У відповідності до законодавства України відповідальність за достовірність фінансової звітності несе керівництво підприємства. Стандарти аудиту також визначають відповідальність керівництва за попередження і виявлення фактів шахрайства та помилок. Тому під час вивчення та оцінювання середовища контролю і його практичного впровадження аудитор повинен зрозуміти, як управлінський персонал створив і підтримує засади чесної та етичної поведінки персоналу. У свою чергу, персонал повинен відповідати за виконання своїх функцій.
Чесність і етичні цінності є основоположними елементами середовища контролю, які визначають ефективність його структури, реалізацію і моніторинг інших складників внутрішнього контролю.
Чесність і етична поведінка є продуктами етичних стандартів, які сформовані та культивуються на підприємстві.
Вони включають:
· запобіжні заходи, які направлені на усунення або зменшення ризиків та спокуси, що можуть підштовхнути персонал до нечесних, протизаконних або неетичних вчинків;
· роз’яснювальна роботи серед персоналу про етичні стандарти та стандарти поведінки працівників на підприємстві шляхом висвітлення політики та кодексу професійної етики.
2. Прагнення персоналу до компетентності.Компетентність — це знання та навички, необхідні для виконання завдань, визначених у посадовій інструкції особи. Прагнення до компетентності включає розгляд управлінським персоналом рівнів необхідної компетентності за конкретними посадами і визначає, як ці рівні відображаються у відповідних навичках і знаннях.
3. Участь найвищого управлінського персоналу в організації внутрішнього контролю.На усвідомлення управлінським персоналом (виконуючим директором, технічним директором, менеджером з продажу та ін.) контролю суттєво впливають особи, наділені повноваженнями найвищого управління (голова наглядової ради, голова ради директорів та ін.). Риси, що характеризують осіб, наділених повноваженнями найвищого управління, включають незалежність від управлінського персоналу, їх досвід та положення, ступінь їх залучення у діяльність і вивчення діяльності, відповідність їх дій, інформація, яку вони одержують, міра, якою піднімаються для обговорення і вирішення з управлінським персоналом складних питань, а також їх взаємодія з внутрішніми та зовнішніми аудиторами.
Важливість обов’язків осіб, наділених повноваженнями найвищого управління визнається у кодексах професійної етики та в інших нормативних актах та рекомендаціях, які можуть розроблятися для осіб, наділених повноваженнями найвищого управління. Інші обов’язки осіб, наділених повноваженнями найвищого управління, включають нагляд за структурою та ефективною діяльністю з реалізації сигнальних процедур і процесів огляду ефективності внутрішнього контролю суб’єкта господарювання.
4. Філософія та стиль роботи управлінського персоналу. Філософія та стиль роботи управлінського персоналу охоплює широке коло характеристик. Ці характеристики можуть включати такі аспекти: підхід управлінського персоналу до прийняття та моніторингу ризиків бізнесу; ставлення і заходи управлінського персоналу щодо фінансової звітності (вибір консервативного або агресивного підходу з дозволених альтернативних принципів бухгалтерського обліку, а також визначення усвідомлення та консерватизму щодо облікових оцінок); ставлення управлінського персоналу до обробки інформації, функцій бухгалтерського обліку та персоналу.
5. Організаційна структура. Організаційна структура підприємства забезпечує основу, в межах якої планується, провадиться, контролюється та перевіряється діяльність для реалізації загальних цілей підприємства.
Визначення відповідних організаційних процедур включає розгляд ключових ділянок в розподілі повноважень і обов’язків та відповідного підпорядкування.
На підприємстві необхідно визначити таку організаційну структуру, яка задовольняє його потребам. Відповідність організаційної структури залежить, певною мірою, від розміру та характеру діяльності підприємства.
6. Визначення повноважень та розмежування обов’язків. Цей елемент включає:
1. визначення повноважень та розмежування обов’язків за операційними напрямками діяльності. Наприклад, існування мережі філій передбачає встановлення та розмежування повноважень між керівництвом головного підприємства та філії;
2. встановлення ієрархії повноважень, що передбачає чітке визначення підпорядкованості між різними ланками.
3. визначення:
· політики щодо належної практики ведення бізнесу,
· необхідних знань та досвіду для працівників, які обіймають ключові посади (головного бухгалтера, фінансового директора, головного технолога та ін.);
· ресурсів, які необхідно забезпечити для виконання обов’язків;
4. політику та процес обміну інформацією, що спрямовані на розуміння цілей функціонування підприємства всіма працівниками, розуміння взаємоузгодження їх дій і внеску кожного окремого працівника для забезпечення реалізації визначених цілей, а також розуміння того, як і за що вони несуть відповідальність.
7. Політика і практика щодо людських ресурсів. Політика і практика щодо персоналу пов’язана з такими заходами, як:
1. процедури прийняття працівників на роботу. Наприклад, на посади, де потрібен найвищий рівень кваліфікації, приймаються особи, для яких визначаються обов’язкові вимоги щодо їх освіти, досвіду попередньої роботи, минулих досягнень і доказів чесності та етичної поведінки, демонструють прагнення суб’єкта господарювання до залучення компетентних осіб, яким можна довіряти;
2. професійне орієнтування,
3. професійна підготовка та перепідготовка працівників. На підприємстві політика щодо підготовки персоналу, яка інформує про майбутні функції та обов’язки, може включати таку практику як курси з підготовки та навчальні семінари, що показує очікувані професійні рівні знань;
4. оцінка професійного рівня,
5. наставництво,
6. підвищення у посаді, яке визначається за результатами періодичних атестацій, забезпечує просування кваліфікованого персоналу на вищі посади з більшою відповідальністю;
7. виправні заходи.
Процес оцінки ризиків суб’єкта господарювання. Другим елементом системи внутрішнього контролю, який повинен дослідити аудитор, є процес оцінки ризиків суб’єкта господарювання.
Процес оцінки ризиків суб’єкта господарювання — це процес, який здійснюється управлінським персоналом підприємства для визначення ризиків бізнесу і необхідних заходів для їх зменшення (до прийнятного рівня) та отримання очікуваних результатів діяльності. Господарська діяльність пов’язана з різними видами ризиків внутрішнього та зовнішнього характеру, якими можна управляти. Оскільки економічні, галузеві, законодавчі та виробничі умови підприємства постійно змінюються, менеджменту також потрібно визначати та управляти ризиками, які є результатом цих змін.
Після визначення ризиків, які можуть впливати на діяльність підприємства, управлінський персонал розглядає їх суттєвість, імовірність і формує відповідні заходи, направлені на управління ними.
Такі заходи можуть полягати в розробці планів, програм або заходів, спрямованих на конкретні ризики, і може вирішити прийняти ризик з міркувань витрат або з інших міркувань.
Ризики можуть виникати або змінюватися відповідно до обставин, зокрема, таких як:
1. Зміни в зовнішньому середовищі, в якому функціонує підприємство. Зміни в регуляторному або в операційному середовищі можуть призвести до змін у конкурентному тиску і до появи суттєво відмінних ризиків.
2. Зміни у складі працівників. Нові працівники можуть мати інше розуміння внутрішнього контролю або зосереджуватися на інших його аспектах.
3. Впровадження нових або модернізація існуючих інформаційних систем. Суттєві або швидкі зміни в інформаційних системах можуть змінити ризики, пов’язані з внутрішнім контролем.
4. Швидкі темпи росту. Суттєве або швидке розширення діяльності може створити певне навантаження для контролю і збільшити ризик розвалу процедур контролю.
5. Впровадження нових технологій у процес виробництва або інформаційну систему.
6. Впровадження нового напрямку та нових форм ведення бізнесу, нового асортименту. Започаткування нового бізнесу або запровадження нових операцій, у сферах де відсутній досвід господарювання, може створити нові ризики, пов’язані з внутрішнім контролем.
7. Корпоративна реструктуризація. Реструктуризація (об’єднання підприємств, виділення підприємства, придбання дочірнього підприємства) може супроводжуватися скороченням або суттєвим розширенням персоналу і змінами у функції нагляду або розмежуванням обов’язків, що, у свою чергу, може змінити ризики, пов’язані з внутрішнім контролем.
8. Розширення закордонної діяльності. Розширення закордонної діяльності або придбання закордонних виробничих одиниць створює нові, часто унікальні ризики, які можуть вплинути на внутрішній контроль, наприклад, на появу додаткових або змінених ризиків у результаті операцій в іноземній валюті.
9. Застосування нових положень бухгалтерського обліку. Прийняття нових принципів бухгалтерського обліку може вплинути на ризики, пов’язані з підготовкою фінансових звітів.
Для цілей складання фінансової звітності процес оцінки ризиків суб’єкта господарювання, пов’язаний з тим, що на підприємстві проводиться визначення ризиків, які стосуються підготовки фінансових звітів, що дозволяє достовірно і справедливо відобразити наслідки діяльності підприємства, на підставі якої робиться оцінка суттєвості встановлених факторів ризику, оцінка ймовірності їх виникнення і прийняття відповідного рішення щодо заходів для управління такими ризиками. Іншими словами, система контролю на підприємстві повинна мати процедури оцінки ризику бізнесу, щоб мінімізувати помилки та зловживання.
Зі свого боку аудитори оцінюють ризики для визначення як обсягів, так і видів аудиторських доказів. Якщо система внутрішнього контролю ефективно оцінює та регулює ризики, аудитор, як правило, може отримати менше доказів для формування аудиторського висновку про фінансову звітність. Процедури оцінки ризиків для одержання аудиторських доказів щодо структури та реалізації на практиці відповідних заходів контролю можуть включати запити персоналу суб’єкта господарювання, спостереження застосування конкретних заходів контролю, перевірку документів та звітів, і відстеження операцій в інформаційній системі, пов’язаній з фінансовою звітністю. Для оцінки структури контролю, який є доречним для аудиторської перевірки, і для визначення його реалізації на практиці, одного тільки запиту недостатньо.
Інформаційні системи та обмін інформацією. Наступний, третій елемент системи внутрішнього контролю підприємства — це інформаційні системи, в тому числі, пов’язані з ними відповідні бізнес-процеси, що стосуються фінансової звітності, та обмін інформацією.
Інформаційні системи, які мають відношення до цілей фінансової звітності і включають систему бухгалтерського обліку, складаються з:
1. процедур та бухгалтерських записів, визначених для ініціювання, обліку,
2. обробки та подання у звітності операцій суб’єкта господарювання (разом з умовами та подіями),
3. а також процедур ведення обліку відповідних активів, зобов’язань та капіталу.
Господарські операції на підприємстві можуть ініціюватися в ручному або автоматичному режимі відповідно до застосовуваних процедур.
Наприклад, операція відпуску сировини зі складу може бути ініційована шляхом складання лімітно-забірної картки.
Після ініціювання операції починається процес її відображення в обліку, який включає виявлення і відображення відповідної інформації. Тобто відповідна кількість сировини за обліковою ціною списується зі складу у виробництво.
Наступний процес обробки інформації включає такі функції як редагування та підтвердження, обчислення, вимірювання, оцінка, підсумовування, узгодження процедур, здійснених в ході виконання автоматизованих процедур або в ручному режимі.
Заключним етапом е систематизація накопиченої та обробленої інформації на рахунках бухгалтерського обліку з подальшим її відображенням у показниках фінансової звітності.
Якість інформації, що її генерує система, впливає на здатність менеджерів приймати належні рішення в ході управління та контролю за діяльністю суб’єкта господарювання і готувати достовірні фінансові звіти.
Система накопичення та обробки інформації охоплює методи і записи, які:
1. Виявляють і відображають в обліку всі дійсні операції.
2. Своєчасно описують всі операції з достатнім рівнем деталізації, який дозволяє здійснювати належну класифікацію операцій для цілей фінансової звітності.
3. Оцінюють вартість операцій у спосіб, який дозволяє відображати їх належну грошову вартість у фінансових звітах.
4. Визначають відрізок часу, коли відбулася операція для забезпечення її відображення у відповідному обліковому періоді.
5. Подають належним чином операції і пов’язане з ними розкриття інформації у фінансових звітах.
Обмін інформацією передбачає те, що окремі працівники підприємства, які виконують завдання в системі внутрішнього контролю в процесі формування фінансової звітності, повинні чітко розуміти зв’язок їх інформаційної ділянки з роботою інших підрозділів підприємства. Відкритті канали обміну інформацією допомагають забезпечити інформування про надзвичайні випадки і вжиття відповідних заходів.
Реалізація на підприємстві процесу обміну інформацією може бути у таких форм як внутрішні інструкції з питань бухгалтерського обліку та фінансової звітності, службові записки, роз’яснення окремих питань та інші. Обмін інформацією може здійснюватися електронними засобами, в усній формі або через заходи управлінського персоналу.
В Україні нормативними документами не встановлено жорсткої регламентації щодо технологій організації системи бухгалтерського обліку на підприємстві, підприємство має право самостійно вибирати форми організації бухгалтерського обліку.
Тому на практиці структури облікових систем різних підприємств відрізняються одна від одної і залежать від характеру і складності господарських операцій відповідного підприємства.
Аудитор повинен отримати розуміння інформаційних систем (і як головного її складника є системи бухгалтерського обліку), в тому числі пов’язаних з нею бізнес-процесів, що стосуються фінансової звітності і передачі інформації, включаючи такі сфери:
1. класи операцій, здійснюваних на підприємстві, які є суттєвими для фінансових звітів,
2. процедури, ручні і здійснювані за допомогою інформаційних технологій, відповідно до яких операції ініціюють, відображають в обліку, обробляють та відображають у фінансових звітах,
3. відповідні бухгалтерські записи, зроблені вручну або електронним способом, які супроводжують інформацію, та конкретні рахунки у фінансових звітах щодо ініціювання, відображення в обліку, обробки та відображення у звітності операцій,
4. спосіб, в який інформаційна система відображає події та умови, інші ніж класи операцій, що є суттєвими для фінансових звітів,
5. процес підготовки фінансових звітів на підприємстві, в тому числі суттєві облікові оцінки та розкриття облікової інформації.
Процедури контролю. Здійснення контролю передбачає використання спеціальних процедур, до яких належать:
1. санкціонування господарських операцій,
2. розподіл прав, обов’язків та відповідальності,
3. обмеження доступу до активі та їх фізичний контроль,
4. перевірка результатів діяльності.
Санкція (дозвіл) на здійснення господарської операції є обов’язковим реквізитом будь-якого первинного документа. Відомо, що кожний первинний документ має бути підписаним відповідальною особою, яка має повноваження здійснювати відповідну господарську операцію, або її контролює.
Реалізація на практиці процедур, направлених на розподіл прав, обов’язків та відповідальності, повинна здійснюватися на таких засадах:
1. необхідно розподіляти відповідальність між різними особами чи підрозділами за виконання господарської операції. Наприклад, менеджер відділу збуту визначає, кому, в якій кількості та за яку ціну відвантажити готову продукцію, що фіксує у накладній на відвантаження. Комірник складу готової продукції на підставі отриманого від покупця доручення та сформованої у відділі збуту накладної здійснює відвантаження відповідних матеріальних цінностей, про що розписується у накладній. Бухгалтер відображає відповідну операцію на рахунках бухгалтерського обліку.
2. розподіл відповідальності за виконання різних етапів здійснення господарської операції,
3. розподіл відповідальності під час ведення облікових реєстрів та складання звітності.
З процедурами розподілу прав, обов’язків та відповідальності тісно пов’язані процедури обмеження доступу до активів та їх фізичного контролю.
Обмеження доступу до активів реалізується двома шляхами: укладення договорів про матеріальну відповідальність та затвердження переліку осіб, які мають право давати дозвіл на здійснення господарських операцій, пов’язаних з використання грошових коштів та матеріальних цінностей.
Особливе місце в комплексі процедур, направлених на здійснення фізичного контролю, належить інвентаризації. Нормативними документами в Україні регламентовані процедури проведення інвентаризацій. Визначаються випадки, коли інвентаризація проводиться обов’язково.
Фізичний контроль направлений на забезпечення фізичної безпеки активів підприємства, в тому числі захист приміщень від несанкціонованого доступу до активів і бухгалтерських записів; санкціонування доступу до комп’ютерних програм та файлів з даними; періодичний підрахунок і порівняння з сумами, відображеними в контрольних записах (наприклад, порівняння результатів фізичної інвентаризації готівкових коштів, цінних паперів та запасів з обліковими записами).
Перевірка результатів діяльності включає такі процедури контролю, які направлені на:
1. перевірку та аналіз фактичних результатів діяльності у порівнянні з бюджетом, прогнозом та результатами діяльності попередніх періодів;
2. розгляд і порівняння відповідних категорій даних — операційного або фінансового характеру, разом з аналізом зв’язку та заходів з вивчення певних причин і заходів для виправлення ситуації;
3. порівняння внутрішніх даних з даними із зовнішніх джерел інформації;
4. перевірку результатів за певними видами діяльності, таких як перевірка кредитної діяльності (наприклад, схвалення та повернення кредитів) менеджером відділу споживчих кредитів банку згідно зі звітами, наданими відділеннями, регіонами, або звітами за видом кредитування.
Моніторинг заходів контролю. Важливим обов’язком управлінського персоналу є визначення і дотримання внутрішнього контролю на безперервній основі.
Моніторинг заходів контролю з боку управлінського персоналу включає перевірку його функціонування згідно з визначеними завданнями і цілями і внесення належних змін до нього відповідно до змін в обставинах. Моніторинг заходів контролю може включати такі види діяльності як перевірка управлінським персоналом вчасності узгодження рахунків з банком, оцінку внутрішніми аудиторами дотримання персоналом з продажу політики суб’єкта господарювання щодо контрактів з продажу і нагляд юридичного відділу за дотриманням норм професійної етики або практики ведення бізнесу суб’єкта господарювання.
Моніторинг заходів контролю є процесом, спрямованим на оцінку результатів здійснення внутрішнього контролю за певний відрізок часу.
Він передбачає оцінку структури та функціонування процедур контролю на своєчасній основі і вжиття необхідних виправних заходів. Моніторинг здійснюється в цілях забезпечення подальшої ефективності в реалізації заходів контролю. Наприклад, якщо не здійснювати моніторингу своєчасності та точності узгодження рахунків з банком, персонал, ймовірно, припинить виконання цієї роботи.
Безперервна діяльність з моніторингу є невід’ємним складником звичайної регулярної діяльності підприємства і включає регулярне управління та нагляд. Менеджери з продажу, придбання, виробництва на рівні відділів і на корпоративному рівні, які постійно беруть участь у процесі прийняття управлінських рішень, можуть ставити питання щодо інформації, яка міститься у звітних даних і які суттєво відрізняється від їх знання щодо результатів діяльності.
На підприємствах внутрішні аудитори або інший управлінський персонал, який виконує функції контролю, робить свій внесок до процесу моніторингу заходів контролю. Наприклад, вони можуть регулярно надавати інформацію щодо ефективності функціонування внутрішнього контролю, зосереджуючи значну увагу на оцінці структури і на діяльності внутрішнього контролю. Вони можуть визначати сильні і слабкі сторони, надавати рекомендації щодо вдосконалення внутрішнього контролю.
Діяльність з моніторингу може включати використання інформації, отриманої із зовнішніх джерел, яка може вказувати на наявність проблем, або висвітлювати певні ділянки, які слід вдосконалити. Клієнти підприємства можуть підтверджувати дані виставлених рахунків шляхом оплати своїх рахунків-фактур або шляхом оскарження нарахованих сум.