Аудиторский отчет проверки управления рисками свк пример

Полная информация на тему: "Аудиторский отчет проверки управления рисками свк пример". Здесь собран полезный материал по теме из авторитетных источников. После прочтения вы можете задать оставшиеся вопросы дежурному юристу.

Внутренний контроль и управление рисками

Система внутреннего контроля «Газпром нефти» направлена на обеспечение финансовой устойчивости Компании, достижение баланса между ростом ее стоимости, прибыльностью и рисками, эффективное ведение деятельности, обеспечение сохранности активов, выявление, исправление и предотвращение нарушений, своевременную подготовку достоверной отчетности и в результате повышение инвестиционной привлекательности Компании.

Принципы и подходы к организации системы управления рисками и внутреннего контроля «Газпром нефти» определяются Советом директоров Компании. Комитет по аудиту Совета директоров проводит оценку эффективности функционирования системы и представляет отчет о результатах оценки акционерам в составе материалов к годовому Общему собранию акционеров. Создание и поддержание функционирования системы управления рисками и внутреннего контроля входят в зону ответственности Правления и Генерального директора.

В целях повышения эффективности системы внутреннего контроля и совершенствования корпоративного управления была разработана новая редакция Политики в области внутреннего контроля ПАО «Газпром нефть». Политика опубликована в составе других внутренних документов на сайте Компании.

Контролирующие органы Компании

Департамент внутреннего аудита проводит оценку и способствует совершенствованию процессов корпоративного управления, управления рисками и внутреннего контроля Компании. В его функции входят проведение внутренних аудиторских проверок, организация интегрированной системы управления рисками (ИСУР), осуществление деятельности по предотвращению мошенничества.

В рамках своей деятельности Департамент внутреннего аудита оценивает эффективность системы внутреннего контроля бизнес-процессов Компании, включая операционную эффективность, сохранность и правомерное использование активов, достоверность внешней и внутренней отчетности, а также соблюдение требований действующего законодательства и регулирующих организаций.

Департамент внутреннего аудита взаимодействует с ревизионными комиссиями и координирует свою работу с внешним аудитором на всех этапах аудиторского цикла.

Аудиторские проекты покрывают ключевые направления деятельности Компании, а также учитывают ее цели и приоритеты. Аудиторский план формируется на основе риск-ориентированного подхода, непрерывно актуализируется и включает в себя аудит проектов в области разведки и добычи, переработки и сбыта, капитального строительства, финансовой деятельности, информационных технологий, промышленной безопасности и др.

Ревизионная комиссия осуществляет контроль финансово-хозяйственной деятельности Компании, проверку и анализ ее финансового состояния и функционирования систем внутреннего контроля и управления рисками, проверку законности хозяйственных операций. Избирается Общим собранием акционеров.

Внешний аудитор осуществляет ежегодный аудит финансовой отчетности в соответствии с РСБУ и МСФО. Утверждается Общим собранием акционеров по предложению Совета директоров Компании.

«Газпром нефть» уделяет особое внимание совершенствованию системы внутреннего контроля (СВК) достоверности отчетности. В 2016 г. в рамках этой работы сделано следующее:

  • идентифицированы и оценены риски, влияющие на достоверность отчетности;
  • разработаны и внедрены контрольные процедуры по минимизации данных рисков;
  • проведены работы по самодиагностике эффективности выполнения контрольных процедур;
  • разработаны и исполняются процедуры управления изменениями данных СВК в целях их поддержания в актуальном и эффективном состоянии.

Автоматизация внутреннего контроля

Управление рисками является одной из ключевых составляющих системы управления в сфере устойчивого развития. В Компании действует Политика в области управления рисками, определяющая общие цели, задачи и принципы управления рисками для повышения гарантии надежности деятельности Компании в краткосрочной и долгосрочной перспективе.

Ключевые цели «Газпром нефти» по управлению рисками – повышение эффективности управленческих решений посредством анализа сопутствующих им рисков, а также обеспечение максимальной эффективности мероприятий по управлению рисками в ходе реализации принятых решений.

Задачи в области управления рисками:

  • формирование культуры управления рисками в Компании для достижения общего понимания у всех сотрудников основных принципов и подходов к управлению рисками;
  • формирование и внедрение системного подхода к выявлению и оценке рисков;
  • стимулирование обмена информацией о рисках между структурными подразделениями Компании и совместной разработки действий по управлению рисками;
  • систематическое предоставление информации о рисках органам управления «Газпром нефти».

Система управления рисками

Процессы управления рисками в «Газпром нефти» определяются корпоративной Политикой в области управления рисками и единым корпоративным стандартом «Интегрированная система управления рисками (ИСУР)», охватывающим все существенные активы Компании. ИСУР осуществляет непрерывный процесс выявления, оценки и управления рисками. Инструменты анализа и управления рисками интегрированы в ключевые корпоративные процессы.

Ответственность за управление рисками и подготовку отчетности по ним определяется в соответствии с системой линейного и функционального управления. Для каждого риска закрепляется владелец риска, ответственный за его управление. На уровне каждой функции направления бизнеса определены координаторы по рискам среди руководителей, которые распространяют и поддерживают применение корпоративных принципов управления рисками. Сроки и задачи по анализу рисков учитывают особенности и требования каждого бизнес-процесса, на уровне которого осуществляется управление рисками.

Ключевыми направлениями применения инструментов управления рисками остаются повышение качества бизнес-планирования, проектного управления и стратегического планирования. Система управления рисками охватывает, помимо финансовых и операционных рисков, риски социального и экологического характера. Оценку эффективности системы управления рисками осуществляет Совет директоров.

Принципиальная схема процесса ИСУР в Группе «Газпром нефть»

Управление социальными и экологическими рисками

Описание риска Меры по управлению риском
Риски, связанные с кадровыми ресурсами Успешное достижение стратегических целей во многом зависит от усилий и способностей ключевых сотрудников, в том числе квалифицированных технических кадров. Неспособность привлекать и удерживать персонал с нужными навыками и опытом может негативно сказаться на привлекательности «Газпром нефти» как работодателя. К факторам, увеличивающим кадровые риски, относятся растущий дефицит квалифицированных специалистов и, как следствие, увеличивающаяся конкуренция на рынке труда в России и за рубежом.

«Газпром нефть» предлагает конкурентоспособное вознаграждение, включающее заработную плату и вознаграждение за результат, а также пакет социальных льгот. Компания разрабатывает и реализует программы формирования кадрового резерва, обучения и развития персонала, направленные на обеспечение ее потребностей в квалифицированном персонале на текущий момент и в будущем.

«Газпром нефть» совершенствует процедуры подбора кадров и проводит мероприятия, направленные на снижение текучести кадров и развитие персонала.

Читайте так же:  Страна регистрации юридического лица

Компания реализует программу социальных инвестиций в регионах своего присутствия, направленную в том числе на улучшение качества жизни сотрудников и их семей.

Риски, связанные с промышленной безопасностью и охраной труда

Компания подвержена рискам в отношении безопасности сотрудников и своей производственной деятельности. Данные риски могут возникать вследствие поломок или отказа оборудования, стихийных бедствий, терактов, действия или бездействия персонала. Любой из этих факторов риска может оказать существенное негативное влияние на бизнес, финансовое состояние, результаты деятельности и репутацию «Газпром нефти».

В «Газпром нефти» постоянно развивается методологическая база по ИСУР, включающая общие рекомендации по количественной оценке рисков планирования проектов и бизнес-планирования, а также подробные методики для оценки наиболее существенных рисков, таких как внеплановые простои оборудования, отказы трубопроводов и др. В 2016 г. в рамках развития ИСУР продолжилось совершенствование нормативно-методологической базы по оценке рисков промышленной и экологической безопасности, охраны труда и гражданской защиты.

Источник: http://csr2016.gazprom-neft.ru/governance/internal-control

Методика проведения аудита системы внутреннего контроля бизнес-процесса

Цель данной статьи – показать возможность совершенствования методики проведения аудита системы внутреннего контроля бизнес-процесса компании путем разработки технологии аудита и предоставления практических рекомендаций по проведению внутренней аудиторской проверки.

Результаты данной работы могут быть полезны широкому кругу лиц: от внутренних аудиторов – для использования ее в качестве пособия – до руководителей компаний, заинтересованных в проведении оценки системы внутреннего контроля бизнес-процессов.

Современные тенденции в деятельности компании связаны с повышением роли и значимости внутреннего контроля для достижения целей компании. Руководители крупных компаний начинают понимать, что успех в бизнесе возможен только при наличии четко выстроенной и эффективной системы внутреннего контроля.

Внутренний аудит ставит перед собой цель – оценить эффективность системы внутреннего контроля компании, но следует отметить, что реализация данной цели является очень трудоемким и ресурсозатратным процессом. Поэтому часто аудиторы оценивают СВК отдельных бизнес-процессов либо компаний.

Оценка СВК осуществляется в соответствии с моделью COSO IC [7]. При проведении аудита системы внутреннего контроля осуществляется комплексная оценка всех элементов, составляющих данную систему:

  1. компонентов СВК (контрольная среда, оценка рисков, контрольные процедуры, информация и коммуникация, мониторинг);
  2. целей, достижение которых контролируется (операционные цели, цели в сфере подготовки отчетности, цели в области соблюдения законодательства);
  3. четырех организационных уровней (уровень функции (бизнес-процесса), уровень операционной единицы (подразделения), уровень дивизиона (направления бизнеса), уровень организации (группы)).

В соответствии с моделью, обновленной в 2013 г., выделются 17 принципов, которые помогают наиболее полно охватить всю систему внутреннего контроля (см. рис. 1).

Рис. 1. Краткие формулировки принципов системы внутреннего контроля

Таким образом, при аудите СВК бизнес-процесса оценивается эффективность всей СВК в целом и каждого элемента СВК в частности.

Что касается методики проведения аудита СВК, то в настоящее время не существует единой методики проведения данного вида аудита. Это неудивительно, так как внутренний аудит, в первую очередь, направлен на совершенствование деятельности компании. То есть компания имеет возможность создать собственную методику аудита, которая будет наиболее полно соответствовать специфике деятельности компании.

С другой стороны, не стоит полагать, что не существует некой базы, на которой строятся методики компаний. В теории и на практике встречаются некоторые общие подходы к аудиту СВК. Например:

  • Международные профессиональные стандарты внутреннего аудита определяют общие принципы проведения аудиторской проверки [5];
  • Международные стандарты аудита 1 и стандарт PCAOB 2 (в частности, аудиторский стандарт № 5 «Проведение аудита внутреннего контроля над финансовой отчетностью, интегрированный в общий аудит финансовой отчетности») [8];
  • Методика проведения внутренней аудиторской проверки, описанная в статье И.А. Красновой «Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов» [3];
  • Альтернативная методика аудита СВК, наиболее часто применяемая в банковском секторе, представленная в статье Н.М. Заварихина, Ю.В. Потехиной «Методология и методика внутреннего аудита в коммерческих банках» [2] и мн. др.

Проанализировав существующие методики проведения аудита, а также международные стандарты аудита, предлагаем выделить следующие основные этапы проведения аудита системы внутреннего контроля (рис. 2).

Рис.2. Схема проведения аудита системы внутреннего контроля бизнес-процесса.

Рассмотрим основные элементы методики проведения аудита СВК.

1. Планирование проверки

Планирование проверки является одним из основных этапов. Процесс планирования проверки включает в себя анализ информации, формирование задания на аудит (определение целей процесса, присущих рисков, целей проверки, объема работ, плана-графика проверки), направление уведомления, проведение совещания с владельцем процесса.

При проведении планирования следует обратить внимание на следующие моменты.

2. Выполнение проверки

Под выполнением проверки подразумевается описание бизнес-процесса, анализ целей процесса, определение рисков и контрольных процедур, оценка дизайна и тестирование операционной эффективности контрольных процедур.

Основные практические рекомендации по выполнению проверки заключаются в следующем.

  • Проведение анализа целей аудируемого процесса даст представление о существенных недостатках СВК процесса. Анализ целей можно провести на соответствие формулировок критериям SMART, определить соотношение долгосрочных, среднесрочных и краткосрочных целей, соотношение целей аудируемого подразделения и корпоративного центра.
  • Одним из эффективных способов подтверждения дизайна контрольных процедур является метод прослеживаемых операций / walk throught. Для этого нужно выбрать конкретные операции или документы и проследить их путь от начала до конца процесса.
  • Дизайн контрольной процедуры – это совокупность элементов, составляющих контрольную процедуру: покрытие риска контролем, место выполнения контроля, исполнитель контроля, информация и ресурсы, условия выполнения, объем контроля, метод контроля, свидетельства контроля, регламент контроля.

Для оценки дизайна контроля необходимо установить связь между бизнес-целями и рисками, рисками и контрольными процедурами, отвечающими на соответствующий риск. Дизайн контрольной процедуры не эффективен, если контроль отсутствует, контроль не закрывает риск полностью (остаточный риск выше допустимого), присутствует конфликт разграничения полномочий.

Наличие контрольных процедур, для которых отсутствуют конкретные риски, целесообразно анализировать дополнительно. Возможно, контрольная процедура избыточна. Соотношение один риск – одна контрольная процедура не обязательно оптимально: одна контрольная процедура может покрывать несколько рисков.

Читайте так же:  Как исключить одного из учредителей ооо

Все ссылки должны быть проставлены правильно: документация должна позволять переходить по ссылкам от наблюдений к обосновывающим их рабочим бумагам и, если потребуется, к первичным документам.

3. Формирование отчета, завершение проверки

На данном этапе формируется вывод об эффективности системы внутреннего контроля. Для формирования вывода об эффективности СВК необходимо провести оценку каждого компонента модели COSO по всем целям.

Для оценки бизнес-процесса группы компаний требуется оценить бизнес-процесс в каждой компании и сделать общий вывод. Если же группа компаний поделена на дивизионы по продуктовому признаку, то достаточно оценить бизнес-процесс в одной компании дивизиона.

Основные практические рекомендации по написанию отчета:

  • Отчет по внутренней аудиторской проверке содержит две части: вводную и основную.
    Во вводной части «Аудиторского отчета» представляется общая информация о проверке, как то:
    • цель, объект и предметы проверки;
    • состав аудиторской группы, сроки проведения проверки.

    Описательная часть «Аудиторского отчета» является наиболее объемным и информативным блоком, содержащим все результаты аудита.

  • Обычно окончательная версия «Аудиторского отчета» представляется: заказчику аудита – лицу, инициировавшему данную проверку; владельцу аудируемого бизнес-процесса; другим заинтересованным пользователям на усмотрение руководителя СВА компании.
  • Не следует пренебрегать проведением совещания «Закрытие проекта» с владельцем процесса. Целью данной встречи является обсуждение сильных и слабых сторон системы внутреннего контроля, обсуждение выполненных или планируемых корректирующих мероприятий по результатам внутренней аудиторской проверки.

Внутренний аудит системы внутреннего контроля в настоящее время является предметом дискуссий между учеными и практиками в данной сфере. Практическая значимость данной статьи заключается в том, чтобы показать, что наличие методики проведения проверки позволяет облегчить процесс аудита системы внутреннего контроля и повысить его эффективность. Разработанная и описанная в данной статье методика не обязательно является догмой, которой должны следовать все компании. Каждая компания вправе создавать и применять собственную методику.

Список литературы

1. Брайан Хок, Карл Берч. CIA. Дипломированный внутренний аудитор. Кн.: в 4 ч. М.: НОСК international, 2008.

2. Заварихина Н.М., Потехина Ю.В. Методология и методика внутреннего аудита в коммерческих банках // Аудит и финансовый анализ. 2005. № 4. С. 208.

3. Краснова И.А. Методика проведения внутренней аудиторской проверки эффективности системы внутреннего контроля бизнес-процессов// Акционерное общество: вопросы корпоративного управления. 2006. №7.

4. Крышкин О. Настольная книга по внутреннему аудиту: Риски и бизнес-процессы. М.: АЛЬПИНА ПАБЛИШЕР, 2013.

5. Международные профессиональные стандарты внутреннего аудита (ред. от 01.01.2013).

6. Институт внутренних аудиторов.

7. COSO Internal Control 2013. Integrated Framework.

1 Международные стандарты аудита подлежат применению на территории Российской Федерации согласно Постановлению Правительства Российской Федерации от 11.06.2015 № 576.

2 Комитет по надзору за отчетностью открытых акционерных компаний (орган по надзору за правильностью учета и отчетности в компаниях, чьи акции торгуются на бирже; должен следить за тем, чтобы не было манипулирования информацией и инвесторов не вводили в заблуждение; создан после принятия Закона Сарбейнса-Оксли). – Прим. авт.

© Интернет-проект «Корпоративный менеджмент», 1998–2018


Источник: http://www.cfin.ru/management/practice/internal_auditor_conf_7.shtml

Внутренний аудит

Целью внутреннего аудита является содействие Совету директоров и исполнительным органам в повышении эффективности управления Компанией, совершенствовании финансово-хозяйственной деятельности путем системного и последовательного анализа и оценки системы управления рисками и внутреннего контроля, а также корпоративного управления как инструментов обеспечения разумной уверенности в достижении поставленных перед Компанией целей.

Видео (кликните для воспроизведения).

В 2018 г. в Компании создан Департамент внутреннего аудита (ранее – Отдел внутреннего аудита), основной задачей которого является представление Совету директоров Через Комитет Совета директоров по аудиту. , Генеральному директору и Правлению независимых, объективных, разумных и обоснованных гарантий и консультаций, направленных на совершенствование деятельности Компании.

Департамент внутреннего аудита административно подчиняется Генеральному директору, а функционально – Совету директоров Компании Через Комитет Совета директоров по аудиту. .

В октябре 2018 г. Советом директоров утверждено Положение о внутреннем аудите ПАО «Магнит» в новой редакции, которое определяет цели, задачи, полномочия, границы ответственности, статус Департамента внутреннего аудита Компании.

В соответствии с данным положением основными целями Департамента внутреннего аудита являются:

  • обеспечение поддержки всех структурных подразделений и работников Компании, ее руководства, Комитета Совета директоров по аудиту и Совета директоров путем проведения проверок, анализа, оценок, предоставления консультаций и разработки рекомендаций по совершенствованию системы внутреннего контроля, управления рисками и бизнес-процессов Компании;
  • содействие в своевременном выявлении и анализе рисков, влияющих на достоверность финансовой и управленческой информации, сохранность активов, соблюдение законодательства и внутренних политик и процедур, выполнение финансово-хозяйственных планов, эффективное использование ресурсов.

Для выполнения поставленных задач Департамент внутреннего аудита осуществляет следующие основные функции:

Директор Департамента внутреннего аудита регулярно отчитывается перед Председателем Комитета по аудиту и участвует в заседаниях Комитета по аудиту с целью представления результатов работы системы внутреннего контроля по итогам проведенных внутренних аудиторских проверок. Комитет по аудиту регулярно проводит анализ и обсуждение эффективности внутренних аудиторских проверок совместно с Директором по внутреннему аудиту.

В 2018 г. основные усилия Департамента внутреннего аудита были сосредоточены на обновлении методической базы для проведения запланированных аудиторских проверок и оказании консультационных услуг, нацеленных на совершенствование бизнеса ПАО «Магнит».

Также в 2018 г. продолжилась реализация комплекса мероприятий по повышению эффективности системы внутреннего контроля бизнес-процессов.

Оценка эффективности

Основываясь на принципах Кодекса корпоративного управления и соответствующих международных концепций и стандартов, Информации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности», концепции COSO «Внутренний контроль – Интегрированная модель», концепции COSO «Управление рисками организаций – Интегрированная модель», Отделом внутреннего аудита (впоследствии функции переданы Департаменту внутреннего аудита) проведена оценка эффективности системы внутреннего контроля и управления рисками ПАО «Магнит» и его дочерних обществ за 2017 г.

Оценка проведена в разрезе компонентов процесса внутреннего контроля и управления рисками, таких как: внутренняя (контрольная) среда, постановка целей, определение событий, оценка рисков, реагирование на риск, средства контроля, информация и коммуникации, мониторинг. Для компонентов процесса внутреннего контроля и управления рисками выделены параметры и определено текущее состояние параметров, характеризующих уровень организации и функционирования системы внутреннего контроля и управления рисками.

Читайте так же:  Может ли единственный учредитель быть ликвидатором ооо

По результатам оценки текущий уровень организации и функционирования внутреннего контроля и управления рисками признан устоявшимся и соответствующим потребностям Компании.

Отчет об оценке эффективности системы внутреннего контроля и управления рисками ПАО «Магнит» и его дочерних обществ за 2017 г., содержащий результаты оценки, рассмотрен Советом директоров Компании на заседании 23 марта 2018 г. По результатам рассмотрения отчета согласованы итоги оценки эффективности системы и предлагаемые мероприятия по ее улучшению.

В декабре 2018 г. Советом директоров утвержден план деятельности Департамента внутреннего аудита на 2019 г.

Источник: http://ar2018.magnit.com/ru/40/40/20

Аудиторский отчет проверки управления рисками свк пример

РАЗГРАНИЧЕНИЕ ФУНКЦИЙ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА

Артём Ворончихин, член Института внутренних аудиторов

Опубликовано в книге «Управление рисками в России: 10 лет развития: сборник статей» / Рус. о-во упр. рисками; под общ. ред. В. В. Верещагина, А. Н. Елохина, М. А. Рогова, Т. Ю. Шемякиной, И. Ю. Юргенса. Москва: Деловой экспресс, 2013.

Любое предприятие, функция и, если говорить шире — не только о бизнесе, любой вид деятельности проходит различные стадии зрелости. На каждом этапе развития компании его собственники и руководство в том или ином порядке устанавливают приоритеты для более или менее широкого перечня целей, между которыми нужно распределить ресурсы. При этом, независимо от масштабов бизнеса и его отраслевой принадлежности — от небольшого продовольственного магазина до многоотраслевого транснационального конгломерата — капитан этого корабля осознаёт, что любому делу присущи риски, способные воспрепятствовать достижению поставленных целей. Соответственно, этими рисками нужно управлять. С другой стороны, как сама реализация проекта/стратегии, так и управление соответствующими рисками требуют ресурсов, использование которых необходимо контролировать.

Бизнес-литература и теория управления обычно оперирует как минимум тремя взаимосвязанными понятиями — «риск-менеджмент», «внутренний контроль» и «внутренний аудит». Управление рисками по сути своей является среди них самой «старой» и развитой функцией, поскольку присуще любому бизнесу с момента появления товарообмена. Но при этом как «наука» или организованная форма работы риск-менеджмент гораздо моложе, скажем, внутреннего аудита: риск-менеджмент как профессия оформился в 1970-1980-хх годах, в то время как первая (и самая развитая) профессиональная организация внутренних аудиторов The Institute of Internal Auditors образована в 1941 г. и насчитывает к настоящему времени более 200 тысяч активных участников, а единая международная профессиональная сертификация Certified Internal Auditor, подтверждающая квалификацию внутреннего аудитора, учреждена в 1974г., в то время как ни одна существующая сертификация риск-менеджеров, к сожалению, пока не получила всемирно признаваемого статуса.

Современная теория и практика (в частности, стандарты COSO ERM — Enterprise Risk Management, UK Corporate Governance Cadbury Act и другие) содержательно выделяют систему внутреннего контроля как наиболее широкое понятие, включающее в себя внутреннюю контрольную среду и корпоративное управление, собственно риски, их оценку и процедуры управления ими, включая контрольные процедуры как один из способов выявления и управления рисками.

Внутренний же аудит представляет собой функцию, параллельно с риск-менеджментом обеспечивающую эффективность системы внутреннего контроля и управления предприятием в целом. По определению Института внутренних аудиторов, внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации.

Источник: http://www.iia-ru.ru/inner_auditor/publications/articles/testovyy-razdel/a-voronchikhin-razgranichenie-funktsiy-upravleniya/

Услуги по повышению доверия к контрагентам и процессам

Независимое подтверждение качества ваших услуг

Для взаимоотношений между различными участниками бизнес-сообщества очень важно доверие. PwC проводит независимую оценку на соответствие SOC1/SOC2/SOC3 (SOC – System and Organization Controls), с использованием стандартов ISAE3402, SSAE18, благодаря которой клиенты будут полностью уверены в качестве предоставляемых вами услуг.

Оценка в соответствии со стандартами SOC1/SOC2/SOC3 полезна в том случае, если вы предлагаете услуги другим компаниям или технологические решения для управления данными ваших клиентов, например предоставляете своим клиентам ИТ-инфраструктуру или облачные решения (SaaS, PaaS, IaaS). Отчеты SOC1/SOC2/SOC3 помогут вам подтвердить наличие надежной контрольной среды и твердых обязательств по обеспечению защиты клиентских данных, то есть получить конкурентное преимущество на рынке.

Мы предлагаем следующие виды услуг:

Аудит по стандартам SOC1 (ISAE 3402, SSAE-18, МСЗОУ 3402)

Оценка по стандарту System and Organization Controls 1 (SOC1), включающему стандарты ISAE 3402, SSAE-18 и МСЗОУ 3402, представляет собой аудит системы контроля за обработкой данных, связанных с формированием финансовой отчетности. Результатом независимой оценки будет аудиторское заключение, позволяющее клиентам, аудиторам компании-клиента и другим заинтересованным сторонам понять, какие механизмы контроля действуют в вашей организации и насколько эффективно они функционируют.

Мы можем подготовить два варианта отчета SOC1:

  • Отчет SOC1 type 1 (тип 1) – содержит информацию о дизайне контрольных процедур и результат оценки системы внутреннего контроля по состоянию на дату проверки. Отчет этого типа полезен в случае, если систему внутреннего контроля в организации значительно изменили и нет достаточной истории ее функционирования, чтобы проверить ее эффективность.
  • Отчет SOC1 type 2 (тип 2) – содержит информацию о дизайне и об операционной эффективности контрольных процедур за период времени (полгода или более). Отчет этого типа исключает или значительно сокращает потребность аудитора компании-клиента в проведении дополнительных процедур тестирования механизмов контроля в вашей организации. В итоге вы экономите время, средства и ресурсы.

Диагностика и аттестация нефинансовых процессов и облачных ресурсов в соответствии с SOC2/3

Независимая оценка нефинансовых процессов и данных с использованием принципов Trust Services в соответствии со стандартами SOC2 и SOC3 (SOC – System and Organization Controls) обеспечит необходимый уровень уверенности клиентов в качестве предоставляемых вами услуг и продуктов.

Проверяется соответствие механизмов контроля принципам Trust Services, а именно следующим критериям:

  • безопасность (Security),
  • доступность (Availability),
  • целостность обрабатываемых данных (Processing Integrity),
  • конфиденциальность (Confidentiality),
  • защита персональных данных (Privacy).
Читайте так же:  Куда начисляют дивиденды по акциям

Можно проверить соответствие как отдельным принципам, так и их сочетаниям, в зависимости от аспектов, в отношении которых клиенту необходим независимый аудит.

Отчеты SOC2/SOC3 могут быть двух типов:

  • Отчет SOC2/SOC3 type 1 (тип 1) – содержит информацию о дизайне контрольных процедур и результат оценки системы внутреннего контроля по состоянию на дату проверки. Отчет этого типа полезен в случае, если систему внутреннего контроля в организации значительно изменили и нет достаточной истории ее функционирования, чтобы проверить ее эффективность.
  • Отчет SOC2/SOC3 type 2 (тип 2) – содержит информацию о дизайне и об операционной эффективности контрольных процедур за период времени (полгода или более).

Программа управления рисками третьих сторон (TPRM)

Программа управления рисками третьих сторон (Third Party Risk Management, или TPRM) позволяет контролировать виды деятельности и риски, связанные с привлечением третьих сторон и партнеров.

Она помогает определять и нанимать третьи стороны и партнеров, которые способны соблюдать договорные и регулятивные обязательства. При этом TPRM способствует достижению финансовых и операционных целей компании. Данный алгоритм непрерывного управления рисками, связанными с наиболее важными внешними поставщиками услуг, доказал свою эффективность на практике.

На базовом уровне программа TPRM позволяет снизить уязвимость к рискам и повысить прозрачность работ, выполняемых третьими сторонами. Если нужно повысить эффективность существующей программы управления рисками третьих сторон или построить такую программу с нуля, специалисты PwC готовы предложить вам комплекс следующих услуг:

  • Диагностика программы. Оценка текущего управления рисками третьих сторон, выявление несоответствий нормативным требованиям и примерам передовой практики.
  • Дорожная карта (план) внедрения преобразований. Разработка описания целевого состояния и соответствующей дорожной карты, включая ожидаемые трудозатраты и расходы.
  • Построение/перестроение функции. Проектирование, внедрение новой или улучшенной программы TPRM и управление ею.
  • Внедрение вспомогательных технологий. Интеграция процессов с новыми или действующими технологическими платформами.
  • Стратификация третьих сторон. Определение риска, связанного с услугами аутсорсинга и третьими сторонами; присвоение ему оценки, в соответствии с которой организация принимает надлежащие меры.
  • Оценка третьих сторон. Проведение оценки на местах, удаленно и в формате самооценки.
  • Управление программой. Аутсорсинг или частичный аутсорсинг программы управления рисками третьих сторон, включая планирование, исполнение, корректировку, мониторинг и отчетность.

Источник: http://www.pwc.ru/ru/services/audit/contractor-process-trust.html

Аудиторский отчет проверки управления рисками свк пример

РАЗГРАНИЧЕНИЕ ФУНКЦИЙ УПРАВЛЕНИЯ РИСКАМИ, ВНУТРЕННЕГО КОНТРОЛЯ И АУДИТА

Артём Ворончихин, член Института внутренних аудиторов

Опубликовано в книге «Управление рисками в России: 10 лет развития: сборник статей» / Рус. о-во упр. рисками; под общ. ред. В. В. Верещагина, А. Н. Елохина, М. А. Рогова, Т. Ю. Шемякиной, И. Ю. Юргенса. Москва: Деловой экспресс, 2013.

Любое предприятие, функция и, если говорить шире — не только о бизнесе, любой вид деятельности проходит различные стадии зрелости. На каждом этапе развития компании его собственники и руководство в том или ином порядке устанавливают приоритеты для более или менее широкого перечня целей, между которыми нужно распределить ресурсы. При этом, независимо от масштабов бизнеса и его отраслевой принадлежности — от небольшого продовольственного магазина до многоотраслевого транснационального конгломерата — капитан этого корабля осознаёт, что любому делу присущи риски, способные воспрепятствовать достижению поставленных целей. Соответственно, этими рисками нужно управлять. С другой стороны, как сама реализация проекта/стратегии, так и управление соответствующими рисками требуют ресурсов, использование которых необходимо контролировать.

Бизнес-литература и теория управления обычно оперирует как минимум тремя взаимосвязанными понятиями — «риск-менеджмент», «внутренний контроль» и «внутренний аудит». Управление рисками по сути своей является среди них самой «старой» и развитой функцией, поскольку присуще любому бизнесу с момента появления товарообмена. Но при этом как «наука» или организованная форма работы риск-менеджмент гораздо моложе, скажем, внутреннего аудита: риск-менеджмент как профессия оформился в 1970-1980-хх годах, в то время как первая (и самая развитая) профессиональная организация внутренних аудиторов The Institute of Internal Auditors образована в 1941 г. и насчитывает к настоящему времени более 200 тысяч активных участников, а единая международная профессиональная сертификация Certified Internal Auditor, подтверждающая квалификацию внутреннего аудитора, учреждена в 1974г., в то время как ни одна существующая сертификация риск-менеджеров, к сожалению, пока не получила всемирно признаваемого статуса.

Современная теория и практика (в частности, стандарты COSO ERM — Enterprise Risk Management, UK Corporate Governance Cadbury Act и другие) содержательно выделяют систему внутреннего контроля как наиболее широкое понятие, включающее в себя внутреннюю контрольную среду и корпоративное управление, собственно риски, их оценку и процедуры управления ими, включая контрольные процедуры как один из способов выявления и управления рисками.

Внутренний же аудит представляет собой функцию, параллельно с риск-менеджментом обеспечивающую эффективность системы внутреннего контроля и управления предприятием в целом. По определению Института внутренних аудиторов, внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации.

Источник: http://www.iia-ru.ru/inner_auditor/publications/articles/testovyy-razdel/a-voronchikhin-razgranichenie-funktsiy-upravleniya/

Внутренний контроль и управление рисками

Система внутреннего контроля «Газпром нефти» направлена на обеспечение финансовой устойчивости Компании, достижение баланса между ростом ее стоимости, прибыльностью и рисками, эффективное ведение деятельности, обеспечение сохранности активов, выявление, исправление и предотвращение нарушений, своевременную подготовку достоверной отчетности и в результате повышение инвестиционной привлекательности Компании.

Принципы и подходы к организации системы управления рисками и внутреннего контроля «Газпром нефти» определяются Советом директоров Компании. Комитет по аудиту Совета директоров проводит оценку эффективности функционирования системы и представляет отчет о результатах оценки акционерам в составе материалов к годовому Общему собранию акционеров. Создание и поддержание функционирования системы управления рисками и внутреннего контроля входят в зону ответственности Правления и Генерального директора.

В целях повышения эффективности системы внутреннего контроля и совершенствования корпоративного управления была разработана новая редакция Политики в области внутреннего контроля ПАО «Газпром нефть». Политика опубликована в составе других внутренних документов на сайте Компании.

Читайте так же:  Поэтапная регистрация ооо

Контролирующие органы Компании

Департамент внутреннего аудита проводит оценку и способствует совершенствованию процессов корпоративного управления, управления рисками и внутреннего контроля Компании. В его функции входят проведение внутренних аудиторских проверок, организация интегрированной системы управления рисками (ИСУР), осуществление деятельности по предотвращению мошенничества.

В рамках своей деятельности Департамент внутреннего аудита оценивает эффективность системы внутреннего контроля бизнес-процессов Компании, включая операционную эффективность, сохранность и правомерное использование активов, достоверность внешней и внутренней отчетности, а также соблюдение требований действующего законодательства и регулирующих организаций.

Департамент внутреннего аудита взаимодействует с ревизионными комиссиями и координирует свою работу с внешним аудитором на всех этапах аудиторского цикла.

Аудиторские проекты покрывают ключевые направления деятельности Компании, а также учитывают ее цели и приоритеты. Аудиторский план формируется на основе риск-ориентированного подхода, непрерывно актуализируется и включает в себя аудит проектов в области разведки и добычи, переработки и сбыта, капитального строительства, финансовой деятельности, информационных технологий, промышленной безопасности и др.

Ревизионная комиссия осуществляет контроль финансово-хозяйственной деятельности Компании, проверку и анализ ее финансового состояния и функционирования систем внутреннего контроля и управления рисками, проверку законности хозяйственных операций. Избирается Общим собранием акционеров.

Внешний аудитор осуществляет ежегодный аудит финансовой отчетности в соответствии с РСБУ и МСФО. Утверждается Общим собранием акционеров по предложению Совета директоров Компании.

«Газпром нефть» уделяет особое внимание совершенствованию системы внутреннего контроля (СВК) достоверности отчетности. В 2016 г. в рамках этой работы сделано следующее:

  • идентифицированы и оценены риски, влияющие на достоверность отчетности;
  • разработаны и внедрены контрольные процедуры по минимизации данных рисков;
  • проведены работы по самодиагностике эффективности выполнения контрольных процедур;
  • разработаны и исполняются процедуры управления изменениями данных СВК в целях их поддержания в актуальном и эффективном состоянии.

Автоматизация внутреннего контроля

Управление рисками является одной из ключевых составляющих системы управления в сфере устойчивого развития. В Компании действует Политика в области управления рисками, определяющая общие цели, задачи и принципы управления рисками для повышения гарантии надежности деятельности Компании в краткосрочной и долгосрочной перспективе.

Ключевые цели «Газпром нефти» по управлению рисками – повышение эффективности управленческих решений посредством анализа сопутствующих им рисков, а также обеспечение максимальной эффективности мероприятий по управлению рисками в ходе реализации принятых решений.

Задачи в области управления рисками:

  • формирование культуры управления рисками в Компании для достижения общего понимания у всех сотрудников основных принципов и подходов к управлению рисками;
  • формирование и внедрение системного подхода к выявлению и оценке рисков;
  • стимулирование обмена информацией о рисках между структурными подразделениями Компании и совместной разработки действий по управлению рисками;
  • систематическое предоставление информации о рисках органам управления «Газпром нефти».

Система управления рисками

Процессы управления рисками в «Газпром нефти» определяются корпоративной Политикой в области управления рисками и единым корпоративным стандартом «Интегрированная система управления рисками (ИСУР)», охватывающим все существенные активы Компании. ИСУР осуществляет непрерывный процесс выявления, оценки и управления рисками. Инструменты анализа и управления рисками интегрированы в ключевые корпоративные процессы.

Ответственность за управление рисками и подготовку отчетности по ним определяется в соответствии с системой линейного и функционального управления. Для каждого риска закрепляется владелец риска, ответственный за его управление. На уровне каждой функции направления бизнеса определены координаторы по рискам среди руководителей, которые распространяют и поддерживают применение корпоративных принципов управления рисками. Сроки и задачи по анализу рисков учитывают особенности и требования каждого бизнес-процесса, на уровне которого осуществляется управление рисками.

Ключевыми направлениями применения инструментов управления рисками остаются повышение качества бизнес-планирования, проектного управления и стратегического планирования. Система управления рисками охватывает, помимо финансовых и операционных рисков, риски социального и экологического характера. Оценку эффективности системы управления рисками осуществляет Совет директоров.

Принципиальная схема процесса ИСУР в Группе «Газпром нефть»

Видео (кликните для воспроизведения).

Управление социальными и экологическими рисками

Описание риска Меры по управлению риском
Риски, связанные с кадровыми ресурсами Успешное достижение стратегических целей во многом зависит от усилий и способностей ключевых сотрудников, в том числе квалифицированных технических кадров. Неспособность привлекать и удерживать персонал с нужными навыками и опытом может негативно сказаться на привлекательности «Газпром нефти» как работодателя. К факторам, увеличивающим кадровые риски, относятся растущий дефицит квалифицированных специалистов и, как следствие, увеличивающаяся конкуренция на рынке труда в России и за рубежом.

«Газпром нефть» предлагает конкурентоспособное вознаграждение, включающее заработную плату и вознаграждение за результат, а также пакет социальных льгот. Компания разрабатывает и реализует программы формирования кадрового резерва, обучения и развития персонала, направленные на обеспечение ее потребностей в квалифицированном персонале на текущий момент и в будущем.

«Газпром нефть» совершенствует процедуры подбора кадров и проводит мероприятия, направленные на снижение текучести кадров и развитие персонала.

Компания реализует программу социальных инвестиций в регионах своего присутствия, направленную в том числе на улучшение качества жизни сотрудников и их семей.

Риски, связанные с промышленной безопасностью и охраной труда

Компания подвержена рискам в отношении безопасности сотрудников и своей производственной деятельности. Данные риски могут возникать вследствие поломок или отказа оборудования, стихийных бедствий, терактов, действия или бездействия персонала. Любой из этих факторов риска может оказать существенное негативное влияние на бизнес, финансовое состояние, результаты деятельности и репутацию «Газпром нефти».

В «Газпром нефти» постоянно развивается методологическая база по ИСУР, включающая общие рекомендации по количественной оценке рисков планирования проектов и бизнес-планирования, а также подробные методики для оценки наиболее существенных рисков, таких как внеплановые простои оборудования, отказы трубопроводов и др. В 2016 г. в рамках развития ИСУР продолжилось совершенствование нормативно-методологической базы по оценке рисков промышленной и экологической безопасности, охраны труда и гражданской защиты.

Источник: http://csr2016.gazprom-neft.ru/governance/internal-control

Аудиторский отчет проверки управления рисками свк пример
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here