Финансовые советы

Как готовиться к аудиторской проверке, что могут спросить

Как проверить состояние бухгалтерского и налогового учета, на примерах и с формами

24 июня 2018 (обновлено 19 апреля 2021), Елена Позднякова

Если вы — главный бухгалтер и принимаете дела по новой организации, или вы — собственник и хотите узнать о состоянии учета, то эта методика составлена специально для вас!

Внутренний аудит учета можно сделать легко, самостоятельно и быстро. Кстати, аттестат аудитора для этого не требуется. Время на выполнение от 1 до 3 дней. Приступим.

Шаг 1. Регистрационные данные

НЕ ПРОСИТЕ УЧРЕДИТЕЛЬНЫЕ ДОКУМЕНТЫ !!!

Да-да, не просите! Листать типовой устав бесполезно. Когда вы запрашиваете папку с учредительными документами и с умным видом погружаетесь в нее, вы показываете, что не знаете, с чего начать, и тратите свое время зря. Просто следуйте моей методике и Вам вообще не потребуется смотреть учредительные документы.Все, что Вам нужно на этом шаге —

Полная информация о компании находится в едином государственном реестре. Это общедоступные сведения. Привожу ссылки, где можно получить эту информацию бесплатно:

Сведения из ЕГРЮЛ. Бесплатные открытые источники информации

  • Сайт Федеральной налоговой службыСведения из единого государственного реестра юридических лиц и ИП (ЕГРЮЛ, ЕГРИП), записи о недостоверности сведений
  • ЗАЧЕСТНЫЙБИЗНЕСБесплатный портал для проверки контрагентов. Сведения из ЕГРЮЛ, ЕГРИП, связи, финансовая отчетность компаний, судебные дела
  • Ресурс создан в 2020 году в связи с изменениями, внесенными в Федеральный закон «О бухгалтерском учете»: на ФНС России возложены функции по формированию и ведению государственного информационного ресурса бухгалтерской (финансовой) отчетности.
  • Сервис позволяет получить комплексную информацию о налогоплательщике из множества государственных реестров, а также сведения о среднесписочной численности, сумме уплаченных налогов и т.д.
  • Проект от создателей бухгалтерского портала Audit-it.ru. Здесь приводится сравнительный анализ финансового состояния российских организаций по отраслям.

потратьте 5 минут. Просто ознакомьтесь с имеющейся информацией:

название компании, дата создания, вид деятельности, кто директор, кто учредители, какой юридический адрес, связи учредителя и компании, информация о судебных делах и бухгалтерская отчетность.

и вот вы уже знаете о компании больше, чем некоторые сотрудники, которые проработали там годы…

Теперь создайте у себя на компьютере папку «Внутренний аудит ООО «ХХХ» 20ХХ год» и сохраните туда бухгалтерскую отчетность за последние 3 года, которую вы нашли в открытых источниках. Эту отчетность уже можно использовать для анализа, если больше никакой информации нет.

А еще она пригодится для того, чтобы сверить ее с балансом, который сдан в ИФНС, который вы возьмете из программы. Казалось бы, расхождений быть не должно, но это только на первый взгляд! В налоговую мог быть сдан уточненный баланс или вообще данные могут не совпадать с программой.

В общем, приготовьтесь на всякий случай к любым сюрпризам! Кстати, если отчетности нет в открытых источниках, это уже плохой сигнал (но учтите задержку, потому что отчетность публикуется обычно спустя год после сдачи).

Итак, в папку «Внутренний аудит…

« мы в дальнейшем сохраним файлы с анализом отчетности, отчет о внутреннем аудите и любую другую дополнительную информацию, которой будем пользоваться во время проведения проверки.

Обязательно создайте эту папку! Вы скажете мне огромное спасибо, когда спустя какое-то время, забыв все, к ней вернетесь и легко поработаете с информацией!

Шаг 2. Сразу начинайте составлять отчет о проведении аудита

НЕ ЖДИТЕ ОКОНЧАНИЯ СВОЕЙ ЖЕ ПРОВЕРКИ

Составление отчета обязательно! Не важно, делаете вы внутренний аудит для себя или для заказчика. Сразу ВСЕ записывайте, даже если Вам ВСЕ предельно понятно.

Дело в том, что внутренний аудит предполагает работу с большим объемом информации, которая поступит в мозг за достаточно короткое время и также быстро будет потом забываться.

Создайте файл «Отчет о проведении внутреннего аудита…» и начинайте писать, можно использовать мой шаблон.

Анализ ООО «Фортуна», ИНН 7719000000Дата регистрации: 12.08.11, глубина возможной налоговой проверки: 2017, 2016, 2015

Период, который мы будем охватывать внутренним аудитом, соответствует периоду возможной налоговой проверки — это 3 полных календарных года назад + часть текущего года. Если компания существует меньше — Вам повезло!

Шаг 3. Задавайте правильные вопросы

А что такое неправильные вопросы?

Неправильные вопросы. Не задавайте никому, особенно сотрудникам бухгалтерии, и особенно в устной форме, вопросов по каждой операции, которая вам показалась странной или непонятной. И вот почему: 1) погружение в детали отнимет у вас очень много времени и процесс может растянуться до бесконечности (а моя методика рассчитана всего на 1-3 рабочих дня)2) почти всегда те вопросы, которые вы задали на первом этапе, в дальнейшем сами собой отпадут. Если же какие-то вопросы останутся, то вы будете их решать в спокойной обстановке после окончания внутреннего аудита.

А что такое правильные вопросы?

У каждой организации есть своя специфика деятельности. Возможно, проводя внутренний аудит, вы столкнетесь в операциями, с которыми раньше никогда не сталкивались и не знаете, как правильно их учитывать.

Например, факторинг, лизинг, производство в общепите, платежи за услуги в адрес нерезидентов, учет технологических потерь, членские взносы некоммерческих организаций, валютный контроль…

здесь может быть все, что угодно…

Спокойствие и только спокойствие! Вы не обязаны все знать! И сейчас у вас нет времени все это изучать. Возникнут вопросы — мы спросим у экспертов. Бесплатно.

А сделаем мы это следующим образом. Выясните, какие справочные системы подключены в организации. Обычно об этом как-то забывают, но в любые тарифы справочных систем входят безлимитные письменные консультации экспертов. Консультант-Плюс, Гарант, Контур-Норматив, Система Юрист, Система Главбух, даже 1С:ИТС (!!!) включают в свои тарифы такие консультации.

https://www.youtube.com/watch?v=kmurvKSB454\u0026pp=ygVq0JrQsNC6INCz0L7RgtC-0LLQuNGC0YzRgdGPINC6INCw0YPQtNC40YLQvtGA0YHQutC-0Lkg0L_RgNC-0LLQtdGA0LrQtSwg0YfRgtC-INC80L7Qs9GD0YIg0YHQv9GA0L7RgdC40YLRjA%3D%3D

Обычно ответы не приходят в ту же секунду, а Вам и не нужно! Если в чем-то сомневаетесь — задайте вопрос письменно и двигайтесь дальше. Через какое-то время придет готовый ответ эксперта, а вы не потратите свое время на анализ информации.

Но даже если ничего не подключено, то даю ссылки на хорошие ресурсы, где можно задать вопрос бесплатно:

Где бесплатно задать вопрос эксперту

  • Форум бухгалтеров на портале Клерк.руЗадать вопрос можно на форуме
  • Консультации юристов (бесплатные + платные). Сервис ПравоведЗадать вопрос можно здесь
  • Бесплатные бухгалтерские и юридические консультации. Справочная от банка точкаЗадать вопрос можно здесь

С вопросами разобрались, идем дальше…

Шаг 4. Перечень отчетности

Сдано — не сдано

На этом этапе, не углубляясь в детали, нужно выяснить, сдана ли в полном объеме вся отчетность, которая должна быть сдана по состоянию на сейчас.Лучший источник для проверки — это доступ к программе для отправки отчетности: Сбис, Контур-Экстерн, Такском, 1С.

В некоторых сервисах можно сразу посмотреть отчет «Сдано-не сдано», но я Вам рекомендую составить файл в excel, в котором перечислить всю отчетность со сроками, по периодам, с указанием контролирующего органа, с отметками о сдаче/не сдаче, и ОБЯЗАТЕЛЬНО!!! сделайте отметки о наличии и количестве уточненных деклараций к каждому отчету.

Информация об уточненках нужна для того, чтобы когда мы приступим к анализу отчетности, не тратить время на анализ всех деклараций за один и тот же период. Если были уточненные, нас будет интересовать только последняя уточненка.

Посмотрите на образец такого файла: Как готовиться к аудиторской проверке, что могут спросить

Обратите внимание, что я выделила цветом декларации по НДС, по налогу на прибыль и бухгалтерскую отчетность, потому что их будем дальше анализировать более подробно. Не сданные (просроченные) отчеты тоже выделены цветом

Помните, что перечень отчетности для каждой компании индивидуален и зависит от налогового режима и объектов налогообложения.

Вы можете скачать мой шаблон и откорректировать его под особенности своей компании:

Кроме этого, в программе для отправки отчетности: 1) проверьте, нет ли требований из контролирующих органов, на которые не ответили2) запросите справку «О состоянии расчетов по налогам и сборам на текущую дату»

Шаг 5. Анализ отчетности

Технология приведена для общего режима, но если компания на УСН, то просто заменяем две декларации по НДС и налогу на прибыль на одну декларацию по единому налогу

5.1 Бухгалтерская отчетность

Сверяем отчетность за каждый год и данные в программе на конец каждого года

Совпадает ли сумма прибыли в отчете о финансовых результатах за год и прибыль в балансе (это разница между нераспределенной прибылью на начало и на конец периода). Да, прибыль могла быть выплачена в качестве дивидендов, но если есть несовпадение обязательно зафиксируйте и, в дальнейшем, проверьте этот факт.

Совпадают ли остатки в балансе на конец периода с данными программы?

Совпадают ли показатели в отчете о финансовых результатах с данными программы (выручка, себестоимость, прочие доходы, прочие расходы)?

Правильно ли перенесены остатки из отчетности за прошлый год?

5.2 НДС Переносим данные из раздела 3 каждой декларации в таблицу excel. Сверяем с данными, отраженными в программе на счете 68.02

Вот пример такой таблицы:

Как готовиться к аудиторской проверке, что могут спросить

Цветом выделяем показатели, которые не совпали с данными программы. Если расхождения незначительные, можно указать это в примечаниях, при больших расхождениях, можно внести дополнительные колонки, с указанием сумм расхождений

Как готовиться к аудиторской проверке, что могут спросить

Как видите, в 4 квартале 2015 года данные в декларации и в программе не совпадают

5.3 Налог на прибыль

Аналогичным образом составляем таблицу с данными по налогу на прибыль и сверяем с программой (счета 90, 91, 99).

Вот пример такой таблицы:

Как готовиться к аудиторской проверке, что могут спросить

Все показатели из каждой декларации собираем в единую таблицу

Если были НЕ принимаемые расходы, их нужно вынести в отдельную колонку.

Затем сверяем налоговую базу по НДС и налогу на прибыль между собой.

Налог на прибыль сдается нарастающим итогом, НДС поквартально, этот момент нужно учитывать.Если были отклонения, их нужно пояснить, налоговая обычно задает вопросы на эту тему.5.4 Заработная плата, НДФЛ, страховые взносы

Составляем сводную табличку за каждый год

https://www.youtube.com/watch?v=kmurvKSB454\u0026pp=YAHIAQE%3D

Не всегда в рамках внутреннего аудита целесообразно проверять заработную плату и страховые взносы, так как этот процесс может занять достаточно много времени.

Например, если главный бухгалтер принимает дела, а в штате есть человек на участке «Заработная плата», то проверку можно и отложить.Чтобы не перегружать данную статью, я не буду подробно останавливаться на заработной плате, но дам полезные ссылки.

Читайте также:  На что имеет право работник без трудового договора

Видеоролик о том, как проверить заработную плату и составить сводную таблицу здесь.

Видеоролик о том, как составить 6-НДФЛ здесь, по этой же методике можно этот отчет и проверить.Статья-справочник «Как принять на работу своего первого сотрудника» здесь (про кадровый учет и много других полезных материалов).Как принять на работу иностранца здесь.

Шаг 6. Смотрим оборотку

«Оборотно-сальдовая ведомость по всем счетам»

Наша цель пройти по всем счетам за все периоды. Идем сверху вниз и знакомимся с каждым счетом.

Как готовиться к аудиторской проверке, что могут спросить

в 1С 8.3 Базовая: Отчеты — Стандартные отчеты — Оборотно-сальдовая ведомость

Из оборотно-сальдовой ведомости нужно последовательно перейти по всем счетам и по каждому счету:1) посмотреть оборотно-сальдовую ведомость уже по каждому конкретному счету с аналитикой (что здесь, нет ли красных отрицательных остатков, что изменилось за период)2) посмотреть анализ каждого счета

При просмотре ОСВ никакой конкретной задачи нет, просто сделайте эту работу и просмотрите все глазами.

Вопросы и комментарии возникнут в процессе, возможно, вы увидите какие-то ошибки. В любом случае, пройдя всю оборотку, хотя бы формально, вы можете быть уверены, что больше никаких сюрпризов нет.Не забывайте записывать информацию в отчет, даже если видите, что всё хорошо.

Например, «в оборотно-сальдовой ведомости по счету 62 в разрезе субсчетов остатки учтены корректно» или «ведется не правильный учет в разрезе аналитики (договоры) на счете 76.АВ: НДС с авансов начисляется с аналитикой «Поступление на расчетный счет…

«, а принимается к вычету с аналитикой «Счет-фактура выданный…» Данная проблема есть в начальных остатках на начало 1 квартала 2020 и сохраняется до текущего момента». Если нужно что-то уточнить, тоже это запишите.

И не забывайте отправлять вопросы экспертам, если в чем-то сомневаетесь.

Шаг 7. Даем рекомендации

Разумеется, что этот раздел индивидуален 🙂

Было бы очень хорошо, если бы рекомендация по результатам была такая: «Все в порядке, замечаний и предложений нет!».

Однако, в реальной жизни я такого ни разу не встречала. Поэтому я приведу Вам свои рекомендации, которые наиболее часто встречаются в отчетах о проведенном внутреннем аудите.

Типовые рекомендации:

по результатам внутреннего аудита для малых предприятий

  • Устанавливать дату запрета редактирования после окончания каждого периодаДля 1с 8.3 Базовая: Администрирование — Настройки пользователей и прав — Дата запрета изменения — Настроить
  • Не применять ПБУ 18/02Оно слишком сложное и малые предприятия имеют право его не применять. Применение ПБУ 18/02 ведет к созданию дополнительных проводок по счетам 09 и 77, часто бухгалтер бывает вообще не в курсе зачем, «программа так сделала». Если нужно срочно разобраться с ПБУ 18 — самая лучшая инструкция здесь.
  • Обратить внимание на безопасность по 115-ФЗЕсли не соблюдать правила, то расчетный счет организации могут заблокировать навсегда. Очень кратко: размер налоговой нагрузки должен превышать 1% от оборота, компания должна находиться по юридическому адресу и никаких запутанных операций. Подробности здесь.
  • При составлении бухгалтерской отчетности сверять данные за прошлый периодТо, что заполнила программа нужно сверить с тем, что было уже сдано в прошлом году

Внутренний аудит готов, мои дорогие друзья!

Что включает в себя аудит?

Как готовиться к аудиторской проверке, что могут спросить

Аудиторские проверки необходимы для оценки того, насколько правомерно отражаются в отчетах результаты различных финансовых операций того или иного предприятия. Данную деятельность осуществляют независимые эксперты.

Основные этапы проверочных мероприятий

  1. Оценивается качество ведения бухучета, уровень квалификации работников, правильность отражения результатов проведенных операций в отчетных документах.
  2. Определяется, законны ли сведения, внесенные в отчет и налоговую декларацию.
  3. Оказание заказчику консультативной помощи по правильному ведению учета, согласно избранной системе налогообложения.
  4. При обнаружении недочетов составляется список рекомендаций по их устранению.
  5. Подготовка заключения в письменной форме по результатам аудита и отчета для руководящих органов компании.

Что такое аудит? Название проверочного мероприятия произошло от латинского слова audio, которое в переводе означает «слушать». Сам термин имеет множество значений.

Его основное назначение – проводить проверки соблюдения правильности, законности финансовых операций, ведение бухучета, выявлять ошибок и оказывать помощь по исправлению. Данную деятельность осуществляют независимые организации.

Процедура применяется для всех процессов, которые происходят на фирме, произведенной продукции, реализуемым проектам. Аудитор подобен врачу, который при помощи своих инструментов заботится о финансовом здоровье предприятий.

Принципиально важные положения ведения аудита

Как готовиться к аудиторской проверке, что могут спросить

Главное в этой работе – обеспечить достоверный и точный результат проверки. Для этого независимым экспертам необходимо соблюдать следующие пункты:

  • выдавать только объективные оценки, проявлять независимость суждений,
  • обеспечивать неразглашение полученной информации,
  • использовать методику экономического анализа и статистические методы,
  • применять новейшие информационные технологии,
  • быть учтивым, лояльным по отношению к заказчику,
  • нести ответственность за качество проверки и предлагаемые рекомендации по устранению недочетов.

Как готовиться к аудиторской проверке, что могут спросить

Подготовка к будущей аудиторской проверке Ежегодно бухгалтеры сталкиваются с необходимостью сдачи годовых отчетов. Часть из них принимает решение пригласить профессионалов.

Даже если бухгалтер имеет многолетний опыт работы, компетентен во всех вопросах, ему все равно требуется помощь. Часто просто физически невозможно за всем уследить из-за недостатка времени.

Можно пропустить новые изменения в законодательстве. Аудиторы могут сообщить полезную информацию.

Для обязательного аудита понадобится подготовить ряд документов: учредительных, расчетных ведомостей, приказов, актов, накладных.

Аудитор поможет обнаружить в организации скрытые резервы, которые помогут повысить эффективность деятельности. Проверка выявит наличие рискованных хозяйственных операций, тем самым помогая избежать наказания, штрафных санкций, предусмотренных налоговым и административным кодексами.

При обязательном для предприятияаудите в итоговой таблице будут отражены такие данные:

  • особенность деятельности предприятия и его платежеспособность,
  • производственные технологии и реализация продукции,
  • образование и квалификация специалистов,
  • автоматизация учетной системы,
  • организация работы систематического контроля внутри предприятия,
  • текущие судебные разбирательства, их предварительный итог.

Как происходит планирование проверок

Сначала составляется общий план, составляется программа, согласуется график работ с заказчиком, назначается состав аудиторской группы.

В ходе процедуры собирается, анализируется и оценивается хозяйственное и финансовое положение, состояние дел в компании. Используются такие инструменты, как:

проверка документов, пересчеты, инвентаризационный осмотр, уточнение информации об остатке на банковском счете, устные беседы, анализ. Сопоставление показателей необходимо для обнаружения ошибок при оформлении документации с целью их устранить.

Итоги работы аудитора

Как готовиться к аудиторской проверке, что могут спросить

По результатам проведенных мероприятий составляется отчет для руководства и заключение для заказчика, которое может содержать положительную оценку текущего состояния дел либо оговорки с указанием факторов, приводящих к ошибкам при подготовке отчетности.

Согласно Федерального закона «Об аудиторской деятельности» № 307-ФЗ, заказчик обязательного аудита обязан публиковать аудиторское заключение в течение трех рабочих дней с даты получения аудиторского заключения (статья 7.1. Федеральный закон от 08.08.2001 N 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей»).

За несоблюдение требований о публикации сведений об аудиторском заключении предусмотрена ответственность, возлагаемая на заказчиков аудиторской проверки, размер которой определяется в соответствии с КоАП РФ: ст. 15.19, ст. 14.25

Коротко о компании ЦНА

В нашей организации трудятся знающие, опытные специалисты, владеющие полным объемом необходимых знаний в области юриспруденции, налогообложения, бухучета.

Благодаря профессиональной помощи вы улучшите свои финансовые показатели, избежите походов по судам, успешно сдадите все отчеты.

Мы получаем многочисленные положительные отзывы от постоянных клиентов и готовы к сотрудничеству с новыми партнерами на лучших условиях.

Вставляем палки в колеса на аудиторских проверках, или Как сделать аудит ИБ максимально некомфортным для аудитора

Привет, Хабр! Спустя 9 лет на проектах по аудитам ИБ за спиной мне нестерпимо хочется взять и написать книгу «1000 и 1 попытка обмануть аудитора». Начну, пожалуй, с первой главы — поделюсь вредными советами, как можно «успешно» пройти аудит, получив минимальное количество замечаний от аудитора.

Зачем вообще компании проводят аудит информационной безопасности? Причин может быть несколько:

  • чтобы получить объективную оценку состояния ИБ (для себя);
  • потому что аудит является обязательным (для регуляторов);
  • потому что аудит требуют партнеры или головная организация (для других).

Любой из перечисленных видов аудита преследует основную позитивную цель — сделать компанию лучше, локализовав текущие проблемы. Большинство наших заказчиков заинтересованы в эффективном проведении таких работ.

Однако иногда встречаются случаи, когда критерием успешности заказанного аудита служит отсутствие выявленных проблем в аудиторском отчете (при полном их наличии). Причины бывают разные, но чаще всего встречаются следующие.

  • Аудит «навязан» вышестоящей организацией.
  • Непрохождение аудита (например, PCI DSS) влечет за собой санкции со стороны контролирующих органов
  • ИБ-служба боится получить «по шапке» от руководства.

Во всех этих случаях штатный аудит превращается в поле боя, где компания стремится по максимуму сохранить рубежи, не показав «лишнего», а работа аудитора становится больше похожа на детективный сюжет.

P.S. Перечисленное под катом не является вымыслом, все это случалось и периодически встречается на реальных проектах.

Как готовиться к аудиторской проверке, что могут спросить

Готовимся к аудиторской проверке

Подготавливаем персонал – обучаем, что нужно говорить и что нельзя показывать

Залог успешной диверсионной подготовки персонала (особенно в условиях грядущих военных действий) — тщательное предварительное обучение.

Как правило, оно направлено на:

  • повышение осведомленности о текущем вооружении аудитора, его приемах, техниках и болевых точках;
  • выработку и совершенствование командных навыков по запутыванию, сокрытию следов, а также оттачивание методики «стрелочник».

Очевидно, что чем меньше информации узнает аудитор, тем меньше несоответствий обнаружит, а где мало несоответствий, там мало проблем (и работы). Значит, задача-максимум аудируемой компании — скрыть возможные проблемные области (информационные системы, отдельные элементы ИТ-инфраструктуры и пр.

), обучив специалистов тому, что можно показывать, а что не нужно. Зачастую о проведении таких обучений нам приходится догадываться по косвенным признакам, однако бывают и досадные «проколы».

Например, во время аудита на соответствие PCI DSS в одном из банков нам распечатали схему сети на черновике, и на его обратной стороне оказалось… письмо от службы ИБ с детальной памяткой по системам, которые можно, конечно, показать, но не в этот раз. Неоднократно подводила опытных бойцов также кнопка «Переслать» в почтовом клиенте, когда вместе со свидетельствами аудита (скриншотами/выгрузками) к нам улетали и внутренние договоренности. Работает ли этот прием? Плохо: используем различные комплексные проверки — и стройные договоренности начинают «сыпаться».

Читайте также:  Как отправить деньги из России в Киргизию

Игнорируем предварительный запрос информации

Любой аудит начинается с предварительного запроса информации: аудиторы пытаются заранее узнать, как живет компания и как выстроены ее процессы, чтобы оптимально спланировать встречи и их продолжительность. Поэтому важная задача этого этапа — разрушить розовые мечты аудиторов о легком аудите.

Сценарий идеального первого свидания с компанией должен быть неожиданным. Используем следующие проверенные временем аргументы:

  • «Прелюдия не для нас, бумажки можно почитать потом».
  • «У нас все равно ничего нет, правда-правда (не правда)».
  • «У нас все на портале, мы сейчас вам быстро (за две недели) учетку сделаем, приезжайте и читайте».

Примеров можно привести много, итог один: со многим приходится разбираться на месте, открывая для себя новое уже в ходе аудита.

Успешна ли такая тактика? Нет, просто больше времени приходится тратить «внеурочно».

Только разовые пропуска, только хардкор!

Хорошее утро начинается с кофе пропуска. Еще один замечательный прием, чтобы заранее деморализовать врага. Встаем пораньше, занимаем очередь на ресепшен или в бюро пропусков, расписываем ручку. Если ты еще не знаешь серию и номер своего паспорта, то теперь точно запомнишь.

Иногда встречаются совсем запрещенные приемы. Например, условием допуска на площадки одного из заказчиков стала разработка регламента его предоставления. Доступ кому был нужен? Нам! Вот мы и писали, как будем его получать и с кем согласовывать.

Приводят ли к чему-то такие «сложности»? Очевидно, что нет: мы любим пораньше вставать (если все-таки ложимся спать).

Усложняем управление проектом

Вам надо — вы и организовывайте. Хард-версия для опытных

Как готовиться к аудиторской проверке, что могут спросить Еще одна важная военная хитрость: переложить ответственность за организацию всех встреч на бывалые плечи менеджера проекта. «Вот портал, вот телефон — организовывайте встречи сами. Отчет можно отправить вот по этому адресу, только сначала со всеми согласуйте по почте». Результат, как правило, не заставляет себя долго ждать: из-за отсутствия куратора у специалистов никогда не будет времени на встречи. Хорошая попытка затягивания сроков, но с нашими менеджерами и выстроенной системой эскалаций работает плохо :-).

Мы попробовали, но у нас не получилось. Лайт-версия для новичков

Больше дегтя — меньше меда. Делаем план-график максимально неудобным и непредсказуемым. Идеальный день аудитора на площадке должен выглядеть так: беседа на час в 9.00, потом на 30 минут в 13.00 и следующая в 18.00. Информацию о запланированных на следующий день встречах высылаем строго в 23.55.

Чем больше хаоса, тем выше шанс, что аудиторы забудут о той самой распечатке на черновике письма с внутренним обучением. Аудитор должен быть гибким, поэтому еще один лайфхак — менять местами интервью прямо в день проведения.

Сам план интервью всегда преследует определенную логику, например, сначала изучается функционал системы, а потом проверяются ее компоненты (СУБД и пр.).

Но это — Спарта, и логика — для слабаков, потому:«Мы там хотели с вами в пятницу с DBA поговорить, но у нашего специалиста 15 минут свободного времени появилось, он сейчас придет». Враг будет разгромлен? Нет, такое мы встречаем часто и умеем с этим бороться.

Аудит по фотографии — самый честный аудит

Повышаем шансы на успех. Превращаем «выездной» аудит в «документарный». Запоминаем:«Отвлекать людей от работы неправильно, у нас высококвалифицированный персонал, который сам все заполнит и приложит скриншоты. Высылайте опросники». Составить универсальный опросник на все случаи невозможно, в зависимости от ответов аудитор всегда ведет беседу по-разному.

Проблема детальных опросников сводится к отсутствию в них гибкости: чем больше вопросов они содержат, тем меньше возникает желания отвечать на них подробно. Поэтому, как правило, такой аудит впоследствии выглядит следующим образом:

  • Подготовка кучи опросников с памяткой по их заполнению.
  • Получение огромного количества неструктурированного материала (каждый может понять вопрос по-разному).
  • Созвоны со специалистами для уточнения информации.
  • Выстраивание из всего материала какой-то стройной картины.
  • Уход на новый круг уточнения.

Достигнута ли цель компании по снижению качества и удается ли деморализовать противника? Нет: звонить мы любим, а проверять то, что нам прислали, еще больше.

Проводим интервью

Театр начинается с вешалки — выбираем лучшие места для беседы

Если все-таки отбиться не получилось и встреч с аудиторами не избежать, вот вам ТОП лучших мест для проведения интервью. Аудиторам точно понравится — не благодарите.

  • На детской площадке у грибка.
  • В туалетной комнате, переоборудованной дополнительно в коммутационную.
  • В машине (ночью).
  • В столовой.

На самом деле странных мест, где мы проводили интервью, гораздо больше. Но вам потом придется с этим жить.

Вообще так даже интереснее, так что это скорее плюс, чем минус.

А не шпион ли ты часом?

В ходе проведения аудита каждый работник компании должен быть на чеку: а вдруг это социальная инженерия, и вместо аудитора к нам пробрался шпион? Вычислить шпиона просто — заставьте его неожиданно показать в следующем порядке:

  • NDA на компанию, где работает аудитор;
  • личный NDA аудитора с вами;
  • рабочий пропуск;
  • копию трудовой книжки;
  • письмо, заваренное руководителем компании;
  • паспорт.

Только после этого выдавайте «военную тайну». Нет с собой копии трудовой — ну что ж, придется запланировать встречу еще раз. Прием встречается редко, работает безотказно ровно для одной встречи, потом все документы оперативно собираются в нужном количестве экземпляров.

Берем массой, или Чем больше, тем интереснее (нет)

Как сделать деловую встречу максимально бесполезной? Рецепт прост: открываем любую статью в Интернете по эффективным совещаниям и превращаем полезное в неполезное:

  • Всегда определяйтесь с повесткой собрания заранее. Никогда не сообщайте коллегам о цели встречи. Скажите, что это ПРО БЕЗОПАСНОСТЬ, и ТАМ вам все расскажут НУЖНЫЕ ЛЮДИ (почувствовали мурашки?).
  • Число участников должно быть минимальным, не более 7 человек. Снимите просторную переговорку и позовите большую часть ИТ-специалистов. Они будут друг друга дополнять, и аудиторы сэкономят кучу времени (нет).
  • Не затягивайте совещание дольше, чем на час. Запланируйте встречу часа на четыре под конец рабочего дня, чтобы точно снять все вопросы.
  • Убедитесь в том, что все принимают активное участие в обсуждении. Раздраженный работник — лучший собеседник. Поэтому приглашайте и HR, и DBA, и всех остальных: пусть ждут, когда до них дойдет очередь.

Практика организации таких встреч не редкость (хотя такие моменты всегда проговариваются с заказчиком), и мы по-разному выходим из ситуации, чтобы вовлечь в беседу всех специалистов и не дать им заскучать. Работает? Плохо, но попытка хорошая.

Играем в «Данетки», или Я угадаю эту мелодию с одной ноты

Как готовиться к аудиторской проверке, что могут спросить Активизируем секретное оружие — запоминаем правила игры в «Данетки». Задача работника: минимизировать психологические пытки аудиторов, заставить их грамотно формулировать вопросы, чтобы на них можно было отвечать только «Да» или «Нет».

Задача аудитора: отгадать почему мужчина заходит в бар и просит стакан воды, бармен внезапно достает ружье и направляет на мужчину. Мужчина говорит «Спасибо» и уходит ответы на свои вопросы:

— Какие средства автоматизации управления заявками у вас используются? — Да! — Какие технологии виртуализации используются в компании?

— Все!

Проводить такие аудиты крайне сложно, информацию приходится добывать по крупинкам. Обожаю эту игру.

Добавляем цензуру

Вы думали, что цензура, это — система надзора за содержанием и распространением информации, печатной продукции, музыкальных и сценических произведений и прочего? Нет. Цензура — это вовремя выставленный за спиной аудитора ИБ-шник.

В таком важном мероприятии, как аудит, нет места фантазиям и домыслам аудитора. Поэтому: «Это не у нас неправильно, это вы неправильно поняли, и вопросы ваши неправильные». Задача цензора — помочь работнику не завалить экзамен.

Помощь может заключаться в следующем:

  • Отфильтровываем на свой вкус «неправильные» вопросы. Апеллируем границами аудита либо вопросами не по адресу или не по существу.
  • Отвечаем за аудируемого (вдруг он забыл, о чем раньше с ним успели договориться).
  • Заглядываем в записи аудитора и даем замечания.

Сюрреализм? Он самый. Однако такой опыт тоже был в нашей практике. Прямо скажем: получалось у заказчика плохо, хотя идея — огонь!

Уходим в цикл и переводим стрелки

Важно запутать врага, чтобы он не смог сделать опасное аудиторское заключение и навредить вам. Еще одно ядерное оружие, как и «Данетки». Записывайте универсальную формулу.

Работник N: «Я это не знаю, я работник N, это знает другой работник N+1». Работник N+1: «Я работник N+1, вас обманули, это зона ответственности работника N».

Работник ИБ: «К сожалению, у нас закончились свободные слоты у работников N и N+1, вам надо работать с той информацией, что есть».

Работать в таком режиме сложно, а значит цель достигнута? Нет, бороться можно и нужно: мы предварительно прозваниваем специалистов, ведем протоколы встреч и прочее.

Держи мышку, я пошел, или Хочешь лучше узнать систему — сделай это сам!

Любой аудитор — это специалист с большой буквы. Так что он должен заочно знать абсолютно все используемые вами технологии на уровне администратора, уметь за 5 минут пересобрать ядро Linux и наизусть знать ваш SAP. Поэтому лучший способ заставить его понервничать — дать ему «порулить».

Пусть сам разбирается в архитектуре ваших систем, выстраиваемых годами. Можно просто рядом посидеть и помолчать. Работает, кстати, не очень хорошо, потому что «рулить» мы зачастую умеем, но в ходе аудита оценивается в том числе и компетентность персонала.

Как результат можно получить заключение о том, что специалисты не знают свои системы.

Быстро поправили — значит, не было

Знаете правило пяти секунд? Отлично, используйте его и на аудите. Отвлеките аудитора и смело вносите правки в настройки безопасности. Или вообще не отвлекайте и вносите при нем: быстро исправили — значит, не было. Можно не объяснять — не работает.

Усложняем процедуру получения свидетельств

У нас суперсекретная информация

Популярный прием, безотказный, как автомат Калашникова. Вся разработанная документация — интеллектуальная собственность. Все конфигурации сетевого оборудования — коммерческая тайна.

Для изучения необходимой информации заставьте аудиторов работать на специально выделенном рабочем месте, отключите Интернет, запретите флешки. Пусть либо переписывает всё необходимое на бумагу, либо обезличивает и оставляет файл на рабочем столе, а вы уже оставите в файле нужное на свой вкус.

Читайте также:  Взял кредит и уехал за границу: что будет

Что до документов, то пусть аудитор читает их в распечатанном виде. Отдельно вспоминается несколько случаев.

  • Как-то нам распечатали конфигурацию сетевого оборудования на паре пачек «Снегурочки» без разрешения выноса материала с площадки.
  • В другой раз от нас требовали обосновывать каждый запрашиваемый скриншот.
  • На еще одном проекте передавать все свидетельства можно было только на бумаге.

Кто-то обоснованно возразит: наверное, в этих компаниях был строгий режим коммерческой тайны? Нет. Его не было вообще.

Поможет ли это как-то снизить качество работ? Спорно. У нас есть и не такой опыт: например, создание отчета через VDI заказчика с закрытым буфером, портами и сетью Интернет с получением свидетельств на диске с грифом КТ курьером. Как тебе, Дэвид Блейн?

Используем магию графического редактора

Как готовиться к аудиторской проверке, что могут спросить Как сказал великий Сунь-Цзы в книге «Искусство войны»: «Война — это путь обмана. Поэтому, если ты и можешь что-нибудь, показывай противнику, будто не можешь; если ты и пользуешься чем-нибудь, показывай ему, будто ты этим не пользуешься». На войне все способы хороши, поэтому использование графического редактора увеличивает ваши шансы на победу. Все «неудобные» свидетельства у вас на руках, остается чуть навести makeup перед отправкой. У этого вектора есть небольшой шанс при удаленном запросе информации или плохой памяти аудитора. Минус: получается неловко, когда аудитор решил проверить ранее предоставленные скриншоты на площадке. Но кого это останавливало? В нашей практике был случай, когда мы получили от заказчика случайно пересланную цепочку писем следующего содержания:— Подправил немного скриншот, похоже на правду? — Отправляй, вдруг прокатит. Кстати, не прокатило.

Затягиваем согласование отчета

Запятые — это важно

Финальный этап противостояния: интервью проведены, свидетельства отправлены, драфт отчета получен. Пора взяться за самое важное: запятые и точки. И не важно, что нормоконтроль документа — это завершающий этап (и это было согласовано), в отчете все должно быть прекрасно. Чем больше замечаний, тем больше впечатление, что аудит выполнен некачественно.

Максимально оттягивайте замечания по существу и сроки согласования отдельных разделов отчета. Отлично работает также включение в цепочку согласования большого количества специалистов. Наш девиз: «Аудит на полгода, согласуем за полтора!». Подольше тяните, а там уже и градус накала спадет, и часть работ станет неактуальной (появится новое, старое выведется из эксплуатации).

Работает плохо, читай выше про менеджеров. *** Конечно, большинство наших проектов по аудиту проходит в штатном режиме, и здесь приведены наиболее яркие примеры того, как такие работы можно превратить в долгое мероприятие. Выводы каждый сделает сам: взять на вооружение и «успешно» проходить проверки, либо сделать ваш следующий совместный аудит с интегратором чуть лучше.

Улыбайтесь чаще 🙂

Как пройти аудиторскую проверку, когда о компании полно негатива

Резонансная публикация о проблемах в компании может спровоцировать внезапную проверку. Или нет? А если да, то что делать?

У нас есть клиенты, которым потенциальные бизнес-партнёры отказывали в сотрудничестве будто на ровном месте. Аудиторские проверки пройдены и формально всё отлично, но инвесторов смущали негативные публикации. Для партнёров это был принципиальный вопрос.

Сегодня расскажем насколько распространена практика анализа репутации во внешнем аудите, может ли негатив стать причиной внеочередной проверки и что делать, что обезопасить свой бизнес от негатива.

Что нужно знать об аудите

Внешний аудит показывает достоверность финансовой отчётности. Ни больше ни меньше. Иные проверки могут быть инициированы параллельно аудиту.

Есть компании, которые обязаны предоставлять финансовый отчёт заинтересованным лицам: акционерам, страховым компаниям и т.д. Чтобы проверить достоверность отчётности, инициируется проверка.

Как пройти аудиторскую проверку? Для начала нужно разобраться из чего она состоит.

На что смотрят: финансовая и бухгалтерская отчётность компании, жизнеспособность внутренних механизмов контроля по подготовке бухгалтерской отчётности.

Кто заказывает: государственные проверяющие, кредиторы, акционеры и инвесторы.

Что интересует: уже выполненные операции и события, способных оказать существенное воздействие на финансовую и бухгалтерскую отчётность организации. Обычно вопросы экономической обоснованности управленческих решений не рассматриваются.

Как часто проводят: раз в год, иногда реже. Всё зависит от финансового календаря.

Результат аудита.  Заключение о достоверности предоставляемой финансовой отчётности. Они могут разниться, поэтому поговорим о них подробнее.

Какие бывают аудиторские заключения

Всего пять типов, в которых стоит разобраться.

Согласно классификации международного стандарта аудита 705, заключение может быть немодифицированным и модифицированным. Вместе они объединяются в пять типов:

1. Безоговорочно положительное (немодифицированное аудиторское заключение). Проверяющие не обнаружили нарушения, вся документация сдана в соответствии с установленными методами, а отчёт отражает все факторы, влияющие на финансово-хозяйственную деятельность. Бухгалтерия явно знает, как подготовиться к аудиту компании.

Далее идут модифицированные мнения.

2. Безусловно положительное мнение. Всё отлично, но аудитор считает нужным указать обстоятельства, которые окажут незначительное влияние на финансовую отчётность.

3. Заключение с оговоркой. У аудиторов есть претензии к отчётности. В этом случае указываются спорные моменты, чья достоверность ставится под сомнение. Компания прошла аудиторскую проверку, но в будущем она должна внимательнее отнестись к отчётности.

4. Отрицательное заключение. Компания допустила просчёты, из-за которых отчётность не может отражать реальное положение дел.

5. Отказ от выражения мнения. Используется, когда проверяющий не видит возможности получить достаточные надлежащие аудиторские доказательства.

Какие компании должны проходить обязательный аудит

Некоторые могут жить без аудита. Другим закон предписывает проходить через него ежегодно.

Глобально аудиторские проверки делятся на обязательные и добровольные.

Обязательная. Регламентируется законом Российской Федерации (о нём далее), проводится один раз в год.  Исполнителями выступают только аудиторские компании, а сам процесс находится под контролем государственных органов или выполняется на базе решения судебных органов.

Добровольная (инициативная). Инициируется самой компанией. Допустим, владелец хочет узнать корректность действующей финансовой отчётности и избежать потенциальных проблем с Налоговой.

Вернёмся к обязательным проверкам. Законодатель закрепил перечень организаций, обязанных проходить аудит. Это:

  • акционерные общества;
  • компании, чей объём выручки за предыдущий год превысил 400 млн рублей;
  • компании, чьи ценные бумаги допущены к организованным торгам;
  • кредитные и страховые компании;
  • если компания раскрывает годовую сводную финансовую отчётность;
  • компании, в уставных капиталах которых доля государственной собственности составляет не менее 25%;
  • если сведения о результатах обязательного аудита подлежат внесению в Единый федеральный реестр сведений о фактах деятельности юридических лиц;
  • компании, чья сумма активов бухгалтерского баланса на конец предыдущего года превысила 60 млн рублей.

Может ли негатив в интернете повлиять на прохождение аудита

Напрямую негатив не может стать причиной для проверки. Максимум — подтолкнуть к более пристальному вниманию. Если о компании много негатива, то это следствие системных проблем.

Главное, что нужно знать об аудите — это регулируемая законом процедура. Даже внеплановые проверки не могут пройти просто так. Это касается и самой процедуры — изучаются хозяйственная деятельность и финансовая отчётность. Однако форма заключения более демократична, поэтому аудитор может приложить к нему скриншоты о негативных публикациях. Ведь это риск для финансового состояния, верно?

На деле всё несколько сложнее. Влияние негатива на репутацию — и, как следствие, продажи — сложно представить, как исчисляемую метрику. Для этого есть другое понятие — гудвилл. Однако он фиксируется только при покупке действующего предприятия при подведении консолидированной финансовой отчётности.

Негативный информационный фон имеет огромное значение при другой проверке — due diligence. Чаще всего её заказывают инвесторы, чтобы оценить привлекательность потенциального актива: бизнеса, недвижимости, земельного участка и т. д.

Как готовиться к аудиторской проверке, что могут спроситьРоссийский бизнесмен искал партнёров для открытия компании в Европе. Заинтересованные лица нашлись, после обсуждения планов началась проверка due diligence. К сожалению, совместное предприятие не получилось. Всё дело в публикациях в СМИ, где предприниматель фигурирует как трейдер. В статьях нет негатива или криминала. Однако европейские инвесторы не захотели вести дела с партнёром, связанным с трейдингом.В отличие от аудиторской проверки, due diligence более гибкая процедура. Поэтому подобные отказы встречаются всё чаще.

Пока в нашей практике не было случаев, когда нежелательные публикации мешали пройти аудиторскую проверку. При этом кейсов с due diligence хватает — об этом мы подробно писали вместе с экспертами.

Стоит ли говорить аудиторам о проблемных негативных публикациях

Пока негатив не отражается в заключении по итогам аудита. Однако при необходимости о нём можно рассказать проверяющим.

Логика такая: большое количество негатива не может появиться просто так. Возможно, за этим стоят системные проблемы в управлении бизнесом. Это фактор риска, а они отражаются в заключении.

Если о компании есть негатив, об этом лучше сказать заранее. Возможно, на это не обратят внимание, но иногда имеет смысл перестраховаться. Особенно во время due diligence:

  1. Проверка всё равно найдёт отрицательные упоминания.
  2. Благонадёжный партнёр не будет скрывать ошибки и объяснит, как их исправили.
  3. Инвесторы увидят полную картину проблемной ситуации, как она появилась и какие уроки вынесла команда.

Как пройти аудиторскую проверку и due diligence? Честно отвечать о причинах появления негативных публикаций. При этом важно показать, как компания устранила проблему.

  • Заключение может быть немодифицированным и модифицированным. Вместе они объединяются в пять типов: безоговорочно положительное (немодифицированное аудиторское заключение), безусловно положительное мнение, заключение с оговоркой, отрицательное заключение, отказ от выражения мнения.
  • Есть два вида проверок: добровольные — инициируются самой компанией, чтобы узнать корректность действующей финансовой отчётности и избежать потенциальных проблем с Налоговой, и обязательные, которые регламентируются законом Российской Федерации, проводятся раз в год.
  • Напрямую негатив не может стать причиной для проверки, а может лишь подтолкнуть к более пристальному вниманию. Влияние негатива на репутацию — и, как следствие, продажи — сложно представить, как исчисляемую метрику. Для этого есть другое понятие — гудвилл.
  • Честно отвечать о причинах появления негативных публикаций. При этом важно показать, как компания устранила проблему. Если о компании есть негатив, об этом лучше сказать заранее. Возможно, на это не обратят внимание, но иногда имеет смысл перестраховаться.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *