ЛЕКЦІЯ 3

До дисципліни “Фінансовий контроль і аудит”

Організація внутрішнього аудиту на підприємстві.

1. Необхідність побудови на підприємстві ефективної системи

внутрішнього контролю
2. Модель COSO.
3. Оцінка елементів внутрішнього середовища, ефективності
функціонування внутрішнього контролю.
4. Внутрішній аудит в системі внутрішнього контролю.

1 Необхідність побудови на підприємстві ефективної системи

внутрішнього контролю

Об'єктивна необхідність побудови на підприємстві ефективної

системи внутрішнього контролю зумовлена такими причинами:
1) Ефективне управління корпорацією неможливе без
об'єктивної і надійної інформації про стан підприємства, його
активи зобов'язання;
2) Відповідальність за ведення бухгалтерського обліку та
достовірність фінансової звітності покладається на вище
керівництво корпорації;
3) Забезпечення збереження активів і документальне
забезпечення відображення господарських операцій є
питанням існування корпорації.
Система внутрішнього контролю – це процес:
 розроблений та здійснюваний персоналом, наділеним
керівними повноваженнями;
 призначений, щоб забезпечити розумну та достатню
впевненість в досягненні мети корпорації відносно
достовірності фінансової звітності та відповідності
законодавству та нормативним актам.
 Внутрішнім контролем вважається система контролю діяльності
підприємства. Спочатку ця система представляла сукупність трьох
елементів:
- розподіл повноважень,
- ротація персоналу;
- використання і аналіз облікових записів.
Пізніше функції внутрішнього контролю були розширені і
перетворені в організацію і координування дій, які спрямовані на
забезпечення схоронності активів, перевірку надійності облікової
інформації, підвищення ефективності операцій, дотримання
запропонованої політики процедурам компанії.

Таким чином, з появою нових функцій внутрішнього контролю, він

був виведений за рамки кола питань, що відносяться виключно до
бухгалтерського обліку. На сьогоднішній день внутрішній контроль є
процесом, який спрямований на досягнення цілей підприємства і який є
результатом дій керівництва щодо планування, організації та
моніторингу діяльності підприємства.

Існує низка міжнародних актів, що регулює наявність систем

внутрішнього контролю:

Модель COSO  Внутрішній контроль - інтегрована модель

(COSO), 1992 р.;
 Управління ризиками - інтегрована модель
(COSO ERM), 2004 р.;
 Оновлена інтегрована модель внутрішнього
контролю (COSO IC-IF)2013р.

Базельський Комітет з  Система внутрішнього контролю у банках:

банківського нагляду основи організації (вересень 1998 р.);
 Внутрішній аудит у кредитних організаціях та
відносини регулюючих органів з внутрішніми та
зовнішніми аудиторами (липень 2000 р.);
 Вдосконалення корпоративного управління в
банківських організаціях (2010 р.);
 Функція внутрішнього аудиту в банках (2012 р.);
 Зовнішній аудит у банках (2014 р.).

Акт Сарбейнса-Окслі,  розділ 302;

 2002 (США)
 розділ 404.

Принципи ОЕСР,
2004

Об'єднаний кодекс  Доповідь Cadbury 1992

Великобританії, 2003  Доповідь Geenbury 1995
 Доповідь Hampel 199
 Пояснюючі документи:
 Інструкція Turnbull по створенню системи
внутрішнього контролю
 Інструкція Smith по організації діяльності
комітетів з аудиту
 Доповідь Higgs по забезпеченню ефективного
корпоративного управління

В Україні є національні положення та акти, що регулюють побудову

внутрішнього контролю на підприємстві.
Законодавство в контексті побудови внутрішнього контролю України:
1) Ст. 26 Бюджетного кодексу України;
2) Стратегія розвитку системи управління державними
фінансами та план заходів з реалізації її положень
(розпорядження Кабміну від 08.02.2017 року №142-р).
3) Концепція розвитку державного внутрішнього фінансового
контролю на період до 2020 року (розпорядження Кабміну
від 10 травня 2018 р. № 310-р).
4) Методичні рекомендації з організації внутрішнього контролю
розпорядниками бюджетних коштів у своїх закладах та у
підвідомчих бюджетних установах (наказ Мінфіну від
14.09.2012 р. №995);
5) Положення про організацію внутрішнього аудиту в банках
України, НБУ №311, 10.05.2016 р.
Міжнародні основи професійної практики внутрішнього аудиту
складаються з трьох частин різного ступеня обов'язковості і включає в
себе:
1) Визначення внутрішнього аудиту, яким задається мета,
встановлюються характер, зміст і обсяг внутрішнього аудиту.
 2) Кодекс етики, яким встановлено принципи й очікування, що
визначають поведінку людей організацій при проведення
внутрішнього аудиту.
3) Міжнародні стандарти професійної практики внутрішнього
аудиту. Стандарти викладені як принципи і являють собою
основу для проведення внутрішнього аудиту.
Визначення внутрішнього аудиту, згідно з баченням Інституту
внутрішніх аудиторів полягає в наступному:
Внутрішній аудит – це незалежна об'єктивна діяльність з надання
впевненості та консультаційних послуг, що має приносити впевненість
організації та покращувати її діяльність.
Внутрішній аудит допомагає організації досягти поставлених цілей за
допомогою системного упорядкованого підходу до оцінки і підвищення
ефективності процесів управління ризиками, контролю і корпоративного
управління.
Структура Кодексу етики внутрішніх аудиторів складається із
чотирьох взаємопов'язаних частин:
 Вступ;
 Сфера застосування та дії;
 Принципи;
 Правила поведінки.
Термін «внутрішній аудит» охоплює членів Інституту внутрішніх
аудиторів, сертифікованих Інститутом, кандидатів та їх отримання, а
також тих професіоналів, що надають послуги, зазначені в визначенні
дефініції «внутрішній аудит».
Правила поведінки деталізують принципи етики і є тотожними з
етичними принципами інших професій профільного спрямування:
- Чесність;
- Об'єктивність;
- Конфіденційність;
- Професійна компетентність;
- Незалежність;
- Професіоналізм.

2. Модель COSO.
 Об'єктами системи внутрішнього контролю є:
1) стратегічні завдання та цілі;
2) фінансова звітність;
3) господарські операції;
4) підпорядкування діяльності корпорації чинному законодавству.
Для забезпечення єдиних міжнародних правил управління
корпораціями був створений Комітет організацій-спонсорів Комісії
Тредвея (штаб-квартира США). Скорочено комітет має назву COSO. Цей
комітет розробив загальну модель внутрішнього контролю , в порівнянні з
якою компанії та організації мають можливість оцінити власне системне
управління.

Комісія Тредвея організована та фінансується п’ятьма професійними

організаціями:
 Американський Інститут сертифікованих бухгалтерів (АІСРА);
 Американська асоціація бухгалтерів (ААА);
 Міжнародна асоціація фінансових керівників (FEI);
 Інститут внутрішніх аудиторів (ІІА);
 Інститут бухгалтерів по управлінському обліку (ІМА).
 Комісія створена у 1985 році, її першим керівником був Джеймс С.
Тредвей-молодший, виконавчий віце-президент та генеральний радник
Paine Webber Incorporated та бувший комісар США по цінним паперам та
біржам.
Через марнозначність політики окремих компаній в галузі
корпоративних фінансів та випадків міжнародної корупції в середині 1970-
х років комісія по цінним паперам та біржам (SEC) та Конгрес США
розпочали реформування корпоративного фінансового права, що призвело
до прийняття Закону США «Про корупцію за кордоном США», який
визнав злочином транснаціональне хабарництво і поставив вимогу до
корпорацій обов'язковість введення систем внутрішнього контролю. Саме
ці події і викликали створення Комісії Тредвея, основним завданням якої є
вивчення, аналіз та підготовка рекомендацій з питань шахрайства в
корпоративній фінансовій звітності.
Концептуальні основи моделі COSO включають в себе такі поняття:
1) Внутрішній контроль – це є процес. І це є засіб досягнення
цілей, а не самоціль.
2) Внутрішній контроль залежить від людей, відповідно має бути
врахований людський фактор, так званий «ексцес виконавця».
3) Внутрішній контроль може забезпечити лише достатню
впевненість, а не абсолютну гарантію.
4) Внутрішній контроль направлений на досягнення стратегічної
мети або окремих її елементів, що пересікаються між собою.
Модель COSO визначає внутрішній контроль як процес, який
здійснюється Радою директорів, менеджментом та іншим персоналом
компанії, призначений для забезпечення розумної (прийнятної)
впевненості відносно досягнення мети в наступних категоріях:
 Ефективність та продуктивність операцій;
 Надійність фінансової звітності;
 Виконання законів та правил.
Модель COSO містить п'ять базових компонентів:
1) Внутрішнє (контрольне) середовище;
2) Оцінка ризиків;
3) Засоби контролю;
4) Інформація та комунікації;
 5) Моніторинг.
Внутрішній контроль як процес є різновидом людської діяльності,
яка передбачає можливість помилки в процесах або судженнях.
 В 2001 році COSO (Комісія Тредвея) ініціювала проект по розробці
концептуальних засад управління ризиками при оцінці системи урпавління
корпорацією. Наслідком реалізації цього проекту став Закон Сорбейнса-
Окслі.
Концептуальна основа моделі COSO базується на чотирьох
категоріях:
 Стратегічні цілі (направлені на генерування глобальних цілей
та задач);
 Операційні цілі (направлені на ефективне використання
ресурсів);
 Облікові цілі (направлені на створення прийнятних облікових
політик);
 Законодавчі цілі (направлені на дотримання вимог діючого
законодавства).

Визначають 8 компонентів управління ризиками діяльності

корпорації.
 Ці вісім компонентів дозволяють визначити прямий взаємозв'язок між
компонентами системи управління та цілями, які будуть задовольняти
потребу (необхідність) введення нових законів, нормативних актів та
нових вимог щодо реєстрації цінних паперів на фондових біржах та очікує,
що вона отримує широке визнання із сторони компаній та інших
організацій, зацікавлених сторін.
В січні 2009 року COSO опублікувало Управління по моніторингу
системи внутрішнього контролю, з метою конкретизації функції
моніторингу компонентів внутрішнього контролю.
Управління COSO по моніторингу засноване на двох
фундаментальних принципах, закладених COSO ще в 2006 році:
 Постійні або разові оцінки дозволяють керівництву визначити
чи функціонують інші компоненти внутрішнього контролю на
протязі всього часу.
 Недоліки внутрішнього контролю, виявлені та своєчасно
доведені до відповідальних осіб.
 Крім того, модель COSO передбачає створення сприятливого
середовища для впровадження моніторингу, яке включає:
 Правильний настрій серед керівництва.
 Ефективну організаційну структуру.
 Відправну позицію та базовий рівень відомих ефективних
елементів внутрішнього контролю.

3 Оцінка елементів внутрішнього середовища, ефективності

функціонування внутрішнього контролю.
Система внутрішнього контролю (далі – СВК) існує не абстрактно, а
завжди в якомусь конкретному середовищі, яке значною мірою залежить
від позиції власників, вищого керівництва і директорів по відношенню до
її створення і функціонування. На підприємстві вона складається з
наступних трьох укрупнених елементів: системи бухгалтерського обліку;
контрольного середовища; засобів контролю.
Розглянемо спочатку поняття “контрольне середовище”. Перш за
все, зазначимо, що правильно слід писати “середовище контролю”.
Середовище – це оточення, сукупність природних умов, в яких
здійснюється діяльність людського суспільства, організмів.
Навколишнє середовище – це середовище існування та виробництва,
діяльності людини. Під терміном “навколишнє середовище” зазвичай
розуміють природне середовище, що оточує людину; нерідко до цього
поняття включають елементи штучного середовища (будинки, промислові
підприємства, канали, водосховища і т.д.
Поняття середовища є найважливішою категорією системного
аналізу, який розглядає, зокрема, людську діяльність як складну систему.
Зовнішнє середовище визначається як сукупність об’єктів/суб’єктів, що не
входять до системи, зміна властивостей і/або поведінка яких впливає на
систему, що вивчається, а також тих об’єктів/суб’єктів, властивості яких
і/або поведінка яких змінюються в результаті поведінки системи.
Середовище і об’єкти/суб’єкти, її складові, можуть бути по
відношенню до системи дружніми, конкурентними, ворожими або
байдужими. Звідси, середовище контролю – це сукупність передумов, в
яких здійснюється внутрішній контроль. Не можна висловлюватися
“контрольне середовище”, адже мова йде не про об’єкти контролю, а про
умови, які повинні бути створені для здійснення внутрішній контроль.
Насправді середовище контролю – це ті обставини, умови, які
надають можливість здійснювати внутрішній контроль. Його не слід
плутати з об’єктами контролю. Якщо такі умови не створені, система діяти
не буде. Не можна також змішувати об’єкти контролю та умови для його
здійснення. Внутрішнє середовище підприємства – це сукупність агентів,
що діють усередині підприємства, і їх стосунків, що виникли в процесі
фінансово-господарської діяльності.
Визначається внутрішнє середовище підприємства безліччю
чинників, які теж називаються внутрішніми, оскільки формуються самим
підприємством в процесі його діяльності, роблячи вплив і на її результати,
і на перспективи розвитку. Середовище контролю значною мірою
залежить від структури системи управління.
Під контрольним середовищем зазвичай розуміється рівень
обізнаності співробітників підприємства і дії керівництва, направлених на
встановлення і підтримку середовища внутрішнього контролю, а також
усвідомлення ними важливості такої системи.
Середовище контролю передбачає розробку нормативів,
регламентаційних документів, визначення завдань і повноважень окремих
працівників апарату управління. У цих документах чітко прописують, як
проходить затвердження і яким чином приймається будь-який документ.

Основною метою та завданням такої системи є: організація

комунікативних зав'язків між структурними одиницями (підрозділами)
корпорації, обмін та аналіз інформацією з метою виявлення можливих
ризиків та недоліків роботи системи управління корпорацією.
Система внутрішнього контролю – це всі внутрішні правила та
процедури контролю запроваджені керівництвом для забезпечення
стабільного й ефективного функціонування підприємства та активів.
Включає в себе наступні елементи управління:
- Дотримання внутрішньої господарської політики;
- збереження та раціональне використання активів;
- точністю і повнотою бухгалтерських записів;
- своєчасною підготовкою фінансової інформації, запобігання
фальсифікаціям.

Принципово важливим для забезпечення успішного розвитку будь-

якої компанії, досягнення нею стратегічних і інших цілей є створення
такого внутрішнього середовища, яке дозволить активно і ефективно
управляти результативністю роботи на всіх рівнях: від окремого
працівника до компанії в цілому. Поведінка керівництва компанії має бути
направлена на мотивацію, задоволеність та продуктивність праці
персоналу з метою досягнення цілей компанії.
 Контрольне середовище включає наступні питання:

1. Питання, що стосуються процесу повідомлення інформації та

забезпечення дотримання професійної чесності й етичних цінностей.
 2. Питання, які стосуються рівня компетентності для певних посад та
необхідних навичок і знань.

3. Питання, які стосуються тих, кого наділено найвищими

повноваженнями, а саме їх:

- незалежності від управлінського персоналу;

- досвіду і статусу;

- ступені участі та отримуваної інформації, а також ретельного

розгляду діяльності;

- прийнятності дій, включаючи рівень, до якого піднімаються та

відпрацьовуються з управлінським персоналом складні питання.

4. Питання, які стосуються філософії та стилю роботи

управлінського персоналу (у тому числі підхід до прийняття бізнес-
ризиків та управління ними; ставлення та дії стосовно фінансового
звітування; ставлення до обробки інформації, облікової діяльності та
персоналу бухгалтерії).

5. Питання, які стосуються організаційної структури, що є основою,

в рамках якої плануються, виконуються, контролюються та перевіряються
дії, направлені на досягнення поставлених цілей підприємства.

6. Питання, які стосуються повноважень і відповідальності, а саме, у

який спосіб надаються повноваження та відповідальність за операційну
діяльність і як встановлюються ієрархічні відносини щодо звітування та
надання дозволів.

7. Питання, які стосуються кадрової політики (найм, профорієнтація,

професійна підготовка, оцінка, консультування, просування по службі,
компенсації та винагороди і виправлення проблем, що виникають на
робочих місцях).

Отримання аудитором розуміння по цьому компоненту

допомагає в оцінюванні, чи :
 - створена і чи підтримується на підприємстві культура чесності і
етичної поведінки;

- належний рівень компетентності у певних посад;

- створюють елементи контрольного середовища фундамент для

побудови інших компонентів внутрішнього контролю.

Аудитору потрібно брати до уваги, що контрольне середовище

малого підприємства та великого суб’єкта господарювання буде завжди
відрізнятися. Також мале підприємство скоріш за все не буде мати
документальних доказів створення середовища контролю. Проте, аудитору
все одно важливим є отримати розуміння щодо ставлення, інформованості
та дії управлінського персоналу або власника-керівника.

Процес оцінки ризиків підприємства

Оцінка ризиків включає в себе динамічний і ітеративний процес

ідентифікації, оцінки та аналізу ризиків, плануванню заходів по їх
зменшенню, вибору і використанню методів нейтралізації їх негативних
наслідків. Такі ризики розглядаються у відношенні з встановленим рівнем
толерантності до ризику. Отже, оцінка ризиків створює основу для
визначення підходів управління ними. В свою чергу процес управління
ризиками підприємства також можна поділити на компоненти, які є
взаємозалежними:

• Внутрішнє середовище. Це та атмосфера на підприємстві, яка

визначає, яким чином ризик сприймається співробітниками підприємства,
і як вони на нього реагують.
• Постановка цілей підприємства. Цілі визначаються до того, як
керівництво почне виявляти події, які потенційно можуть вплинути на їх
досягнення.
• Визначення подій. Події (внутрішні та зовнішні), що впливають на
досягнення цілей підприємства.
• Оцінка ризиків. Ризики аналізуються з урахуванням ймовірності їх
виникнення та впливу (наслідків) з метою визначення того, які дії щодо
них необхідно зробити. Для оцінки ризиків одні підприємства
використовують градацію «високий-низький», інші підприємства
застосовують систему «світлофора» - червоний, жовтий, зелений, або
кількісні показники, наприклад, відсоток.
• Реагування на ризик. Підприємство вибирає метод реагування на
ризик (приміром, ухилення від ризику, прийняття, скорочення або
перерозподіл ризику) та розробляє ряд заходів, які дозволять привести
виявлений ризик у відповідність з допустимим рівнем ризику.
• Засоби контролю. Розроблені політики і процедури з метою
забезпечення «розумної» гарантії того, що реагування на ризик
відбувається ефективно і своєчасно.
• Інформація і комунікації. Встановлюється процес фіксації і
передачі необхідної інформації в такій формі і в такі терміни, які
дозволяють співробітникам виконувати їх функціональні обов'язки
належним чином. Також повинен бути забезпечений ефективний обмін
інформацією в рамках підприємства як по вертикалі зверху вниз і знизу
вгору, так і по горизонталі.
• Моніторинг. Весь процес управління ризиками підприємства
відстежується і в разі потреби коригується.

Система внутрішнього контролю виходить за межі бухгалтерського обліку

та містить:
a) середовище контролю;
б) специфічні заходи.
Середовище контролю – середовище де безпосередньо відбуваються
господарські операції, забезпечення їх виконання та документування.
Специфічні заходи контролю мають забезпечити:
-процес оцінки ризиків суб’єкта господарювання;
- заходи контролю;
- моніторинг заходів контролю.

Для забезпечення заходів контролю передбачають:

 періодичне зіставлення, аналіз та перевірку облікових
записів;
  контроль за дотриманням умов функціонування операційних
систем;
 контроль дотримання вимог законодавства і відповідність
внутрішніх правил та облікових політик законодавчим
вимогам;
 фінансовий аналіз діяльності як корпорації в цілому, так і
окремих її структурних підрозділів.
В обмеженому розумінні, пострадянського стилю управління
контрольне середовище, забезпечує розподіл несумісних функцій, що
дозволяють керівникам всіх рівнів ухвалювати комплексні управлінські
рішення, що стосуються, в першу чергу, використання активів організації.
Під несумісними функціями тут розуміються ті з них, зосередження
яких у однієї особи в будь-яких комбінаціях може сприяти здійсненню
ним випадкових або умисних помилок, а також ускладнювати їх
виявлення. Сюди слід віднести:
1) безпосередній доступ до активів;
2) дозвіл на здійснення операцій з активами;
3) безпосереднє здійснення господарських операцій;
4) відображення господарських операцій в бухгалтерському обліку”
Такий підхід на сьогодні є дещо застарілим. Для кожного
підприємства є межі, що розділяють діяльність на внутрішнє і зовнішнє
середовище. Ця межа повинна ідентифікувати підприємство не тільки в
геометричному просторі, але і в просторі різноманітних функцій. У свою
чергу для цього потрібне достатньо повне вирішення питання про те, “з
чого складається” підприємство та його оточення. Тобто середовище
контролю охоплює не лише взаємовідносини на самому підприємстві але
й відносини із зовнішнім світом, із контрагентами, із контролюючими
органами, тощо.
Завдання розвитку системної парадигми стосовно підприємства
вимагає вирішення питання про внутрішній зміст підприємства на базі
системних принципів та оточуюче середовище яке прямо впливає на
життя підприємства.
Системою внутрішнього контролю є сукупність організаційних
методик і процедур, що застосовується керівництвом суб’єкта для
упорядкованого й ефективного ведення господарської діяльності. В цьому
повинна бути суцільна заінтересованість усього колективу підприємства,
його власників та керівників у створенні позитивного середовища
контролю, в якому б формувалися передумови його розвитку та
удосконалення.
 Середовище контролю – це умови, дисципліна, відповідний
порядок, які створені власником (керівником) для забезпечення всім без
винятку рівних можливостей з виконання функцій контролю у
відповідності до встановлених положеннями чи інструкціями обов’язками
(функціональний контроль).
В рівній мірі це стосується і інституційного контролю. Стосовно
середовища контролю то тут існують такі поняття, як “фактори” й
“елементи”. Їх не слід ототожнювати, адже елемент – то є складова будь-
чого цілого, а фактор – умова, рушійна сила, причина якогось процесу.
Термін “передумови” ми зв’язуємо з існуванням своєрідної для
системи контролю інфраструктури, у якій він функціонує, та з
необхідністю підсилення впливової значущості терміну “фактори” для
підвищення ефективності внутрішнього контролю.
Важливе, навіть вирішальне, місце відводиться передумовам,
зауважуючи, що можна мати гарні теоретичні рішення і методики, але не
мати ефективної організації оперативного контролю, якщо не налагоджене
оперативне планування, діють застарілі норми витрат матеріалів і розцінки
на заробітну плату, облікова інформація недостовірна і створюється
несвоєчасно, недосконала організаційна структура управління і т.п.
Несвоєчасно отримана інформація унеможливлює прийняття правильного
управлінського рішення.
Управлінський персонал може ініціювати плани, програми чи дії
щодо розгляду певних ризиків або може ухвалити рішення про прийняття
ризику в зв’язку з витратами або з інших міркувань.
Ризики можуть виникати або змінюватися внаслідок таких обставин:
- зміни в операційному середовищі;
- новий персонал;
- нові або модернізовані інформаційні системи;
- швидке зростання;
- нова технологія;
- нові бізнес-моделі, продукти або види діяльності;
- корпоративна реструктуризація;
- розширення закордонної діяльності;
- нові стандарти бухгалтерського обліку.
Інформаційна система, включаючи пов’язані бізнес-процеси,
важливі для фінансового звітування та повідомлення інформації.
Інформаційна система складається:
- з інфраструктури (фізичні та апаратні компоненти);
- програмного забезпечення;
- людей, що забезпечують роботу інформаційної системи;
- процедур і даних.
Інформаційна система, що включає в себе систему фінансового
звітування, охоплює такі методи та записи, що:
 - ідентифікують та реєструють усі чинні операції;
- своєчасно описують операції з достатнім рівнем деталізації;
- оцінюють вартість операцій;
- визначають період часу, протягом якого відбувалися операції;
- належно описують операції та розкриття пов’язаних даних.

4 Внутрішній аудит в системі внутрішнього контролю.

Внутрішній аудит складається з наступних елементів:
 системи внутрішнього контролю корпоративної установи;
 фінансової та господарської інформації;
 економічності та продуктивності діяльності корпоративної
установи;
 контролю за дотриманням законів, нормативних актів, інших
зовнішніх вимог.

Функції внутрішнього аудиту полягають у поліпшенні контролю

всередині підприємства та виконанні захисної ролі, пов’язаної із
збереженням активів, отриманням точної інформації про наявність майна
власника.
Співпраця зовнішнього аудитора з внутрішнім регулюється
Міжнародними стандартами аудиту, зокрема МСА 315 “ Ідентифікація та
оцінювання ризиків суттєвого викривлення через розуміння суб’єкта господарювання ”,
МСА 610 “ Використання роботи внутрішніх аудиторів”.
Ціллю аудитора є ідентифікація ризиків суттєвого викривлення
внаслідок шахрайства чи помилки на рівні фінансового звіту та тверджень
через розуміння суб’єкта господарювання і його середовища, включаючи
його внутрішній контроль. Така ідентифікація ризиків забезпечує основу
для розробки і впровадження дій у відповідь на оцінені ризики.
Процедури, що їх виконують аудитори в процесі оцінки ризиків
полягають в отриманні розуміння суб’єкта господарювання, його
середовища, в тому числі системи внутрішнього контролю, що має
забезпечити ідентифікацію та визначення ризиків суттєвого викривлення
внаслідок шахрайства або помилки.
Для такої ідентифікації аудитор повинен отримати розуміння
внутрішнього контролю доречного для аудиту і в цьому йому в нагоді
виступають внутрішні аудитори.
 Аналітичні процедури, виконані як процедури оцінки ризиків, можуть
ідентифікувати ті аспекти діяльності суб’єкта господарювання, про які
аудитор не знав, і можуть допомогти при оцінці ризиків суттєвого
викривлення у створенні основи для розробки і впровадження дій у
відповідь на такі оцінені ризики.
Якщо з відповідей на запити аудитора стає відомо про наявність
інформації, яка може бути доречною для фінансового звітування суб’єкта
господарювання й для аудиту, аудитор може дійти висновку про
необхідність ознайомлення з відповідними звітами внутрішніх аудиторів.
Прикладами звітів внутрішніх аудиторів , які можуть виявитися
доречними, будуть їхні документи із стратегії планування і звіти з
результатами обстежень, виконаних внутрішнім аудитором, які готувалися
для управлінського персоналу та тих кого наділено найвищими
повноваженнями.
Підрозділи внутрішнього аудиту мають забезпечити належні заходи
контролю на підприємстві. Для забезпечення такого контролю внутрішні
аудитори виконують наступні завдання:
 оцінка ефективності системи внутрішнього контролю;
 сприяння керівництву підприємства в удосконаленні бізнес-процесів;
 допомога керівництву підприємства в реалізації обраної стратегії
бізнесу;
 забезпечення наглядової ради достовірною інформацією та підготовка
пропозицій щодо вдосконалення діяльності товариства за результатами здійснення
внутрішнього аудиту;
 оперативне надання органам управління товариства якісних
рекомендацій щодо усунення недоліків, які виявляються в процесі внутрішнього
аудиту та здійснення контролю за усуненням цих недоліків;
 оцінка способів та методів, що застосовуються для складання
звітності товариством;
 оцінка надійності інформаційних систем та систем контролю за їх
функціонуванням, перевірка забезпечення комп’ютерної безпеки;
 оцінка достовірності, повноти, об’єктивності системи
бухгалтерського обліку та фінансової звітності;
 оцінка дотримання товариством вимог законодавства України і оцінка
адекватності систем і процедур, які створені і застосовуються для забезпечення
відповідності цим вимогам (комплайнс-контроль);
 оцінка ефективності використання ресурсів товариства та системи і
методів (способів) забезпечення збереження майна акціонерного товариства;
 оцінка вдосконалення процесу корпоративного управління в товаристві;
 здійснення внутрішнього аудиту фінансово-господарської діяльності
товариства шляхом проведення об’єктивної та неупередженої перевірки і оцінки
фінансової, операційної та інших систем і процедур товариства;
 оцінка економічної ефективності діяльності товариства, включаючи
перевірку не фінансових методів контролю;
 аналіз дотримання обраної товариством політики, внутрішніх
положень та інших внутрішніх процедур;
  оцінка ефективності виконання виконавчим органом та працівниками
товариства покладених на них обов’язків та підготовка рекомендацій щодо її
підвищення.
 ефективна взаємодія із зовнішніми аудиторами відповідно до
законодавства України.

- огляди результатів. Включає в себе огляди та аналізи фактичних

результатів порівняно з бюджетами (плановими показниками);
- обробка інформації. Двома великими групами заходів контролю
щодо інформації систем є заходи контролю прикладних програм, які
застосовуються до обробки окремих прикладних програм та загальні
заходи контролю ІТ;
- фізичні заходи контролю. Ці заходи охоплюють:
- фізичний захист активів;
- надання дозволів та доступу до комп’ютерних програм;
- періодичний підрахунок та порівняння.
Фізичні заходи контролю призначені для запобігання викрадення
активів, для достовірності фінансової звітності і відповідно аудиту.;
 - розподіл обов’язків. Призначений для зменшення можливостей, які
дають змогу будь-якій особі обіймати посаду, що дозволяє їй робити та
приховувати помилки або шахрайські дії.
Об'єкти внутрішнього аудиту визначаються особливостями суб’єкту
господарювання та особливостями в управлінні.
При отриманні заходів контролю, що є доречними для аудиту,
аудитор повинен оцінити їх структуру та визначити чи були вони
впроваджені через виконання відповідних процедур.
Одним із важливих заходів контролю в роботі внутрішнього
аудитора є забезпечення моніторингу заходів контролю.
Важливою функцією відповідальності управлінського є
встановлення та ведення внутрішнього контролю на постійній основі.
Моніторинг заходів контролю управлінським персоналом включає
аналіз того, чи працюють вони відповідно до очікувань і чи
модифікуються вони відповідно до наявних умов.
Моніторинг заходів контролю може включати такі дії:
- перевірка управлінським персоналом, чи готується вчасно звірка
банківських виписок;
-дотримання персоналом з продажу політики суб’єкта
господарювання в частині положень про договори купівлі-продажу;
- нагляд за дотриманням етичних та бізнес-норм суб’єкта
господарювання.
Внутрішні аудитори сприяють моніторингу заходів контролю
суб’єкта господарювання, здійснюючи індивідуальні оцінки. Зазвичай
вони регулярно надають інформацію щодо функціонування внутрішнього
контролю, приділяючи значну увагу оцінці ефективності внутрішнього
контролю, а також інформації про переваги та недоліки внутрішнього
контролю. За результатами моніторингу внутрішнього контролю
внутрішні аудитори надають рекомендації щодо його поліпшення.
З метою використання роботи служби внутрішнього аудиту (СВА)
зовнішній аудитор повинен обговорити з ними сплановане використання
роботи як основу для координації відповідної діяльності.
Служба внутрішнього аудиту (СВА) в своїй діяльності має бути
незалежною від інших служб, а саме:
1.СВА повинна бути незалежною від тих осіб, роботу яких вона
перевіряє; результати перевірки, проведеної СВА, повинні оцінюватися як
менш об’єктивні, якщо оплата праці працівників СВА якимсь чином
залежить від підсумків діяльності, яка є об’єктом перевірки СВА.
 2. СВА не повинна вимагати виконання своїх рекомендацій
(пропозицій), а також не повинна бути відповідальною за організацію та
наслідки їх впровадження.
3. З метою дотримання принципів об’єктивності та незалежності
у процесі виконання своїх функцій, працівники СВА не повинні залучатися
до будь-якої діяльності, яка згодом може піддаватися внутрішнього
аудиту, а також займатися аудитом діяльності та/або функцій, що
здійснювалися ними протягом періоду, який підлягає аудиту.
4. СВА повинна опиратися на підтримку органів управління
товариства, а керівник СВА повинен мати постійну взаємодію з
наглядовою радою для вирішення всіх необхідних питань діяльності СВА.
5. Рівень об’єктивності СВА збільшується, якщо вона надає
рекомендації працівникам товариства щодо застосування стандартів
контролю та перевіряє відповідні процедури їх застосування.
6. Допомагаючи керівництву в організації або поліпшенні процесів
управління ризиками, СВА повинні утримуватися від безпосередньої
участі в управлінні ризиками в товаристві.

Незалежність та об’єктивність внутрішнього аудиту

забезпечується:
– підзвітністю СВА безпосередньо комітету з питань аудиту або
наглядовій раді;
– забезпеченням відповідного рівня компетентності та
професіоналізму працівників СВА;
– неможливістю виконавчому органу товариства встановлювати
будь-які обмеження або обов’язкові вимоги щодо завдань, функцій,
повноважень та обов’язків СВА;
– відсутністю можливості виконавчого органу товариства
призначати або звільняти з посади керівника СВА без згоди наглядової
ради товариства;
– встановленням обсягів, планів, програм та періодичності
здійснення перевірок СВА виключно наглядовою радою товариства;
– недопущенням конфлікту інтересів СВА і членів наглядової ради
та виконавчого органу товариства.

СВА для реалізації основних завдань і здійснення своїх функцій в

установленому порядку, як правило, такі повноваження:
- право доступу до інформації незалежно від носія, а також право
доступу до всієї документації і будь-який іншої інформації, яка потрібна
під час проведення внутрішньої перевірки, у тому числі до відомостей та
інформації, що становлять комерційну та службову таємницю
товариства;
 - право доступу до інформаційної бази облікових даних
(комп’ютерної програми бухгалтерського обліку) на постійній основі в
пасивному режимі, тобто без права внесення інформації та її
корегування;
- право безперешкодного входження в усі службові приміщення,
каси, склади, комори, цехи, ділянки тощо, призначені для зберігання
цінностей, а також право їх опечатувати і вимагати проведення
інвентаризації;

Структурні підрозділи товариства зобов’язані створювати СВА

умови для своєчасного та повного проведення перевірок, надавати
документи відповідно до поданого переліку, давати на запит СВА
пояснення та відповіді в усній та письмовій формі.
Фахівці підрозділів, що підлягають перевірці, зобов’язані сприяти в
проведенні аудиту, оперативно усувати виявлені порушення, не допускати
обмеження кола питань, що підлягають аудиторській перевірці. Порядок
дій СВА при одержанні інформації від співробітників інших підрозділів
рекомендується регламентувати для того, щоб СВА не перешкоджала і не
заважала виконанню цими співробітниками своїх посадових обов’язків.
Саме СВА має повноваження встановлювати відповідність дій та
операцій, що здійснюються працівниками товариства, вимогам чинного
законодавства України, нормативним актам та рішенням керівних органів
товариства, які визначають її політику та стратегію, процедури прийняття
і виконання рішень, організацію обліку та звітності.
При виявленні грубих порушень чинного законодавства, випадків
шахрайства, допущених працівниками товариства, СВА надає
рекомендації органам управління товариства щодо прийняття відповідних
рішень стосовно цих подій та працівників.
Внутрішній аудитор на підприємстві належним чином проводить
аналітичну роботу. Результатом такої аналітичної роботи є оцінка
достатності та ефективності системи внутрішнього контролю, ступінь
потенційного ризику в різних сферах діяльності товариства, а також
відповідність процедурам і методикам, що застосовуються в товаристві.
СВА залучає для розробки планових заходів внутрішнього аудиту і
виконання окремих завдань за дорученням наглядової ради товариства,
працівників інших структурних підрозділів, а також фахівців інших
юридичних осіб.
Також, проводити консультації з комітетом з питань аудиту або
наглядовою радою, іншими структурними підрозділами товариства з
питань, що входять до її компетенції.
З метою вчасного реагування вносить пропозиції наглядовій раді
щодо вдосконалення процедур і методів внутрішнього аудиту, змін у
системі контролю та управлінській політиці товариства.
 Для усунення факторів неефективності, можливих ризиків
шахрайства СВА проводить операційний (управлінський) аудит

СВА зобов’язана:
- при здійсненні внутрішнього аудиту дотримуватись вимог
Положення про службу внутрішнього аудиту (внутрішнього аудитора)
та інших нормативно-правових актів;
- складати звіти відповідно до вимог, визначених Положенням про
внутрішній аудит;
- дотримуватися конфіденційності інформації, отриманої при
здійсненні внутрішнього аудиту;
- у разі виявлення фактів, що свідчать про заподіяння товариству
збитків його посадовими особами та іншими працівниками, негайно
повідомляти про це наглядову раду товариства і здійснювати відповідний
запис в аудиторському звіті;
- брати участь у проведенні інвентаризації активів і контролі за
своєчасністю її здійснення в установленому законодавством порядку;
- СВА може мати і інші обов’язки відповідно до законодавства
внутрішніх документів підприємства;

Відповідальність СВА:
- за своєчасне і якісне виконання покладених на неї функцій і завдань,
а також за допущені нею перекручення фактів та невідповідність
результатів проведених аудиторських перевірок реальному стану речей;
- за недотримання режиму конфіденційності інформації, що
становить комерційну таємницю товариства, яка була надана СВА або
стала відома ій у зв’язку з виконанням своїх обов’язків;
- за збереження та повернення отриманих для перевірки
документів;
- за оцінку вжитих заходів з усунення порушень, виявлених в процесі
аудиторської перевірки.

Наглядова рада товариства періодично заслуховує звіт СВА про

результати перевірок та вживає заходи щодо усунення виявлених
недоліків та підвищення ефективності фінансово-господарської діяльності
товариства.
Керівник СВА в установленому порядку несе персональну
відповідальність за якість і своєчасність виконання функцій і завдань,
покладених на СВА відповідно до Положення, законодавства України,
трудового договору, посадових інструкцій та інших внутрішніх
документів товариства.
Працівники СВА в установленому порядку несуть персональну
відповідальність за якість і своєчасність виконання покладених на них
функцій відповідно до посадових інструкцій, трудових договорів і
законодавства України.
За порушення трудової дисципліни, невиконання або неналежне
виконання своїх обов’язків за рішенням наглядової ради до керівника і
працівників СВА у встановленому порядку можуть застосовуватися
дисциплінарні стягнення.
Матеріальна відповідальність керівника та працівників СВА і
порядок відшкодування завданої ними шкоди (за наявності такої), а також
процедури щодо накладення дисциплінарних стягнень здійснюються
відповідно до законодавства України та внутрішніх документів
акціонерного товариства.

Одним з важливих елементів при визначенні пріоритетів у

плануванні аудиторських завдань є ризик. У даному контексті під
ризиком розуміється ймовірність того, що мета та завдання, які поставлені
перед товариством, не будуть виконані. Власне міркування, які стосуються
ризиків товариства, закладається в основу визначення пріоритетів у
плануванні аудиторських завдань.
Крім ризиків, є й інші фактори, які рекомендується враховувати
керівнику СВА, а саме:
- тривалість періоду часу, що пройшов з моменту виконання
аудиторського завдання в даній сфері (підрозділі, напрямку
діяльності);
- наявність запитів щодо перевірки даного об’єкту з боку
менеджерів, комітету з питань аудиту або інших органів
управління товариства;
- взаємозв’язок аудиторських завдань із зовнішнім аудитом;
- зміни обставин в бізнесі товариства, операціях, системах або
окремих елементах контролю;
- зміни ситуації в сфері ризиків або в процедурах контролю за
роботою підрозділів;
- потенційні вигоди, що можуть бути отримані за допомогою
виконання аудиторського завдання;
- зміни в характері навичок працівників СВА, оскільки такі зміни
можуть дозволити проводити нові види аудиторських завдань.

Керівнику СВА, крім поточного або короткострокового планування

роботи СВА, рекомендується розробляти стратегічний або довгостроковий
план аудиторських завдань, оскільки довгостроковий план забезпечить
проведення аудиторських перевірок (принаймні, на періодичній основі) у
всіх сферах і напрямах бізнесу. В тих сферах, де спостерігаються високі
рівні ризиків, встановлюється необхідність проведення аудиторських
перевірок раз на рік або навіть частіше. В інших сферах буде достатньо
проводити аудит один раз на два-три роки.

При розподілі аудиторських завдань між працівниками СВА

керівник СВА враховує такі фактори:
- складність завдання;
- обсяг ресурсів, наявних у розпорядженні СВА;
- досвід (рівень професіоналізму) працівників СВА;
- потребу в додатковому навчанні для виконання конкретного
завдання;
- прагнення до кар’єрного росту працівників, про що відомо
керівнику СВА.

Крім планових перевірок, внутрішній аудит може проводитись:

– за рішенням наглядової ради або комітету з питань аудиту ради
товариства про проведення аудиту певних напрямів діяльності, навіть
якщо притаманні їм ризики оцінюються як невисокі;
– на запит регулюючих чи контролюючих органів товариства.

Проведення позапланових перевірок та всі інші зміни до раніше

затвердженого річного плану роботи СВА погоджуються наглядовою
радою товариства.
Керівник СВА періодично надає звіти наглядовій раді
та виконавчому органу товариства щодо мети, повноважень та обов’язків
СВА, а також про хід виконання планів роботи СВА.
Звіт може містить інформацію про суттєві ризики, включаючи
ризики шахрайства, проблеми контролю та корпоративного управління,
інші відомості, необхідні наглядовій раді та виконавчому органу
товариства. Регулярність подання та зміст звітів визначаються під час
обговорення наглядовою радою та залежать від важливості інформації, що
повинна повідомлятися, терміновості відповідних дій, необхідних з боку
наглядової ради та виконавчого органу товариства.
Звіти СВА складаються за формою, розробленою безпосередньо
СВА та погодженою з комітетом з питань аудиту або наглядовою радою, а
у загальному випадку такі звіти, крім оформлення необхідних реквізитів,
можуть містити:
акцентування уваги на найбільш істотних спостереженнях,
зроблених у процесі виконання аудиторських завдань, зокрема, на
спостереженнях, які можуть впливати на діяльність товариства в цілому;
рекомендації за результатами виконання аудиторських завдань;
зіставлення запланованих аудиторських завдань з фактично
виконаними; з приводу запланованих, але не виконаних завдань у звітах
рекомендується зазначити причини невиконання;
 порівняння фактичних результатів роботи СВА з планами робіт;
порівняльний аналіз фактичних витрат і наявного бюджету; у звітах
можуть бути надані пояснення щодо значних розбіжностей між
фактичними та запланованими витратами і визначені необхідні заходи
щодо запобігання перевищенню витрат або обґрунтовано необхідність
інших заходів;
інформацію щодо інших заходів (робіт), проведених СВА за звітний
період (результати позапланових аудиторських завдань та моніторингу
рекомендацій зовнішніх аудиторів, власних рекомендацій, інформацію про
участь у тренінгах тощо);
висновок за результатами аудиторської діяльності щодо сфери
аудиту з узагальненням результатів аудиторської діяльності за звітний
період;
оцінку виявлених відхилень з погляду їх впливу на діяльність
товариства;
рекомендації з усунення даних відхилень;
оцінку даних рекомендацій у розрізі їх можливого впливу на
діяльність товариства;
пропозиції (за наявності) з удосконалення аспектів функціонування
товариства, що стосуються проведеної роботи.
Суттєвими спостереженнями, отриманими в ході виконання
аудиторського завдання, вважаються такі, які відповідно до професійного
судження керівника СВА можуть впливати на стан справ у товаристві.
До таких спостережень відносяться випадки невідповідності діючої
практики правилам і процедурам, встановленим в товаристві, незаконні дії
працівників, помилки, випадки неефективного використання ресурсів,
високий відсоток браку, конфлікти інтересів та недоліки в системі
внутрішнього контролю.
Відразу ж після виявлення таких випадків керівнику СВА
рекомендується обговорити такі суттєві спостереження з виконавчим
органом та надати інформацію з висновками і рекомендаціями до
наглядової ради товариства незалежно від того, чи були усунуті на даний
момент зазначені недоліки та помилки, чи ні.
Якщо, на думку керівника СВА, рівень залишкового ризику, на який
погоджується виконавчий орган товариства, може бути неприйнятним для
товариства, керівнику СВА рекомендується обговорити це питання
з представником виконавчого органу товариства. Якщо питання, пов’язане
із залишковим ризиком, як і раніше залишається невирішеним, керівник
СВА має передати це питання на розгляд наглядовій раді товариства.
Керівник СВА розглядає питання про доцільність інформування
керівників підприємства з приводу суттєвих спостережень і рекомендацій,
підготовлених у відповідних звітах за попередні періоди, якщо за
результатами розгляду органи управління товариства прийняли на себе
ризик залишити ситуацію невиправленою.
Наглядова рада розглядає звіти за результатами діяльності СВА та
приймає рішення відповідно до встановленого регламенту роботи ради
товариства.

При прийнятті аудиторського завдання працівнику СВА

рекомендується звернути увагу на обставини цього завдання та
усвідомити, що відповідні етичні вимоги, такі як незалежність та
можливість проявити професійну компетентність, ним будуть дотримані.

Елементи впевненості складаються з:

- тристоронніх відносини між внутрішнім аудитором,
відповідальною стороною та користувачем;
- предмету завдання;
- відповідних критеріїв;
- достатніх та відповідних доказів;
- письмового звіту, що відображає результати аудиторського
завдання.

Відповідальна сторона – це особи (особа), які при виконанні

аудиторського завдання є відповідальними за предмет завдання.
Відповідальна сторона звичайно надає аудитору письмове
підтвердження оцінки або виміру (у відповідних критеріях) предмету, які
можна надати користувачу як підтвердження.
Користувачем є особа або група осіб, для яких внутрішній
аудитор готує звіт за результатами аудиторського завдання. Відповідальна
сторона може бути одним, але не єдиним користувачем. У тих випадках,
коли це можливо, висновок щодо впевненості адресується всім
користувачам.
Коли завдання призначено для конкретних користувачів або
певного предмета, внутрішній аудитор може у звіті за результатами
аудиторського завдання встановити обмеження щодо кола користувачів
або предмета.
Докази – це підтверджуючі дані щодо того, що інформація стосовно
предмету завдання не має суттєвих перекручень. Внутрішній аудитор
планує та виконує аудиторське завдання з професійним скептицизмом,
розуміючи, що можуть існувати обставини, які можуть призвести до
істотних перекручувань інформації щодо предмету.
Достатність – це кількісний критерій доказів.
Відповідність – це якісна оцінка доказів, тобто їх прийнятності та
достовірності. На кількісний критерій доказів впливає ризик істотного
перекручування інформації щодо предмету і невідповідної якості таких
доказів. Таким чином, достатність і відповідність доказів перебувають у
взаємній залежності.
На достовірність доказів впливають їх джерела та характер;
переконливість доказів залежить від конкретних обставин одержання
доказів. Можна зробити певні узагальнення щодо переконливості різних
типів доказів, однак такі узагальнення матимуть наступні важливі
винятки:
докази є більш надійними, коли вони отримані з незалежних та
зовнішніх стосовно товариства джерел;
докази, які генеруються усередині товариства, є більш надійними,
коли відповідні аспекти внутрішнього контролю товариства є
ефективними;
докази, отримані внутрішнім аудитором безпосередньо (з
документів, опитувань, спостережень), є більш надійними, ніж докази,
отримані опосередковано або гіпотетично;
докази є більш надійними, якщо вони зафіксовані у
документальному вигляді на папері, в електронному або іншому вигляді;
докази, отримані у вигляді оригінальних документів, є більш
надійними, ніж докази у вигляді фотокопій, факсимільних копій тощо.

Внутрішній аудитор надає письмовий звіт, який містить думку,

що підтверджує його впевненість щодо інформації стосовно предмету
завдання.

Звіт не може бути прийнятним у випадку істотних обмежень обсягу

роботи внутрішнього аудитора, тобто коли:
обставини не дають аудитору можливості одержати докази для
зменшення ризиків аудиторського завдання до прийнятного рівня;
відповідальна сторона або замовник обмежують можливість
одержати докази, необхідні для зменшення ризиків аудиторського
завдання до прийнятного рівня;
після прийняття завдання з’ясовується, що критерії є неприйнятими,
або предмет завдання не стосується аудиторського завдання.