, на практиці доцільно об'єкти внутрішнього контролю підприємства ідентифікувати у розрізі наступних складових: бізнес-процеси; активи; пасиви; результати діяльності; трудові ресурси. внутрішній контроль управлінський аудит

Тобто, все, на що спрямовані контрольні заходи, які реалізують суб'єкти внутрішнього контролю, є об'єктами. На рисунку 3 візуалізовано деталізацію об'єктів внутрішнього контролю в розрізі ідентифікованих вище складових компонентів.

Рис. 3. Об'єкти внутрішнього контролю підприємства *Джерело: складено автором.

Зазначений перелік об'єктів не є кінцевим, оскільки залежно від виду діяльності підприємства, форми власності, можуть бути виокремлені інші складові. При цьому, потрібно наголосити, що відповідно до ідентифікованих об'єктів внутрішнього контролю визначаються завдання, які повинні обов'язково базуватися на урахуванні вимог, ініційованих особами, яких наділено найвищими повноваженнями, іншими внутрішніми стейкхолдерами та забезпечити ефективне використання ресурсів бізнес-суб'єкта, забезпечити виконання стратегії розвитку, збільшення вартості та його цінності.

У практичному аспекті внутрішній контроль виконує ряд функцій, детальну характеристику яких чітко обґрунтовують Замула І. В., Танасієва М. М., а саме:

• діагностична функція - процедури внутрішнього контролю спрямовані на ідентифікацію сильних та слабких сторін діяльності господарюючого суб'єкта, ідентифікації можливостей та загроз, що, в загальному, дозволить визначити раціональні напрями стратегії розвитку господарюючого суб'єкта;

• екологічна функція - заходи внутрішнього контролю забезпечують мінімізацію негативного впливу господарюючого суб'єкта на зовнішнє середовище;

• захисна функція - заходи внутрішнього контролю забезпечують не тільки збереження майна господарюючого суб'єкта, але й сприяють їх раціональному використанню;

• інформаційна функція - внутрішній контроль забезпечує управлінський процес інформацією про помилки, випадки шахрайства, що дозволяє визначити та імплементувати управлінські процедури, спрямовані на їх мінімізацію;

• профілактична функція - імплементація дієвих процедур внутрішнього контролю забезпечує мінімізацію випадків шахрайства, перекрученню, помилок в бухгалтерському обліку, а також раціональне використання майна, трудових, фінансових ресурсів господарюючого суб'єкта;

• технологічна функція - імплементація заходів внутрішнього контролю дозволяє підвищити як рівень якості, дотримання відповідної технології виробництва, так і запобігання необґрунтованим витратам;

• соціальна функція - внутрішній контроль забезпечує регулювання сукупності процесів підприємства соціального характеру [6].

Внутрішньому контролю притаманні певні принципи. Наукова скарбниця узагальнює значну кількість підходів щодо визначення та характеристики принципів, які властиві досліджуваному виду контролю. Також на визначення принципів вплив здійснює форма власності господарюючого суб'єкта. Побудова системи внутрішнього контролю має базуватися на принципах, які забезпечать успішну імплементацію контрольних заходів на найбільш ризикові об'єкти, контрольні процедури мають бути прозорими, а результати даного виду контролю - дієвим управлінським інструментом.

У таблиці 1 узагальнено перелік принципів внутрішнього контролю, ідентифікованих науковцями та системою нормативного регулювання.

Таблиця 1

Перелік принципів внутрішнього контролю

*Джерело: складено автором за матеріалами [2,3, 4, 6, 12].

Аналіз підходів щодо ідентифікації принципів внутрішнього контролю дозволяє зазначити на відсутності єдиного підходу. Слід погодитися з твердженням Шигун М.М., що принципам властивий об'єктивний характер, вони повинні виконуватися при створенні системи внутрішнього контролю. Принципи можуть набувати нових значень, а в їх прояви доцільно враховувати специфіку ризиків підприємницької діяльності [12].

Система внутрішнього контролю має свої елементи, перелік та характеристику яких подано в таблиці 2.

Таблиця 2

Перелік та характеристика елементів системи внутрішнього контролю

*Джерело: складено автором за матеріалами[4].

За словами Шигун М. М., організація внутрішнього контролю повинна базуватися на дотриманні відповідних правил, а саме:

• функції внутрішнього контролю повинні виконувати особи, які є членами трудового колективу та представляють інтереси підприємства;

• система внутрішнього контролю повинна охоплювати усі види, форми і методи контролю, які відповідають специфіці економічної діяльності;

• мають бути забезпечені прямі та зворотні зв'язки між службою внутрішнього контролю та підрозділами господарюючого суб'єкта [12].

Каменська Т.О., Редько О.Ю.застосовують концепцію ризик-орієнтованого підходу для ідентифікації правил внутрішнього контролю, а саме:

- відмові від канонічного підходу до планування контрольних процедур, які не враховують розходження у рівнях ризику, засновані на формальних вимогах регламентів та правил;

- впровадження підходу, який заснований на визначенні та моніторингу рівнів ризику, прийнятних для суб'єкта господарювання;

- відповідальність за визначення ризиків, їх оцінку, впровадження контрольних процесів, які обмежують ризик, у бізнес-процеси доцільно здійснювати на всіх рівнях управління;

- передачі функції надання гарантій і незалежної оцінки ефективності внутрішнього контролю та процесу управлінняризиками внутрішньому аудиторові [3].

Досліджуючи систему законодавчо-нормативного регулювання засад організації та функціонування служби внутрішнього контролю, доцільно наголосити, що переважно дані питання розглядаються для бюджетних установ, проте, деякі аспекти задекларовані в МСА. У таблиці 3 узагальнено та охарактеризовано законодавчо-нормативну регламентацію питань щодо внутрішнього контролю.

Таблиця 3 Законодавчо-нормативна регламентація питань щодо внутрішнього контролю

*Джерело: складено автором за матеріалами [8, 10, 11].

Враховуючи, що розкриття інформації про внутрішній контрольприсвячена саме в переважній більшості регламентація для бюджетних установ, відповідно, на підприємствах доцільно керівникам розробити, затвердити та впровадити в дію власнівнутрішні нормативні документи (наприклад, Положення про діяльність служби внутрішнього контролю).

Дієвість внутрішнього контролю залежить від правильності визначення цілей внутрішнього контролю.Об'єднані стандарти внутрішнього контролю Комітету COSO у процесі побудови та ідентифікації цілей внутрішнього контролю рекомендують дотримуватися SMART підходу (рис. 4).

Рис. 4. SMART підхід до визначення цілей внутрішнього контролю

*Джерело: складено автором за матеріалами[4].

Застосування методики SMART в процесі планування внутрішнього контролю, дозволяє визначити вірні цілі та способи їх досягнення. Даний підхід є одним з найефективніших, оскільки дозволяє успішно реалізувати заплановане, досягти результату та подальшого успіху.

На рисунку 5 подано алгоритмізацію визначення цілей внутрішнього контролю в розрізі їх категорій (стратегічні, операційні, звітність, відповідність).

Рис. 5. Алгоритмізація визначення цілей внутрішнього контролю в розрізі їх категорій

*Джерело: складено автором з урахуванням матеріалів [9].

Актуальним питанням з практичної позиції є правильна оцінка дієвості та якості внутрішнього контролю.

Каменська Т. О. та Редько О. Ю. для оцінкидієвості контролю пропонують застосовувати наступні критерії:економічність - від впровадження внутрішнього контролю підприємство має отримати більше вигід, ніж витрат; суттєвість - контролювання має бути спрямоване на суттєві моменти; відповідність - система та служба внутрішнього контролю мають відбивати спрямованість суб'єкта господарювання, намір виміряти та контролювати відповідні цінні об'єкти; доречність - результат роботи служби внутрішнього контролю має бути корисним, відповідний тому, що контролюється та вимірюється; своєчасність - інформація щодо результатів виконання процедур внутрішнього контролю повинна оперативно надходити до управлінського персоналу; простота та зрозумілість - контрольні процедури повинні бути легкими та простими; функціональність - система внутрішнього контролю має приносить користь, а не просто імітувати роботу; інтегрування до планування - ефективність системи внутрішнього контролю залежить від якості та точності його планування; гнучкість- система внутрішнього контролю має бути гнучкою, здатною реагувати на зміни, вдосконалюватися, оновлювати методику; підзвітність - між суб'єктами внутрішнього контролю має бути проведений чіткий розподіл обов'язків; суб'єкти внутрішнього контролю повинні розуміти ступінь відповідальності; повнота - механізм внутрішнього контролю повинен враховувати специфіку діяльності підприємства, масштаби його діяльності, систему управління; точність - точна, достовірна інформація про результати виконання контрольних процедур має бути інформаційним джерелом управлінського процесу; динамічність - система внутрішнього контролю повинна адаптуватися до турбулентності економічної системи, розвитку технологій та ін.; об'єктивність - система внутрішнього контролю має забезпечувати управлінський процес об'єктивною інформацією; проблеми управління - проблеми системи управління підприємства не повинні негативно впливати на діяльність служби внутрішнього контролю; самоконтроль, завчасне попередження - самоконтроль має бути домінантним принципом діяльності служби внутрішнього контролю; система функціонування внутрішнього контролю має передбачати своєчасне виявлення проблемних моментів у діяльності; відповідність стратегії - діяльність служби внутрішнього контролю має базуватися на власній стратегії, яка корелює зі стратегією діяльності та розвитку підприємства; результативність - внутрішній контроль повинен забезпечити оперативне виконання визначених завдань та досягнення ідентифікованих цілей; системність - система внутрішнього контролю має бути інтегрована в діяльність підприємства, тобто враховувати його стратегію діяльності та розвитку; адаптивність - елементи системи внутрішнього середовища повинні бути адаптованими до турбулентності, динамічності зовнішнього середовища підприємства; оптимальність - внутрішній контроль має забезпечити оптимальне виконання контрольних процедур, які потрібні для вирішення поставлених завдань, та досягнення цілей [3].

Також існує методика оцінки системи внутрішнього контролю, яка спрямована на оцінку його зрілості, ефективності, досконалості, розроблена та запропонована керівництвом PEMPAL, характеристика якої подана в таблиці 4.

Таблиця 4

Методика оцінки зрілості, ефективності, досконалості системи внутрішнього контролю, запропонована керівництвом PEMPAL

*Джерело: складено автором за матеріалами [4].

Процесу створення внутрішнього контролю на підприємстві властива певна алгоритмізація, яка включає наступні етапи, для яких характерні конкретні завдання та процеси, а саме: розробка та затвердження внутрішньої нормативної бази щодо створення системи внутрішнього контролю та її впровадження в практичну діяльність;організація та впровадження внутрішнього контролю в діяльність підприємства (організації);вдосконалення системи внутрішнього контролю підприємства.

На рисунку 6 подано характеристику даних етапів.

Рисунок 6. Характеристика процесу створення внутрішнього контролю на підприємстві *Джерело: складено автором за матеріалами [4].

Резюмуючи дослідження в частині сутності, значення, принципів, суб'єктів та об'єктів внутрішнього контролю, доцільно виокремити відповідні ключові моменти (рисунок 7).

Рис. 7. Ключові моменти щодо розуміння сутності внутрішнього контролю

*Джерело: складено автором з урахуванням матеріалів [12].

Наступним етапом наукового дослідження є аналіз сутності, системи нормативного регулювання, принципів та інших аспектів внутрішнього аудиту.

У таблиці 5 подано характеристику внутрішнього аудиту за відповідними критеріями.

Таблиця 5

Характеристика внутрішнього аудиту

*Джерело: складено автором.

Ефективній організації роботи внутрішніх аудиторів, сприяють Стандарти внутрішнього аудиту, яківизначають вимоги щодо виконання ними послуг, а також забезпечують здійснити оцінку роботи суб'єктів внутрішнього аудиту.Інститутом внутрішніх аудиторів розроблені Міжнародні стандарти професійної практики внутрішнього аудиту, які визначають основні вимоги для професійної діяльності внутрішніх аудиторів.

На рисунку 8 подано перелік груп Міжнародних стандартів професійної практики внутрішнього аудиту.

Рис. 8.Міжнародні стандарти професійної практики внутрішнього аудиту *Джерело: складено автором.

Міжнародні стандарти професійної практики внутрішнього аудиту доповнюються правилами двох видів:

• правила групи «А», які конкретизують дії внутрішнього аудитора у процесі виконання завдань, пов'язаних з наданням гарантій;

• правила групи «С», які конкретизують дії внутрішнього аудитора у процесі виконання завдань консультаційного спрямування.

У контексті даного дослідження вважаємо за доцільне охарактеризувати Міжнародні стандарти професійної практики внутрішнього аудиту, перелік який подано на рисунку 8.

1000 «Цілі, повноваження і відповідальність»

У Статуті внутрішнього аудиту має бути обґрунтована мета, повноваження та відповідальність внутрішнього аудиту. Статут визначає характер відносин головного внутрішнього аудитора з керівництвом підприємства (радою директорів) та сферу діяльності внутрішнього аудиту. Даний внутрішній офіційних документ щодо діяльності служби внутрішнього аудиту повинен постійно переглядатися і, у, випадку

необхідності, перезатверджуватися.

Правило 1000.A1 передбачає, що характер послуг із забезпечення впевненості, що надаються організації, має бути визначений у Статуті внутрішнього аудиту. Якщо запевнення мають бути надані сторонам за межами організації, характер цих запевнень необхідно визначити у Статуті внутрішнього аудиту.

Правило 1000.C1 аргументує, що характер консультаційних послуг має бути визначений у Статуті внутрішнього аудиту.

1010 «Обов'язкове визнання служби внутрішнього аудиту у Статуті»

Керівник служби внутрішнього аудиту повинен з керівником підприємства (радою директорів) обговорити питання щодо місії внутрішнього аудиту. У Статуті мають бути обґрунтовані положення щодо обов'язкового дотримання внутрішніми аудиторами Кодексу етики та стандартів внутрішнього аудиту.

1100 «Незалежність і об'єктивність»

Діяльність внутрішнього аудиту має бути незалежною, а внутрішні аудитори мають бути об'єктивними у виконанні своєї роботи. Дотримання принципу незалежності можливе за умови наявності прямого, необмеженого доступу керівника внутрішнього аудиту до ради директорів. Об'єктивність аудиторів потрібно контролювати як на рівні окремого аудитора, так і на організаційному рівні. Внутрішні аудитори не повинні допускати компромісів при виконання завдань.

1110 «Організаційна незалежність»

Керівник внутрішнього аудиту повинен не рідше одного разу на рік підтверджувати раді директорів організаційну незалежність відділу. Для забезпечення організаційної незалежності відділ внутрішнього аудиту повинен безпосередньо підпорядковуватися раді директорів.

На підприємстві мають бути розроблені, затверджені та введені в дію наступні документи:

• Положення про внутрішній аудит;

• План внутрішнього аудиту з урахуванням ризиків;

• Бюджет внутрішнього аудиту та план ресурсів;

• Положення щодо отримання повідомлень від керівника внутрішнього аудиту про результати діяльності внутрішнього аудиту щодо їх планів та інших питань;

• Рішення про призначення на посаду та звільнення з посади головного аудитора;

• Розпорядження про затвердження винагороди головному аудитору;

• Інструкція щодо надсилання відповідних запитів керівництву та керівнику аудиторської служби для визначення наявності невідповідних обмежень обсягу чи ресурсів.

1111 «Пряма взаємодія з правлінням»

Керівник внутрішнього аудиту повинен спілкуватися та взаємодіяти безпосередньо з радою директорів.

1112 «Роль головного аудитора окрім внутрішнього аудиту»

У випадку, якщо внутрішній аудитор виконує крім функціональних обов'язків, пов'язаних з внутрішнім аудитом, інші завдання, обов'язково має бути передбачені запобіжні заходи щодо унеможливлення порушення умов об'єктивності та незалежності. Запобіжні заходи - це дії з нагляду, що часто вживаються радою директорів для усунення цих потенційних погіршень, і можуть включати такі дії, як періодична оцінка порядку підпорядкування та відповідальності і розробка альтернативних процесів для отримання гарантій, пов'язаних з областями додаткової відповідальності.

1120 «Індивідуальна об'єктивність»

Внутрішні аудитори повинні бути неупередженими та уникати будь -якого конфлікту інтересів. Конфлікт інтересів - це ситуація, в якій внутрішній аудитор, який має довіру, має конкуруючий професійний чи особистий інтерес. Конфлікт інтересів може створити видимість неналежної поведінки та вплинути на здатність внутрішнього аудитора об'єктивно виконувати свої обов'язки.

1130 «Порушення незалежності або об'єктивності»

Інформація щодо порушення незалежності, об'єктивності повинна бути доведена до відома відповідним сторонам (вищим керівництвом або радою директорів).

Правило 1130.A1 передбачає, що внутрішні аудитори повинні утримуватись від оцінки конкретних операцій, за які вони раніше відповідали.

Правило 1130.A2 обґрунтовує, що завдання, які виконуються службою внутрішнього контролю, спрямовані на надання оцінки функцій, за які раніше відповідав керівник внутрішнього аудиту, повинні контролюватись особою, яка не пов'язаною з діяльністю внутрішнього аудиту.

Правило 1130.A3 конкретизує, що служба внутрішнього аудиту може надавати послуги щодо оцінки у тих випадках, якщо вона раніше надавала консультаційні послуги, характер консультування не завдає шкоди об'єктивності та буде здійснено управління індивідуальною об'єктивністю при розподілі ресурсів для виконання завдання.

Правило 1130.C1 наголошує, що внутрішні аудитори можуть надавати консультації по операціях за які вони раніше відповідали.

Правило 1130.C2 передбачає, якщо має місце потенційне зниження незалежності та об'єктивності внутрішніх аудиторів, дана інформація повинна бути доведена до відома замовника до погодження на виконання завдання.

1200 «Професіоналізм і належна професійна увага»

Внутрішні аудитор повинні виконувати завдання на високому професійному рівні з належною професійною увагою.

1210 «Майстерність»

Внутрішні аудитори повинні мати достатній рівень знань, умінь та навичок для професійного виконання функціональних обов'язків. Доцільно, щоб внутрішній аудитор постійно підвищував свою кваліфікації та підтверджував сертифікатами.

Правило 1210.A1 передбачає необхідність постійної консультативної підтримки керівником відділу внутрішнього аудиту підлеглих, у випадку необхідності.

Правило 1210.A2 наголошує на доцільності умінь внутрішніх аудиторів здійснювати оцінку ризику шахрайства та визначати способи управління ними.

Правило 1210.A3 обґрунтовує необхідність наявності знань внутрішніх аудиторів щодо ризиків, засобів контролю інформаційних технологій, умінь для застосування технологічних методів у процесі виконання завдань.

Правило 1210.C1 передбачає, якщо у керівника відсутні знання щодо виконання завдання, він повинен відмовитися або звернутися за консультативною підтримкою до обізнаних осіб.

1220 «Належна професійна турбота»

Належна професійна турбота - це безпомилковість.

Правило 1220.A1 передбачає, що внутрішні аудитори повинні виявляти належну професійну обережність з огляду на: обсяг роботи, який потрібно для вирішення завдання; складність, важливість питань для яких виконуються процедури підтвердження; ефективність управління ризиками, можлива наявність помилок, результатів шахрайських дій; потенційні вигоди та їх вартість.

Правило 1220.A2 наголошує на можливості, з урахуванням професійної обачності, використання внутрішніми аудиторами технологічного аудиту та інших методів аналізу даних.

Правило 1220.A3 акцентує увагу на необхідності внутрішніх аудиторів бути готовими до ризиків, які можуть здійснити вплив на цілі, ресурси та напрями виконання завдання.

Правило 1220.C1 передбачає, що внутрішні аудитори повинні виявляти належну професійну обережність під час консультаційного завдання з огляду на очікування та потреби клієнтів, складності та обсягу завдань, вартості послуг з консультування із урахуванням ймовірних вигод.

1230 «Безперервний професійний розвиток»

Внутрішні аудитори повинні постійно підвищувати свій професійний розвиток з метою опанування нових знань, умінь, навичок та компетенцій.

1300 «Програма забезпечення та поліпшення якості»

Керівник внутрішнього аудиту повинен впровадити програму забезпечення та підвищення якості внутрішнього аудиту.

1310 «Вимоги програми забезпечення і підвищення якості»

Програма забезпечення та покращення якості внутрішнього аудиту повинна передбачати внутрішню та зовнішню оцінку.

1311 «Внутрішні оцінки»

Складовими внутрішніх оцінок є:

• постійний моніторинг ефективності діяльності внутрішнього аудиту;

• періодичні самооцінки, які здійснюються іншими працівниками підприємства, що не мають відношення до відділу внутрішнього аудиту, але мають достатні знання з питань внутрішнього аудиту.

1312 «Зовнішні оцінки»

Не рідше ніж раз на 5 років має бути проведена незалежним оцінювачем, який не є працівником, зовнішня оцінка Програми забезпечення та покращення якості внутрішнього аудиту. За результатами зовнішньої оцінки оцінювач повинен надати висновок.

1320 «Звітність по програмі забезпечення та поліпшення якості»

Керівник аудиторської служби повинен довести до відома вищого керівництва та ради директорів інформацію щодо результатів зовнішньої та внутрішньої оцінки Програми забезпечення та покращення якості внутрішнього аудиту з деталізацією обсягу перевірки, кваліфікації, незалежності оцінювачів, змісту висновків оцінки, переліку та плану коригуючих заходів.

1321 «Використання «відповідає Міжнародним стандартам професійної практики внутрішнього аудиту»»

Діяльність відділу внутрішнього аудиту відповідає вимогам Міжнародних професійних стандартів внутрішнього аудиту та Внутрішнім стандартам аудиту. Програма забезпечення та підвищення якості внутрішнього аудиту враховує результати внутрішніх та зовнішніх оцінок (якщо внутрішній аудит функціонує не менше 5 років).

1322 «Розкриття невідповідності»

У випадку, якщо діяльність відділу внутрішнього аудиту не відповідає вимогам Міжнародним професійним стандартам внутрішнього аудиту та Внутрішнім стандартам аудиту, керівник відділу внутрішнього аудиту повинен повідомити вищому керівництву та раді директорів інформацію щодо невідповідності та наслідків.

2000 «Управління діяльністю внутрішнього аудиту»

Керівник внутрішнього аудиту має ефективно керувати діяльністю внутрішнього аудиту, щоб гарантувати, що вона приносить користь організації.

Перелік випадків, коли діяльність внутрішнього аудиту є результативною:

• мета діяльності внутрішнього аудиту, яка зафіксована у Статуті внутрішнього аудиту, досягається;

• діяльність відділу внутрішнього аудиту відбувається з урахуванням вимог Кодексу етики та Внутрішніх стандартів аудиту;

• у процесі діяльності служби внутрішнього аудиту постійно здійснюється аналіз проблемних питань, які можуть вплинути на діяльність.

Діяльність служби внутрішнього аудиту вважається ефективною, коли вона оцінює цілі, стратегії та ризики функціонування підприємства; надає рекомендації щодо покращення системи управління (в т.ч. управління ризиками) та контролю, а також забезпечує відповідні гарантії.

2010 «Планування»

Керівник внутрішнього аудиту повинен розробити план діяльності відділу внутрішнього аудиту, який базуватиметься на урахуванні цілей організації та ризиків. Для якісного планування діяльності внутрішніх аудиторів керівник внутрішнього аудиту повинен проконсультуватися з радою директорів та вищим керівництвом щодо формування чіткого уявлення про стратегію діяльності організації, пріоритетні бізнес-цілі та особливості організації управлінського процесу. План діяльності служби внутрішнього аудиту може періодично переглядатися, вдосконалюватися та оновлюватися.

Правило 2010.A1 передбачає, що план заходів внутрішнього аудиту обов'язково має базуватися на результатах оцінки ризиків, яка проводиться не рідше одного разу на рік та документально підтверджена, при цьому необхідно враховувати внесок вищого керівництва та ради директорів.

Правило 2010.A2 визначає, що керівник внутрішнього аудиту у процесі планування повинен ідентифікувати та врахувати очікування вищого керівництва, ради директорів та інших категорій стейкхолддерів щодо висновків та результатів роботи внутрішнього аудиту.

Правило 2010.C1 рекомендує керівнику аудиторської служби обов'язково розглядати питання про прийняття запропонованих консультаційних послуг, виходячи з їхнього потенціалу для покращення управління ризиками, створення доданої вартості та покращення діяльності організації. Прийняті зобов'язання мають бути включені до плану.

2020 «Комунікація та схвалення»

Керівник внутрішнього аудиту повинен повідомляти вище керівництва та раду директорів про плани внутрішнього аудиту та потреби в необхідних ресурсах, а також про їх вплив у випадку обмеженої кількості.

2030 «Управлінняресурсами»

Керівник внутрішнього аудиту повинен бути впевненим, що для виконання плану внутрішнього аудиту є достатня кількість необхідних ресурсів, які дозволять ефективно, своєчасно виконувати заплановані завдання.

2040 «Політика та процедури»

Процедури та політики щодо координування діяльності відділу внутрішнього аудиту забезпечує керівник даного відділу з урахуванням функціональних обов'язків, структури, специфіки роботи внутрішніх аудиторів.

2050 «Координування та довіра»

Керівнику відділу внутрішнього аудиту доцільно здійснювати обмін інформацією, координувати та розглядати доцільність використання результатів роботи інших працівників, які є актуальними для внутрішнього аудит. При цьомумає бути забезпечена своєчасна послідовність акумулювання інформації з інших інформаційних джерел, мінімізована ситуація щодо дублювання інформації. Важливу місію у даному процесі відіграє довіра та сприяння, мотивація керівництвом працівників інших відділ у своєчасному та

достовірному інформаційному забезпеченні роботи внутрішніх аудиторів.

2060 «Звітність перед вищим керівництвом і радою директорів»

Керівник відділу внутрішнього аудитора повинен узгодити з вищим керівництвом та радою директорів питання щодо періодичності звітування. Перелік питань для звітування має бути спрямований на розкриття наступних ключових аспектів:

• цілі, повноваження, відповідальність та результати відділу внутрішнього аудиту;

• дотримання працівниками відділу внутрішнього аудиту плану діяльності;

• відповідність діяльності внутрішніх аудиторів вимог Кодексу етики та Внутрішнім стандартом аудиту;

• форма звітування відділу внутрішнього аудиту за результатами діяльності.

Інформація для звітування керівником відділу внутрішнього аудиту повинна включати наступне:

• Статут аудитора;

• незалежність діяльності внутрішнього аудиту;

• план аудиту та хід його виконання;

• вимоги до ресурсів;

• результати аудиторської діяльності;

• відповідність Кодексу етики та Стандартам, а також плани дій щодо вирішення будь-яких суттєвих проблем відповідності;

• реакція керівництва на ризик, який, на думку головного аудитора, може бути неприйнятним для організації.

2070 «Зовнішній надавач послуг і організаційна відповідальність за внутрішній аудит»

Залучення зовнішнього представника до виконання послуг внутрішніх аудиторів створює підставу для відповідальності підприємства за ефективну організацію внутрішнього аудиту.

2100 «Характерроботи»

Діяльність внутрішнього аудиту повинна оцінювати, сприяти покращенню управління організацією, управління ризиками, та процесами контролю з використанням систематичного, дисциплінованого та заснованого на оцінці ризику підходу. Довіра до внутрішнього аудиту та його цінність підвищуються, коли аудитори виявляють ініціативу, а їх оцінки пропонують нові ідеї та враховують вплив у майбутньому.

2110 «Управління»

Діяльності внутрішнього аудитора має бути спрямована на удосконалення системи управління, а саме: прийняття стратегічних та оперативних рішень; нагляд за управлінням ризиками та контролем; просування відповідної етики та цінностей в організації; забезпечення ефективного управління організаційною ефективністю та підзвітності; передача інформації про ризики та засоби контролю у відповідні підрозділи організації; координація діяльності та обмін інформацією між радою директорів, зовнішніми та внутрішніми аудиторами, іншими постачальниками гарантій та керівництвом.

Правило 2110.A1 передбачає, що внутрішній аудит повинен оцінювати структуру, реалізацію та ефективність цілей, програм та заходів організації, пов'язаних з етикою.

Правило 2110.A2 аргументує необхідність внутрішнього аудиту оцінювати рівень підтримки стратегії та цілей управління організаційно-інформаційними технологіями підприємства.

2130 «Контроль»

Внутрішній аудит організації повинен сприяти реалізації контрольних заходів та оцінювати їх ефективність, результативність та сприяти постійному вдосконаленню.

Правило 2130.A1 передбачає, що діяльність внутрішнього аудиту повинна бути спрямована на оцінку засобів контролю (з позиції адекватності та ефективності) при реагуванні на ризики системи управління, операцій та інформаційних систем організації щодо: досягнення стратегічних цілей; достовірності фінансової та операційної інформації; ефективності та результативності операцій та програм; збереження активів; дотримання законів, нормативних актів, політик, процедур та контрактів.

Правило 2130.C1 визначає, що внутрішні аудитори повинні використовувати знання про засоби контролю, які отримані під час консультаційних завдань при оцінці процесів контролю організації.

У практичній діяльності внутрішній аудит має здійснюватися з дотриманням відповідних принципів. На рисунку 9 узагальнені дві групи принципів внутрішнього аудиту (фундаментальні та методологічні), які запропоновані Н.М. Проскуріною.

Фундаментальні принципи

Методологічні принципи

Рис. 9. Принципи внутрішнього аудиту

*Джерело: складено автором за матеріалами [5].

Діяльність служби внутрішнього аудиту та виконання функцій внутрішніх аудиторів повинно також в практичному аспекті оцінюватися. Відповідно, на підставі Основних положень міжнародної професійної практики Інститутом внутрішніх аудиторів Німеччини було розроблено каталог критеріїв. Каталог даних критеріїв може бути розширеним і застосовуватися для різних підприємств, установ. На рисунку 10 подано компетенції та кваліфікації внутрішніх аудиторів відповідно до вимог Основних положень міжнародної професійної практики внутрішнього аудиту (IPPF).

Рис. 10. Компетенції та кваліфікації внутрішніх аудиторів відповідно до вимог IPPF *Джерело: складено автором за матеріалами [7].

У таблиці 6 подано перелік та характеристику критеріїв для оцінки функції внутрішнього аудиту (далі - ФВА).

Таблиця 6

Перелік та характеристику критеріїв для оцінки функції внутрішнього аудиту

*Джерело: складено автором за матеріалами [7].

Як бачимо, господарюючи суб'єкти повинні відповідально підходити до організації внутрішнього контролю та внутрішнього аудиту, застосовувати відповідні критерії для оцінки ефективності, результативності та дієвості, адже їх результати є важливими в процесі аудиту фінансової звітності. Наведемо та проаналізуємо підтверджуючі аргументи щодо даного твердження.

МСА 265 «Повідомлення інформації про недоліки внутрішнього контролю тим, кого наділено найвищими повноваженнями, та управлінському персоналу» інтерпретує ціль аудитора у такому форматі: «...повідомлення у відповідний спосіб інформації тим, кого наділено найвищими повноваженнями, та управлінському персоналу про недоліки внутрішнього контролю, які аудитор ідентифікував під час аудиту та які, за професійним судженням аудитора, є досить важливими, щоб заслуговувати на їх увагу».

На рисунку 11 подано термінологічне уточнення недоліків внутрішнього контролю, що є актуальним для застосування в процесі аудиту фінансової звітності.

Рис. 11. Термінологічне уточнення недоліків внутрішнього контролю

*Джерело: складено автором за матеріалами [8].

Характеристика дій аудитора для ідентифікації недоліків у системі внутрішнього контролю в процесі аудиту фінансової звітності та у випадку їх виявлення повинна полягати в наступному:

1) виконання процедур щодо виявлення недоліків внутрішнього контролю;

2) у випадку виявлення недоліків внутрішнього контролю, визначити чи становлять вони значні недоліки окремо або у поєднанні;

3) у письмовій формі повідомити осіб, яких наділено найвищими повноваженнями, про значні недоліки внутрішнього контролю, які були ідентифіковані під час аудиту;

4) у письмове повідомлення про недоліки внутрішнього контролю включити наступну інформацію:

• опис недоліків;

• обгрунтування потенційного впливу недоліків внутрішнього контролю;

• у доступній формі деталізувати для осіб, яких наділено найвищими повноваженнями, інформацію про недоліки внутрішнього контролю.

На рисунку 12 подано приклади недоліків системи внутрішнього контролю.

Рис. 12. Приклади недоліків системи внутрішнього контролю

*Джерело: складено автором за матеріалами [8].

Відповідно до МСА 315 (переглянутий) «Ідентифікація та оцінювання ризиків суттєвого викривлення через розуміння суб'єкта господарювання і його середовища» ціллю аудитора є ідентифікація й оцінка ризиків суттєвого викривлення внаслідок шахрайства чи помилки на рівні фінансового звіту та тверджень через розуміння суб'єкта господарювання і його середовища, включаючи його внутрішній контроль, забезпечивши у такий спосіб основу для розробки і впровадження дій у відповідь на оцінені ризики суттєвого викривлення. У контексті даного стандарту аудитор повинен отримати розуміння внутрішнього контролю, який є доречним для аудиту.