Professional Documents
Culture Documents
ВК-ФУ-ВО-ново чисто
ВК-ФУ-ВО-ново чисто
1
приетите норми и правила за поведение, до въздействие върху поведението на
отделните личности.
Обществото преминавайки през определени етапи от своето развитие създава и
различни структури и организация на управлението. Така управленските функции в
динамика изразявят възможности на отделните структури да управляват и да бъдат
управлявани
Отделните организации или структури /системи/ изпълнявайки управленски
функции трябва да определят цели за развитие, начини за тяхното постигане и
организация, както и да упражняват контрол.
Контрола изразен като управленска функция може да се прояви чрез пет
елемента. Тези елементи са: задаване на параметрите за развитие и оценка нормата на
поведение на системата; прогнозиране на очакваното състояние; измерване на
фактическото състояние; съпоставка между първите три елемента и анализ на
отклоненията; изготвяне на корeгираща програма, която предполага и обратната връзка
в системата за управление.
2
предполага контрол преди събитието способстващ за намаляване или отстраняване на
факторите, или управление на рисковете, водещи до отклонения
Третия елемент - измерване на фактическото състояние като контролен
процес е свързан с измерването на заложените параметри и норма на поведение за
развитие на системата към определен момент. При този елемент на контролната
функция трябва да се разполага с достатъчно и достоверна информация, определяща
точноста на измерените параметри и количеството извършени проверки. Особено място
се отделя на законосъобразността и целесъобразността на заложените параметри и
норма на поведение, както и фактическото състояние на всечки вътрешни и външни
условия, в които се развива системата.
При следващия елемент - съпоставка между нормата, очакваното и
фактическо състояние контрола насочва вниманието към фактори и условия
причнили отклонения в отрицателна или положителна посока. Тук се открояват анализа
и диагностиката на допуснатите отклонения.
При петия елемент на контролната функция, - регулирането на поведението на
системата е от съществено значение за реализацията и ефекта от самия контрол.
Изготвянето на корегиращата програма обобщава установените отклонения като
включва оценка за законосъоразност и целесъобразност, като тя е само част от
механизмите за регулиране. Самата корегираща програма предполага и обратната
връзка чрез която упаравлението на системата се подпомага да предприеме адекватни
мерки и управленски решения. Тези решения са насочени към евентуални промени в
параметрите, нормата на поведение, дори и в целите.
Чрез посочените елементи контролът се пръвръща в основна управленска
функция, обективно необходима за реализация на управление и осъществявето на
целите му.
Обособяването и групирането на близки или еднакви контролни функции,
отличава различните видове контрол.
Така в зависимост от принадлежността на контролната функция, имаме
държавен и обществен; според мястото на обекта и субекта е външен и вътрешен;
според управленската функция е независим, дистанционен; според обектите на контрол
е материален и документалени, както и по-новите, като диагностичен и прогностичен
контрол.
Според характера на контролните функции, контрола може да бъде независим,
управленски и оперативен.
3
Според използваните средства контрола може да бъде дистанционен,
автоматизиран, механизиран и други.
Според обектите на контрол контрола е материален, документален, системен,
личностен и др.
Според спецификата на контролната функция имаме данъчен, митнически,
финансов, технически и други.
-държавен контрол – осъществява се от специално създадени за тази цел
институции чрез закон и произтича от правото на държавата да защитава своите
интереси. Той е преди всичко външен за контролираните обекти и към него могат да се
отнесат данъчния, митническия контрол, контрола на Сметната палата и други.
-обществения контрол от по-слабо изразен, напоследък все повече се налага и
утвърждава, като проява на критично отношение към поведението на държавата, нейни
институции, служебни лица и т.н. Освен това се приема, че обществения контрол се
прилага и по отношение спазването на общоприети правила и норми за поведение от
отделни личности. Като проява на обществения контрол в днешно време,
олицетворяваща демократизацията на обществото, гражданските права и критичност,
могат да се отнасят митингите, стачките, референдуми, избори, институцията на
национален Омбудсман и др., като критично отношение на обществото.
-вътрешен контрол – той се определя от мястото на обекта и субекта на контрол
и е такъв, когато те са в една и съща система или в непосредствена близост.Той е
характерен за управлението на дадена организация или система, като е пряко зависим
от собствеността, т.е. контролира собственика. Такъв у нас е вътрешния контрол по
ЗФУКПС, вътрешния одит по ЗВОПС, контрола осъществяван от главен счетоводител
и други контроли вътре в самата организация.
-при външния контрол обекта и субекта са в различни системи и до някъде
определя йерархия в управлението. Външния контрол е преди всичко държавен
/упражнява се от държавни органи/ и се осъществява от законово създадени институции
като АДФИ, НАП, Агенция Митници, Сметната палата в публичния сектор и т. н.
Такъв е и контрола / външен одит /, осъществяван от независими одитори /ИДЕС / или
други, които не са държавни.
-независим контрол – това е контрола, който се подчинява само и единствено на
закона и се осъществява от независим орган или друга институция. У нас такъв е
контрола на Сметната палата, която се избира и отчита пред НС, осъществяван като
финансов одит и одитиране на ГФО в публичния сектор и одита осъществяван от
4
независимите одитори относно достоверността и заверката на ГФО в т.н. реален
сектор.
-дистанционен контрол – това е контрол от дистанция без реален контакт между
обекта и субекта на контрол. При сегашното развитие на техниката и технологията,
интернет връзките той има все по-голямо бъдеще по отношение на контролните
процеси и контролираните обекти.
5
2. Интегрирани рамки и модели за контрол
6
групирани в 4 компонента:
Цел –Ангажираност – Способност - Мониторинг и обучение
Моделите COSO и СоСо наблягат на меките контроли например комуникиране
на етичните ценности, стимулиране на взаимното доверие. При модела COSO меките
контроли са включени в контролната среда. Те трябва да се различават от твърдите
контроли, които представляват съответствието със специфичните политики и процедури
наложени на служителите. Меките контроли стават все по-необходими с развитието на
технологиите, чрез които се повишават правомощията на служителите. Чрез
технологиите служителите получиха по-голям обем информация и имат възможност да
взимат решения, които до тогава се взимаха на други равнища. Технологията направи
голяма част от меките технологии автоматизирани чрез вграждането им в различни
компютърни програми. Един от подходите за одит на меките контроли е „самооценката
на контрола”, която се извършва чрез провеждането на работна среща за оценка на
вътрешните контроли с участието на ръководителите и служителите.
Разбира се всеки от посочените модели има предимства и недостатъци, като:
Предимствата на тези рамки се състоят във възможността да се дадат насоки, да
се определят оценки по отношение на контрола в една организация. Позволяват
систематичност, съпоставимост. Важно е да са съобразени с потребностите, целите и
мащабите на организацията.
Недостатъците са свързани най-вече с ограничеността на рамката и риска от
недостатъчна изчерпателност. Това може да бъде преодоляно с процесите на
мониторинг, но оценка адекватността на самата рамка. Тези модели са добра база за
одиторите, тъй като насочват и са по-благоприятни за оценка. Спомагат прилагането на
характерният за одиторите принцип – дисциплиниран и системен подход.
Независимо от многообразието на модели и рамки, някои от тях са се наложили
в практиката и са широко използвани и приложими.
Това е моделът COSO, който разглежда вътрешния контрол като процес,
осъществяван от съвета на директорите на организациите, ръководството и друг
персонал и е предназначен да предоставя разумно ниво на увереност по отношение
постигане на целите свързани с:
- ефективност и ефикасност на операциите
7
COSO е интегрирана рамка за вътрешен контрол, която е създадена през 1992
година. Разработена е от Съвета на спонсориращите организации на комисията
“Treadway”. Включва предписания, отнасящи се до различни функции – управление на
човешките ресурси, логистика на вноса и износа, външни ресурси, информационни
технологии, риск, правни отношения, предприятието, маркетинг и продажби, операции,
финансови функции, снабдяване и отчетност. В сравнение с останалите стандарти,
COSO е ориентиран повече към бизнеса и е по-малко специфициран към ИТ.
8
с рисковия профил на организацията; по-добро управление на риска от ІТ за бизнеса;
съдействие за интеграция и стандартизация на бизнес процесите; задоволяване нуждите
на потребителите и разширяване на техния брой и т.н.. В практиката са възможни и се
срещат рискове от управлението на ІТ, като: риск от инвестиция или потенциални
необосновано високи разходи ; риск от непозволен достъп или риск в сигурността на
информацията; риск от липсата на интеграция; риск от несъответстваща или
неправилна информация и др.;
В тази посока, прилагането на модела COBIT, би подобрило управлението на
наличните информационни ресурси и намалил посочените рискове, като по този начин
да съдейства за адекватното посрещане на правни и бизнес изисквания, както и за
постигането на други цели.
От своя страна, модела COSO води до подобряване на достоверността на
финансовите отчети и съответстие с приложимото законодателство, ефективността и
ефикасността на дейностите, като всеки от дадената организация ще бъде осведомен за
политиката и за стратегиите на ръководството. По този начин би се постигнала една
синхронизация и целите да организацията да бъдат достигнати.
В днешно време финансовото управление и вътрешният контрол е неразделен
елемент от дейността на организациите, които са насочени към постигане на целите.
Той дава сигурност на ръководството, че именно тези цели ще бъдат достигнати.
Особено важно и необходимо да се изгради една организационна култура със
съответните етични норми, която да допринася за по-доброто разбиране вътре в
организацията, за рисковете в нея и съответно да се прилагат определени стратегии за
елиминирането на тези рискове или тяхното управление. Трябва да има пряка и обратна
връзка между ръководител и служител, защото всеки трябва да знае своите задачи, но и
да умеят да обменят информация за дейността, която е необходима за развитието на
организацията и постигане на нейните цели. Всяко управленско решение трябва да бъде
разбрано от служителите на всички нива, с цел своевременно да изпълнят задълженията
си и да отчитат постигнатите резултати.
Необходимостта от разработване на модел за вътрешен контрол се е породила
именно от нуждите да се идентифицира риска, да се установят и приложат контролните
дейности, да се направи оценка на ефективността на вътрешния контрол. Това дава
възможност на ръководството да наблюдава ключовите бизнес и финансови дейности,
напредъка към постигане на целите и да се идентифицират тези области, където е
необходима намеса.
9
Контролът трябва да осигури опазването на активите и информацията от
различни рискове, от загубата им, като унищожаване, кражба, злоупотреба.
Също така трябва разходите за прилагане на контролните дейности, да не
превишават очакваните евентуални ползи от тях. Изпълнявайки това изискване
контролните дейности на организацията ще изпълнят предназначението си.
Вътрешният контрол позволява на ръководството да се справя с бързо
променящите се икономическа и конкурентна среда, да съдейства за постигане на
ефикасност, ограничаване на риска от загуба на активи и информация, както и да
гарантира достоверността на финансовите отчети, в подкрепа на законовите
изисквания.
Особено важна в този процес е ролята на одитора, който трябва да оцени
адекватността и ефективността на системата за вътрешен контрол, обхващаща
управлението на организацията, оперативната дейност и информационните системи.
Задълбоченото познаване на основополагащите концепции, модели и рамки за
управление на риска и вътрешния контрол, създадени през последните години е от
съществено значение за компетентното осъществяване на дейността по вътрешен одит.
Цялостният процес по установяване на контролите съдържа следните основни
стъпки, които е добре да се съблюдават: анализиране на контролираната среда;
определяне и оценка на рисковете; дефиниране целите на контрол; определяне на
контролираните процеси; проектиране и внедряване на контролите;
оповестяване/обучение и мониторинг.
Поради това у нас е възприет и се прилага модела „СОSО”, който е в основата
на приетите и действащи ЗФУКПС и ЗВОПС заедно с утвърдените насоки и указания
от МФ.
10
3. Моделът „COSO” – базова концепция за вътрешен контрол
11
концепциите, разработени в оригиналния вариант, се предлага актуализирана рамка,
съдържаща 17 принципа, разпределени в петте компонента на вътрешния контрол.
12
-това е процес, съдържащ изпълнението на различни задачи и дейности, т.е. това
е средство за постигане на една цел, а не самата цел.
-това не е просто политика на ръководството, система или форма, а се отнася за
хората от всички нива на организацията, които прилагат вътрешния контрол.
-с възможности да осигури разумна степен на сигурност, не абсолютни
гаранции, на висшето ръководство на организацията.
-насочен към постигане на целите на организацията в една или няколко отделни,
но частично припокриващи се категории.
-приложим към структурата на организацията
Вътрешният контрол не е единичен случай или обстоятелство, а динамичен и
итеративен процес, действия, които обземат, проникват, разпространяват се във всички
дейности на компанията и са в унисон с начина, по който ръководството управлява
бизнеса. Този процес обхваща политиките и процедурите, които осигуряват
прилагането на контрола, с които ръководството декларира какво трябва да бъде
извършено.
Това изявление може да бъде оформено документално, изрично посочено в
различни управленски съобщения, или прилагано чрез управленските решения.
Процедурите представляват действия по прилагане на политиката. Бизнес
процесите, които се извършват в или през операционните единици или функционални
области се управляват чрез управленски дейности на планирането, изпълнението и
проверката, като вътрешният контрол е интегриран в тези процеси, и е най-ефективен,
когато е вграден в инфраструктурата на организацията и изпълняваните дейности.
Създаването на контроли в съществуващата система, или модифицирането на
контролите навсякъде в организацията, директно въздейства върху нейните
възможности да постигне своите цели, да поддържа качествени бизнес инициативи и
има важно въздействие върху стойността на разходите.
Организацията се състои от хора, вътрешния контрол се създава от висшето
ръководство, мениджмънта и останалия персонал. Реализира се от хората в компанията
чрез онова, което те правят или казват. Хората задават целите на организацията и
прилагат контролните механизми на съответните места.
Но хората не винаги разбират, комуникират и изпълняват нещата
последователно, всеки индивид носи на работното си място своя индивидуален опит и
технически възможности, има различни нужди и приоритети Посочените
индивидуални различия могат да са сами по себе си стойностни и полезни за
13
осигуряване на иновативност и производителност, но ако не бъдат правилно насочени
за изпълнение на целите на организацията, те могат да бъдат контра продуктивни.
Хората трябва да са наясно със своите отговорности и ограниченията на своите
правомощия и власт. Трябва да съществува ясна и здрава връзка между задълженията
на отделните служители, начина по който те ги изпълняват и тяхното съответствие на
целите на организацията, което сигурява разумна степен на сигурност.
Ефективната система за вътрешен контрол осигурява на висшето ръководство
разумна степен на сигурност относно постигането на целите на организацията.
Използването на термина „разумна степен на сигурност“ вместо „абсолютна
сигурност“ позволява да се илюстрира осъзнаването на ограниченията на
възможностите на системите за вътрешен контрол, поради което може да съществуват
рискове и несигурност, които не могат да бъдат предвидени с достатъчна увереност и
прецизност. Абсолютна сигурност е невъзможна и не съществува.
Разумната степен на сигурност предполага, че организацията няма да може
винаги да постига своите цели, кумулативният ефект на вътрешния контрол се изразява
в увеличаване на вероятността за постигане на тези цели. Но вероятността за постигане
е зависима от съществуващите ограничения на системите за вътрешен контрол, като
човешки грешки и присъщата несигурност на преценките.
Освен това, системата за вътрешен контрол може да бъде заобиколена или
надхитрена от хора с престъпни или нечестни намерения, като допълнителна опасност
за провал на системата може да предизвика възможното незачитане, неспазване или
отмяна на контролите от страна на ръководството. С други думи, дори една ефективна
система за вътрешен контрол може да има провали и неуспехи.
14
Те показват какво може да се очаква от системата за вътрешен контрол, а
именно да осигури с разумна степен на сигурност постигането от организацията на
онези цели, които се отнасят до надеждността на външните отчети и съответствието на
законите и регулациите.
Постигането на тези цели, които са базирани като цяло на законите, правилата,
или стандартите, установени от регулаторите, от признати стандартизационни
организации и други външни партньори зависи от това, как се осъществяват дейностите
по контрола в организацията. На тази база вътрешният контрол може да се прилага
върху операционния модел на организацията на база управленски решения в контекста
на правните и регулаторни изисквания.
15
5. Цели и елементи на вътрешния контрол
16
О
П
П ЕФ
Н
О Р У
СРЕДА НА КОНТРОЛ И
Д АН
В
О Р Ц.К
А Ц
ОЦЕНКА НА РИСКА О З ЕИ
Р Д ДИ
Г Е И
КОНТРОЛ НА ДЕЙНОСТИТЕ А Л Н
Н Е И
И Н Ц
ИНФОРМАЦИЯ И КОМУНИКАЦИЯ И
З И
А Я
Ц.
ДЕЙНОСТИ ПО МОНИТОРИНГ
17
на високо ниво отразяват избора на ръководството по отношение на начина, по който
организацията ще създава, запазва и реализира стойност за заинтересованите страни. Те
могат да са базирани на уникалните операционни нужди на организацията, на законите,
на регулациите и стандартите, наложени от външни партньори, или на някаква
комбинация от всички тях.
Установяването на целите е необходимо условие за въвеждане на вътрешен
контрол и ключова част от управленския процес, свързан със стратегическото
планиране. Като част от вътрешния контрол мениджмънтът специфицира целите, които
се поставят така, че рисковете за постигането им да бъдат идентифицирани и оценени.
Определянето на целите е свързано с фокусиране върху такива техни
характеристики като недвусмисленост, измеримост, постижимост, релевантност,
граници във времето.
Служещите, които са част от процеса на вътрешен контрол е необходимо да
разберат цялостната стратегия и система от цели на организацията. Чрез определянето
на целите с подходяща степен на детайлизация, те се правят лесно разбираеми за
хората, които работят за тяхното постигане. Те могат да са:
-операционни цели – спомагат за постигането на основната мисия на
организацията – фундаменталната причина за нейното съществуване. Целите на ниво
организация се подразделят на съответните подцели за операциите в подразделенията,
операционните единици и функциите, което е насочено към увеличаване на
ефективността и ефикасността при движението на компанията в посока постигането на
крайната цел. Операционните цели може да са свързани с подобряване на качеството
на стоката или услугата, редуциране на разходите и времето за производство на
единица продукция, увеличаване на удовлетвореността на потребителите и на
служителите.
-цели на отчета–отнасят се за подготовката на надеждни отчети. Целите на
отчета може да са свързани както с финансови, така и нефинансови, вътрешни или
външни отчети. Вътрешните отчети са зависими от съществуващите изисквания,
формулирани в отговор на различни потенциални вътрешни нужди, като стратегически
направления за организацията, оперативни планове, метрики за оценка напредставянето
на различните нива на компанията. Външните цели на отчета са първостепенно
обусловени от стандарти и/или регулации, установени от счетоводните органи, или от
стандарти, създадени и прилагани от други организации.
18
-цели на съответствието –организациите трябва да осъществяват своите
дейности, и понякога да предприемат специфични действия, в съответствие с
приложимите закони и регулации. При определянето на целите на съответствието е
необходимо да се разбере и уточни кои закони и регулации са приложими за
организацията.
19
20
6. Среда на контрол
21
на организацията. Целта е да се осигурят ясни отговорности и отчетност и протичане на
информацията в и през цялостната организация и нейните подразделения.
- организацията демонстрира ангажимент за привличане, развитие и задържане
на компетентните лица за осигуряване изпълнение на целите си.
- организацията трябва да търси отговорност от служителите за изпълнение на
техните задължения по вътрешния контрол при постигане на целите.
22
-Да се създаде механизъм за установяване и докладване на нарушенията на
Етичния кодекс, приемане на последващи мерки и запознаване на всички с тях.
Всеки ръководител има различна философия (подход) и стил на работа, чрез
които той демонстрира и насърчава компетентността, етичното поведение и
непрекъсната подкрепа за вътрешния контрол. Личната ангажираност и пример на
ръководителя на организацията определят „тона на върха” и стимулира служителите
съзнателно да спазват установените контроли.
В тази връзка ръководителят на организацията създава, организира и подкрепя
вътрешния контрол, като въвежда ясни и адекватни правила и процедури и наблюдава
прилагането им; провежда редовни срещи с оперативните ръководители и с
разпоредителите от по-ниска степен; създава и поддържа условия за функциониране и
на независим вътрешен одит, който докладва пряко на него.
Ръководителят трябва да изгради такава организационна структура, която да
позволява изпълнение на целите и да съответства на нормативно определените
функции. Организационната структура е рамката, в която се планират, изпълняват,
контролират и отчитат дейностите на организацията.
Организационната структура включва:
-ясни правила, регламентиращи разделянето на правата, задълженията и
отговорностите, включително правила относно делегирането на правомощия и ясни
линии на докладване.
-подходяща йерархия
-наличие на подробни и ясни длъжностни характеристики, утвърдени от
ръководителя и запознаване на всеки служител с неговата длъжностна характеристика;
Политиките за човешките ресурси и свързаните с тях практики обхващат
подбора, назначаването, обучението, атестирането, повишаването в длъжност и
заплащането.
Политиките трябва да осигуряват:
- прозрачна процедура за подбор и назначаване на служители;
-подходящи критерии и изисквания за квалификация и професионален опит при
подбора и назначаването на служителите;
- система за обучение и квалификация на служителите за очаквано на
изпълнение на задачите;
- система за оценка, която да насърчава професионалното развитие на
служителите;
23
- системи за стимулиране на служителите за повишение качеството на
изпълнение;
- система за ротация на служители;
- система за санкциониране при нарушения на установените правила.
Компетентността на персонала е съвкупност от знания, умения и способности
за изпълнение на задълженията, произтичащи от целите на организацията и от
конкретно заеманата длъжност. Отговорност на ръководителя на организацията е да
прецени необходимото ниво на компетентност на служителите, както и да осигури
подходящи политики и практики в тази област, свързани с подбора, обучението,
периодични атестации, израстване в йерархията и др.
24
7. Оценка на риска
25
-редуциране – предприемане на действия, намаляващи вероятността или
възможното въздействие на риска.
-споделяне – намаляване на вероятността или възможното въздействие на риска
чрез неговото трансфериране или чрез разпределяне на части по друг начин
/застраховане, аутсорсване на дейности и т.н./
-организацията разглежда възможностите за измами при оценката на риска и
тяхното влияние при постигане на целите. Процесът по оценка на риска включва
оценяване от страна на ръководството на риска, свързан с опазване на активите на
организацията и опасността от фалшифициране на отчетите.
Необходимо да бъдат разгледани и възможностите за корупция както за
вътрешния персонал, така и за външните партньори, което би се отразило върху
възможностите на организацията да постигне своите цели.
-организацията идентифицира и оценява промените, които биха могли да имат
значимо въздействие върху системата за вътрешен контрол. Когато се променят
икономическата, индустриалната и регулаторната среди, трябва да се променят
и адаптират обхватът и естеството на лидерството, приоритетите, бизнес моделът,
организацията, бизнес процесите и дейности
Вътрешният контрол, който е бил ефективен при едни условия може да загуби
част от своята ефективност при значителни промени на тези условия. Като част от
оценката на риска ръководството идентифицира промените, които могат да окажат
значително въздействие на системата за вътрешен контрол на организацията и
предприема необходимите действия.
26
Основни фактори, които трябва да се вземат предвид при изграждането на
система за управление на риска
-всеки стандартен модел за управление на риска трябва да бъде приспособен
към спецификата на организацията.
-ключов фактор за успешното въвеждане на управлението на риска е
разбирането и ангажираността на ръководството и служителите в този процес.
-всеки ръководител на организация трябва да утвърди стратегия за
управлението на риска, която при необходимост да бъде съгласувана с отговорния
министър или със съответния горестоящ разпоредител. Утвърждаването на стратегия за
управление на риска е собствена отговорност на ръководителя на всяка организация.
-вътрешният одитор трябва да осъществява преглед на предприетите
действия, да съветва и докладва на ръководителя на организацията в кои области е
необходимо да се извършат подобрения. Той подпомага ръководителя, без да участва
пряко в управлението на риска и без да измества отговорността на ръководителя.
27
управляват, са свързани с:
-постигането на определените стратегически и оперативни цели;
-показателите за оценяване на степента и точността на изпълнение на
задачите и дейностите;
-външната репутация на организацията (например: политическите рискове и
обществените нагласи);
-спазването на нормативната уредба, на различни политики и процедури,
въведени в дадена организация;
-финансирането на организацията и наличието на бюджетни ограничения;
-осъществяването на оперативните дейности и задължения в организацията,
финансово-счетоводните функции и тези на IT-системите и т.н.
Третата представлява оценка и реакция на идентифицираните рискове
След като веднъж са идентифицирани, рисковете трябва да бъдат оценени
възможно най-бързо, като се определи степента на риска, която ръководството на
организацията е готово да приеме, при осигуряване на необходимите ресурси.
Оценката на риска е от съществено значение, защото трябва да осъзнава не само
съществуването на рискове в определени области, а и тяхната значимост, за което е
необходимо:
-оценяването на идентифицираните рискове чрез вероятността от настъпването
им и влиянието (ефекта), което биха имали;
-въвеждането на рамка за категоризиране на идентифицираните рискове от
ръководството на организацията, с помощта на която те се подреждат по значимост.
При оценката на риска трябва да се има предвид субективният момент при
извършването й, както и съотношението на разходите за въвежданите контролни
дейности към разходите, свързани с възникването на рисковото събитие.
Възможни са различни варианти за взимане на решения от ръководството за
подходящата реакция (отговор) на риска. Съществуват следните четири варианта за
реакции, но не всички от тях се препоръчват за публичния сектор:
-ограничаване на риска - следва да се изградят контроли, предоставящи разумна
увереност за ограничаване на риска в приемливи параметри, в зависимост от
значимостта на риска и съобразно разходите за въвеждането на контролите, като
рисковете обект на тази реакция, трябва да се наблюдават периодично.
-прехвърляне на риска - ръководството на организацията може да
прецени, че рискът е твърде висок и трябва да го „прехвърли” към друга организация.
28
Класическият начин за прехвърляне на риска е застраховането. Ако дейността,
свързана с постигането на определени цели, е предмет на застраховане,
препоръчително е ръководството да предприеме такива действия. В случаите на
застраховане възникват допълнителни разходи, но значително намалява показателят
„влияние на риска”.
-толериране на риска - такава реакция е възможна само, ако определени рискове
имат ограничено (незначително) влияние върху постигане на целите или ако разходите
за предприемане на действия са непропорционални на потенциалните ползи. В тези
случаи реакцията може да бъде толериране на рисковете. Такива рискове, обаче, трябва
да бъдат постоянно наблюдавани.
-прекратяване на риска - някои рискове могат да се намалят или ограничат до
приемливо равнище единствено чрез прекратяване на дейността. Бездействието на
организацията също може да е риск, защото при него не могат да се постигнат целите,
за които е създадена. В публичния сектор възможностите за прекратяване на риска са
твърде ограничени, тъй като стратегическите цели на организациите в повечето случаи
се определят от правителствените програми.
Четвъртата е мониторинг и проследяване на процеса по управление на риска,
прикоето се изисква не само неговото идентифициране, оценяване и контролиране, но
и осъществяване на систематично наблюдение и докладване за състоянието му. Така се
следи доколко рисковете се управляват успешно - т.е. дали контролните дейности
наистина минимизират съответните рискове и дали се постигат целите, застрашени от
тези рискове. По този начин се осигурява прозрачност и отчетност в дейността на
организацията.
За да се подпомогне периодичното осъществяване на мониторинг,
ръководителите на организацията трябва да въведат система за вътрешно докладване
относно идентифицираните рискове, при спазване на изискванията за своевременност,
периодичност (например: на всяко тримесечие) и изчерпателност. Тя трябва да
гарантира, че структурните звена в организацията периодично докладват за
установените рискове и за дейностите, предприети като реакция (отговор) на риска и
информацията стига до ръководството.
Възможният процес по управление на риска може да включва:
-определяне, оценяване и категоризирането на рисковете, които заплашват целите;
-въвеждане на дейности за контролиране на рисковете,;
-провеждане на мониторинг и преоценяване на риска;
29
-изготвяне на периодични доклади, с информация за резултатите от управлението
на риска;
-предприемане на корегиращи действия на база мониторинга и докладване за
тяхното изпълнение.
30
8. Контрол на дейности
31
организацията. Контролните дейности се прилагат във всички функции, процеси и на
всички нива в организацията. При въвеждането на контролните дейности,
ръководителят трябва да вземе предвид очакваната полза от тях, както и разходите за
въвеждането и прилагането им. Контролните дейности следва да се въведат в
процесите и системите в момента на тяхното изграждане.
Контролните дейности могат да бъдат превантивни, разкриващи или
коригиращи. Превантивни са контролните дейности, които пречат да възникнат
нежелани събития. С тях се въвеждат мерки за избягване на предвидените евентуални
отклонения и проблеми преди тяхното настъпване. Разкриващи са контролните
дейности, с които се установяват възникнали нежелани събития и се сигнализира на
непосредствения ръководител за тях. Коригиращи са контролните дейности, които
целят да бъдат поправени последиците от настъпили нежелани събития.
32
-Разделение на отговорностите за които, ръководителите трябва да въведат
правила, съгласно които за осъществяването на два или повече ключови етапа от
дадена операция, процес или дейност отговарят различни служители. За да се
гарантира наличието на ефективни проверки и баланс, при извършване на операцията
отговорностите трябва да се разделят по начин, който не позволява един служител
едновременно да има отговорност по одобряване (разрешаване), изпълнение,
осчетоводяване и контрол.
-Системата на двойния подпис е процедура, при която преди поемането на
всяко финансово задължение (сключване на договори, вкл. за продажба на имущество,
заповеди за назначаване или командироване и др.) и извършването на плащане
(разходен касов ордер, платежно нареждане) се осъществява след подписване от:
- лицето, отговорно за счетоводните записвания;
- ръководителя на организацията или лицето, отговарящо за изпълнението на
приходите и разходите т. е. това лице, което е оторизирано да нарежда
плащания от името на организацията.
Целта на тази процедура е да гарантира, че лицето, отговорно за счетоводните
записвания, е информирано за предстоящото поемане на задължение или плащане и ще
извърши правилните счетоводни операции. Системата на двойния подпис дава
сигурност по отношение на това, че поемането на задължение/нареждането на плащане
са извършени от оторизирани лица и е спазена финансовата и бюджетната дисциплина.
За организациите, разходващи средства от ЕС, процедурите по прилагане на системата
на двойния подпис се изпълняват в съответствие с приложимите регламенти на ЕС.
-Предварителният контрол е превантивна контролна дейност, при която
съответните решения/действия преди вземането/извършването им се съпоставят с
изискванията на приложимото законодателство, с оглед тяхното спазване. Целта му е
да предостави на ръководителя (или друго длъжностно лице, отговорно за вземане на
съответното решение/извършване на съответното действие) разумна увереност за
съответствието на тези решения/действия с приложимото законодателство.
Ръководителят на организацията определя с вътрешни правила реда и начина за
осъществяване на предварителен контрол в организацията, която ръководи, в
съответствие с нейната специфика, структура и др. Предварителният контрол може да
се извършва както от назначени финансови контрольори, така и от други лица,
определени по преценка на съответния ръководител. Предварителният контрол се
извършва непосредствено преди полагането на подпис от ръководителя на
33
организацията.
-Процедури за пълно, вярно, точно и своевременно осчетоводяване на
всички операции, които се въвеждат от ръководителите и са разработени в
съответствие със Закона за счетоводството, индивидуалния сметкоплан, Счетоводните
стандарти и Сметкоплана на бюджетните предприятия и др. С тях се цели
информационното съдържание за стопанската операция да се отрази в счетоводния
документ в определен момент, с определен обем и задължителни реквизити, така че да
позволява вземането на правилни решения, от които произтичат финансови последици.
-Процедури за наблюдение се въвеждат от ръководителя, като част от рутинния
оперативен контрол. Те се осъществяват ежедневно от непосредствените ръководители
върху възлагането на работата и изпълнението й. Възлагането на работата от страна на
наблюдаващите не намалява собствената им отговорност за изпълнението й.
Наблюдаващите трябва да дават на служителите необходимите насоки и указания, за да
се осигури разбиране и недопускане на грешки и злоупотреби при изпълнение на
задълженията им, като трябва да прилагат тези процедури, за да се уверят, че
възложените задачи се изпълняват правилно.
-Преглед на процедури, дейности и операции, с които непосредствените
ръководители трябва да осигурят осъществяването на преглед върху точността на
изпълнение на операциите в дадена структура, като част от рутинния оперативен
контрол. Тези прегледи не трябва да се смесват с вътрешния одит и с извършването на
цялостен мониторинг в организацията, който е самостоятелен елемент на ФУК
.-Антикорупционни процедури, които са задължителни , защото
ръководителите на организациите носят управленска отговорност за въвеждане на
правила и процедури по сигнализиране, проверка, разкриване и докладване на
административни слабости, пропуски и нарушения, които създават предпоставки за
корупция, измами и нередности. Ръководителите следва да въведат такива процедури,
които включват:
-превантивни мерки;
-система за проверка на сигналите за корупция и на индикатори за измами и
нередности;
-система за установяване на индикаторите за измами и нередности;
-система за докладване на констатираните несъответствия, която трябва да
описва ясно линията за вътрешно и външно докладване.
-Правила за достъп до активи и информация, утвърдени от ръководителите,
34
които трябва да са сигурни, че само оторизираните лица, които отговарят за опазването
и/или използването на активите и информацията, разполагат с достъп до тях.
Ограничаването на достъпа до активите намалява риска от неправилното им ползване
или разпореждане с тях и предпазва организацията от загуби. Степента на
ограничението зависи от уязвимостта на активите и информацията и рисковете от
загуба или неправомерно използване.
-Правила за управление на човешките ресурси, с които ръководителите
трябва да въведат процедури, които обхващат процесите по подбор, назначаване,
обучение и атестиране, повишаване/понижаване в длъжност и заплащане,
преназначаване и прекратяване на правоотношенията със служителите. В тази област
съществува нормативна уредба (Кодекса на труда, Закона за държавния служител,
подзаконовите актове по прилагането им и др.), с която правилата трябва да се
съобразяват и да я доразвиват, отчитайки спецификите в дейността на организацията.
-Процедурите по документиране, архивиране и съхраняване на
информацията трябва да бъдат въведени, за да подпомагат осъществяването на
текущата дейност, вземането на правилни управленски решения и контрола върху
процесите в една организация.
Документирането е свързано с изготвяне на писмени доказателства за взети
решения, настъпили събития, извършени действия и транзакции, трябва да е пълно,
точно и своевременно. В процедурите по документиране се включват и тези за
документооборота, описващи реда, по който създадените и получените документи се
придвижват и използват. Процедурите по документиране трябва да позволяват
проследяване на всеки документ, действие, процес в организацията, като описват точно
кой, какво, как и кога извършва, с каква цел и какъв акт/документ се създава в резултат
на това. Съгласно възприетата от ЕС терминология, това представлява одитна пътека.
С изграждането й се постига:
- прозрачност,
- проследяване на процесите в организацията от инициирането до
приключването им;
- проследяване на разделението на функциите по одобряване, изпълнение,
осчетоводяване и контрол.
Одитната пътека посочва какви процедури и операции (транзакции) съществуват
и кои са отговорните лица, какви документи се създават и кой е отговорен за това,
какви системи за управление и контрол върху потоците от данни съществуват, кои са
35
лицата, отговорни за проверката на тези данни и какви са начините за представяне на
резултатите.
Процедурите по архивиране следва да осигуряват хронологично и систематично
подреждане на документи за минали събития, решения и действия, касаещи
организацията. Дейността по архивиране се регламентира от Закона за държавния
архивен фонд, някои специални закони като Закона за обществените поръчки, Закона
за счетоводството, както и специфичните вътрешните правила, регламентиращи
подробно процедурите по създаването на архив, попълването, ползването и
унищожаването му.
Процедурите по съхраняване на информацията е необходимо да осигуряват
както физическото запазване на носителя на информацията (хартиен и/или електронен
носител), така и запазване на съдържанието без промяна, така че да дава вярна и точна
представа за фактите, решенията и действията, отнасящи се до организацията.
-Със съпоставяне на данните, ръководителят трябва да е сигурен, че данните
от различни документи и източници се съпоставят за установяване на съответствие.
Например: счетоводните записвания, свързани с банкови сметки, се съпоставят със
съответстващите им банкови извлечения; данните по фактурата се съпоставят с тези от
складовата разписка и др.
-Контролни дейности, свързани с информационните технологии, поради
тяхното развитие и прилагане при създаването, обработката, движението, използването
и съхраняването на информация в организациите от публичния сектор, трябва да се
вземе предвид необходимостта от въвеждането на специални контролни дейности за
внедряване и поддържане на информационните системи. Информационните системи
предполагат специфични типове контролни дейности., които ръководителите трябва да
въведат в организациите. Тези механизми за контрол на информационните системи се
състоят от две големи групи: общи механизми за контрол и механизмите за контрол
върху приложенията
Общите контроли са приложими за всички операции и допринасят за
правилното им изпълнение. Механизмите за контрол върху приложенията включват
както процедури, програмирани в самия софтуерен продукт, така и процедури, които
трябва да се извършват ръчно за осъществяване на контрол върху обработването на
отделни операции. Общите механизми за контрол са необходими за функционирането
на механизмите за контрол върху приложенията. Липсата на достатъчно общи
контроли не може да се компенсира с апликационни контроли. Обикновено общите
36
контроли се използват за центрове за анализ и обработка на информация, за
инсталиране и поддържане на промишлени софтуери, за дефиниране на достъп до
информация. След изграждане на системата контролите за достъп и поддържане на
системата дават увереност, че никой не може без съответната оторизация да използва
или да извършва промени на приложенията и че всички необходими промени се
извършват, съгласно установения ред за оторизация и одобрение.
Механизмите за контрол върху приложенията подпомагат вътрешния контрол,
като не позволяват записването на грешни данни в системата, разкриват и коригират
грешки, въз основа на автоматизирани процедури за контрол върху формата и
съдържанието на данните. Предотвратяването и разкриването на тези грешки е
програмирано в съответното приложение. Механизмите за контрол върху
приложенията анализират в реално време данните, предоставят постоянно информация
в случай, че е открита грешка и дават възможност корекциите да бъдат нанесени
веднага.
Използването на двата вида контроли дава увереност, че информацията се
анализира и обработва пълно, вярно и точно.
37
9. Информация и комуникация
38
- вярна - отразяваща обективно фактите и обстоятелствата;
- достъпна - получавана от потребителите, на които е необходима.
В зависимост от източника на информация спрямо организацията, тя може да
бъде вътрешна и външна.
Ефективното управление на организациите изисква информацията да се свежда
до служителите от всички йерархични нива, в подходяща форма и срокове.
Информационните системи могат да бъдат формални и неформални.
Формалните системи се въвеждат чрез писмените правила и процедури, които се
прилагат задължително в организацията. Неформалните информационни системи
позволяват събирането и разпространяването на информация от разговори и дискусии с
представители на други организации, трети лица, професионални сдружения, както и
със служителите на организацията.
Комуникацията е двупосочно движение на информацията в права и
обратна посока по всички информационни канали в организацията по хоризонтала и по
вертикала. Нейната цел е да повиши осведомеността и така да подпомогне постигането
на целите на организацията.
Комуникацията има важна роля в управлението и контрола на дейностите на
организацията. В тази връзка ръководителите следва да осигурят подходящи условия и
процедури за вътрешна и външна комуникация.
Вътрешна комуникация в организацията е между ръководството и служителите
(по вертикала). Всички служители трябва добре да познават системата за вътрешна
комуникация и да разбират своята роля, задачи и отговорности в нея. Благодарение на
комуникацията те повишават своята информираност за ролята и отговорностите си във
връзка с постигане на целите на организацията. Следователно ръководството и
служителите са част от мрежата за комуникация. Ръководството трябва да получава
своевременна, уместна, актуална, точна и вярна информация за цялата дейност на
организацията. Предаването на информацията от долу нагоре по йерархията е най-
често срещаният начин за комуникация. От своя страна, ръководството трябва да
уведомява служителите каква информация му е нужна за вземането на правилни
управленски решения, да формулира и насочва ясни послания и задачи към тях,
позволяващи им да изпълнят адекватно задълженията си.
От ключово значение за получаване на необходимата информация за
изпълнение на задачите е осигуряването на ефективна комуникация по хоризонтала. Тя
изисква добро взаимодействие и своевременна информираност между различните
39
структури, звена и служители, намиращи се на едно йерархично ниво в организацията.
Комуникацията между ръководителите на организациите с други организации и
трети лица, позната като външна комуникация, позволява да се отправят послания с
определено съдържание към обществото. При тази комуникация трябва да се постигне
баланс на интереси: от една страна тя се осъществява, за да отговори на обществените
потребности и нагласи, а от друга - да съответства на нормативните актове,
регламентиращи свободния достъп и защитата на информацията.
Външната комуникация внася допълнителна яснота относно функционирането
на системите за вътрешен контрол и постигането на целите на организациите. В този
смисъл, външната гледна точка относно дейността на дадена организация и
проблемите, пред които тя е изправена, може да бъде полезна на нейния ръководител
при преценката на всички фактори, вкл. рисковете, влияещи върху дейността й.
40
10. Мониторинг
41
мониторинга, извършван от ръководителя на организацията. Комбинирането на
текущия мониторинг и специалните оценки подпомага запазването на ефективността
на вътрешния контрол във времето.
Затова ръководителите трябва да въведат процедури за:
-текущ мониторинг - това е мониторинг на ФУК, интегриран в нормалните,
повтарящи се ежедневни дейности на организацията. Той се извършва непрекъснато в
реално време и реагира динамично на променящите се условия.
-специални ad hoc оценки - извършват се след събитията и техните обхват и
честота зависят от оценката на риска и от ефективността на текущия мониторинг.
Специалните оценки могат да се извършват под формата на самооценки.
- за осъществяване на мониторинг ръководителят на организацията може
да използва и вътрешния одит. Оценката на системите за финансово управление и
контрол, извършени от вътрешния одитор, дава информация на ръководителя на
организацията за тяхната адекватност и ефективност, в съответствие с изискванията. По
този начин дейността по вътрешен одит подпомага ръководителя на организацията.
-добра практика дава Въпросникът за състоянието на ФУК, който се попълва за
целите на годишното докладване, и е полезен инструмент за осъществяване на
мониторинг.
Важна част от мониторинга са политиките и процедурите, които гарантират
подходящо и своевременно реагиране на констатираните недостатъци. Всички
резултати от осъществения мониторинг, в т.ч. недостатъците, установени по време на
текущия мониторинг, специалните оценки или от вътрешния одит, трябва да се
докладват на ръководителя и/или лицата, които могат да предприемат необходимите
мерки за разрешаване на проблемите. Ръководителите и/или лицата, които могат да
предприемат мерки, трябва в определен срок да организират извършване на всички
необходими и възможни действия, които коригират или по друг начин разрешават
поставените проблеми.
42
11. Ползи, разходи и ограничения при вътрешния контрол
43
-допълнителните усилия, необходими за поддържане и актуализиране, когато е
необходимо, на контролните дейности.
-оценка на въздействието от засилване на зависимостта от технологиите
В някои случаи усилията за изпълнение на контролите и въздействието на
допълнителните, базирани на технологиите контроли, върху бизнес процесите е
сравнително малки, но разходите, асоциирани с избор, разработване, поддържане и
обновяване на технологиите може да са значителни.
Наличието на големи масиви от данни може да предизвика в организацията
информационно претоварване и да я изправи пред предизвикателството да не може да
осигури управлението на потоците от информация –правилната информация, в
правилната форма, с подходяща степен на детайлизация, да достига до правилните хора
в правилното време.
44
Вътрешният контрол, без значение колко добре е проектиран и функционира,
предполага и някои ограничения и затова може да предостави само разумна степен на
сигурност на висшето ръководство за постигане на целите на организацията. Влияние
върху вероятността за постигането им оказват именно ограниченията на системата за
вътрешен контрол. Те са разнообразни и могат да се отнасят до погрешна преценка на
хората, вземащи решения, или провали и неуспехи, случващи се поради невнимание
или грешки на персонала. Трябва да се предвиди и, че установените контроли може да
бъдат преодолени от злонамерени лица или поради незачитане и неспазване на
изискванията на системата за вътрешен контролот ръководители или
служители.Разглеждането на ограниченията на вътрешния контрол трябва да се
извършва на базата на две различни концепции:
-първо, дори ефективният вътрешен контрол функционира на различни нива за
различните цели.
За цели, отнасящи се за ефективността и ефикасността на операциите в организацията,
като постигане на базовата мисия, реализиране на печалба, и др. подобни, той не може
да осигури дори разумна степен на сигурност, за ръководството, че целите сами по себе
си ще бъдат постигнати.
-второ, по принцип вътрешният контрол не може да даде абсолютни гаранции за
която и да е от трите категории цели.
Първият вид ограничения се дължи на разбирането, че някои събития или
обстоятелства са просто извън контрола на ръководството.
Вторият вид ограничения се базират на разбирането, че не съществува система,
която да функционира точно по начина, който са имали предвид нейните създатели.
В най- добрият случай, това което може да се очаква и да се постигне от една
система за вътрешен контрол е получаване на разумна степен на сигурност.
45
12. Правна рамка на финансовото управление и вътрешен контрол
46
Финансовото управление и контрол в публичния сектор е цялостен процес,
интегриран в дейността на организациите и осъществяван от ръководството и
служителите им. Финансовото управление и контрол се осъществяват чрез системи за
финансово управление и контрол, включващи политики и процедури, въведени от
ръководството на организациите, с цел да се осигури разумна увереност, че целите на
организациите са постигнати чрез:
- съответствие със законодателството, вътрешните актове и договори;
- надеждност и всеобхватност на финансовата и оперативната информация;
- икономичност, ефективност и ефикасност на дейностите;
- опазване на активите и информацията.
Ръководството отговаря за постигане целите на организациите, като управляват
публичните средства по законосъобразен, икономичен, ефикасен и ефективен начин,
което определя тяхната управленска отговорност. При изпълнение на програми и
проекти, включващи повече от една организация и/или структура от публичния сектор,
съответните ръководители се споразумяват в писмена форма за обхвата на
управленската отговорност, която всеки от тях носи.
Те отговарят за:
- определянето на целите на организациите, разработването и прилагането на
стратегически планове, планове за действие и за достигане на поставените цели;
- идентифицирането, оценката и управлението на рисковете, застрашаващи
целите;
- планирането, управлението и отчитането на публичните средства;
- спазването на принципите за добро финансово управление и прозрачност на
публичните средства, както и за законосъобразното им управление и разходване;
- ефективното управление на персонала и поддържането нивото на
компетентността му;
- съхранението и опазването на активите и информацията от погиване, кражба,
непозволен достъп и злоупотреба;
- създаването на подходяща организационна структура с цел ефективно
изпълнение на задълженията;
- осигуряването на пълно, вярно, точно и своевременно осчетоводяване на
всички операции;
- осигуряването на функцията по вътрешен одит в съответствие със
законодателството;
47
- наблюдението и актуализирането на системите за финансово управление и
контрол и предприемането на мерки за подобряването им от препоръки от вътрешния
одит и други проверки;
- въвеждането на антикорупционни процедури;
- отчетността и докладването за състоянието на системите за финансово
управление и контрол;
- въвеждането на вътрешни правила за финансово управление и контрол с
административен акт или система от актове;
- създаването на условия за законосъобразно и целесъобразно управление,
адекватно и етично поведение на персонала в организациите.
Ръководителите на организациите прилагат указанията за осъществяване на
управленската отговорност, издадени от министъра на финансите, както и указанията,
издадени от горестоящия им ръководител.
Организациите - първостепенни разпоредители с бюджет, с изключение на
Висшия съдебен съвет и Сметната палата, ежегодно и в срок представят на министъра
на финансите информация за функционирането, адекватността, ефикасността и
ефективността на системите за финансово управление и контрол в организациите.
Формата, съдържанието, редът и сроковете за представяне на информацията се
определят с наредба, приета от Министерския съвет.
Ръководителите на организациите осъществяват финансовото управление и
контрол чрез петте взаимносвързани елементи посочени и използвани при модела
COSO:
1. контролна среда;
2. управление на риска;
3. контролни дейности;
4. информация и комуникация;
5. мониторинг.
Изграждането, развитието и функционирането на елементите на финансовото
управление и контрол в съответствие със спецификата на организацията, е отговорност
и се осъществява от съответното ръководство, съгласно методически насоки по
елементите на финансовото управление и контрол на МФ.
Контролната среда включва:
- личната почтеност и професионална етика на ръководството и персонала на
организацията;
48
- управленската философия и стил на работа;
- организационната структура, осигуряваща разделение на отговорностите,
права, задължения и нива на докладване;
-политиките и практиките по управление на човешките ресурси;
-компетентността на персонала.
Управлението на риска включва идентифициране, оценяване и контролиране
на потенциални събития или ситуации, които могат да повлияят негативно върху
постигане целите на организацията, и е предназначено да даде разумна увереност, че
целите ще бъдат постигнати. За изпълнение на дейностите ръководителите утвърждават
стратегия, която се актуализира на всеки три години или при настъпване на съществени
промени в рисковата среда. Контролните дейности, целящи намаляването на риска, се
анализират и актуализират най-малко веднъж годишно.
Ръководителите на организациите организират, документират и докладват пред
компетентните органи предприетите мерки за предотвратяване риска от измами и
нередности, засягащи финансовите интереси на Европейските общности.
Контролните дейности, които се въвеждат включват писмени политики и
процедури, създадени да дават разумна увереност, че рисковете са ограничени в
допустимите граници, определени в процеса на управление на риска. Те трябва да са
адекватни и разходите за осъществяването им да не превишават очакваните ползи.
Ръководителите създават и прилагат контролни дейности, които включват:
- процедури за разрешаване и одобряване;
- разделяне на отговорностите, за да не може един служител едновременно да
има отговорност по одобряване, изпълнение, осчетоводяване и контрол;
- система за двоен подпис, която не разрешава поемането на финансово
задължение или извършване на плащане без подписите на ръководителя на
организацията и лицето, отговорно за счетоводните записвания;
- правила за достъп до активите и информацията;
- предварителен контрол за законосъобразност, който може да се извършва от
назначени за целта финансови контрольори;
- процедури за пълно, вярно, точно и своевременно осчетоводяване на всички
операции;
- докладване и проверка на дейностите - оценка на ефикасността и
ефективността на операциите;
- процедури за наблюдение;
49
- правила за управление на човешките ресурси;
- правила за документиране на операции и действия, от дейността на
организацията;
- правила за спазване на лична почтеност и професионална етика.
Осъществяване на предварителния контрол се определят от ръководителите на
организациите в съответствие с указанията на министъра на финансите.
Информацията и комуникацията осигуряват:
- идентифициране, събиране и разпространяване на надеждна и достоверна
информация, позволяваща на всяко длъжностно лице да поеме определена отговорност;
- ефективна комуникация, която да протича по хоризонтала и вертикала до
всички йерархични нива на организацията;
- изграждане на подходяща информационна система за управление с цел
свеждане до знанието на всички служители на ясни и точни указания и разпореждания;
- прилагане на система за документиране и документооборот, съдържаща
правила за съставяне, оформяне, движение, използване и архивиране на документите;
- документиране на всички операции, процеси и трансакции с цел осигуряване
на адекватна одитна пътека за проследимост и наблюдение;
- изграждане на ефективна и навременна система за отчетност, включваща: нива
и срокове за докладване; видове отчети; форми на докладване при откриване на
грешки, нередности, неправилна употреба, измами или злоупотреба.
Системата за мониторинг на финансовото управление и контрол се изгражда с
цел да се оцени адекватното му функциониране и да се гарантира навременното му
актуализиране при промени в условията. Тя включва текущо наблюдение, самооценка и
вътрешен одит.
50
доклад за вътрешния контрол в публичния сектор, като включва доклада и годишния
доклад за състоянието на вътрешния одит. След приемането му от Министерския съвет
консолидираният доклад се представя на Народното събрание и Сметната палата.
Висшият съдебен съвет представя на Народното събрание и на Сметната палата
годишния си доклад за финансовото управление и контрол и вътрешния одит, а
Сметната палата представя на Народното събрание доклада си за състоянието на
финансовото управление и контрол и вътрешния одит и становища по докладите.
Система на превантивен финансов контрол може да бъде установявана в
организациите, когато попадат в Сектор "Държавно управление". Тя се установява със
заповед на министъра на финансите, в която се определят финансовият квестор, който
ще го извършва, видът и обемът на задълженията и разходите, които ще обхваща,
срокът на действие, отговорността и други въпроси по извършването му.
Превантивният финансов контрол е контрол за законосъобразност, ефективност,
ефикасност и икономичност и се прилага чрез изразяване на мнение от финансов
квестор преди поемане на задължения и извършване на разходи, определени от
министъра на финансите. Системата на превантивен финансов контрол не изключва
упражняването на предварителен контрол и прилагането на системата на двойния
подпис в организациите. Финансовият квестор докладва на министъра на финансите.
Всички документи, свързани с поемане на задължения и извършване на разходи,
за които е установена системата за превантивен финансов контрол, се подписват от
ръководителя, от лицето, отговорно за счетоводните записвания, и от финансовия
квестор.
За периода на установяване на система за превантивен финансов контрол
финансовият квестор изготвя ежемесечен доклад до министъра на финансите. В
доклада се посочват: извършените от него проверки; случаите, в които е поето
задължение или е извършен разход въпреки отрицателното мнение на финансовия
квестор; констатираните проблеми и причините, които ги пораждат.
При извършването на превантивния финансов контрол квестора има право:
- на свободен достъп до служебните помещения, ръководството, персонала и
всички активи на организацията;
- на достъп до цялата информация, включително класифицирана, според нивото
му на достъп, както и до всички документи, включително електронни, които се
съхраняват в организацията;
51
- да изисква от отговорните длъжностни лица сведения, справки, становища,
документи и друга информация.
При изпълнение на функциите си финансовият квестор е длъжен:
- да се легитимира с документ за самоличност и заповед за извършване на
превантивен финансов контрол;
- да отразява обективно и точно резултатите от контролната дейност;
- да не разгласява факти и обстоятелства, относно изпълнение на функциите му.
За финансови квестори могат да бъдат определяни физически лица, които
са дееспособни; не са осъждани за умишлено престъпление от общ характер и да не са
лишени по съдебен ред от правото да заемат съответната длъжност; да притежават
висше образование с образователно-квалификационна степен "магистър" в областта на
икономиката, правото, публичната администрация или еквивалентна специалност; да
притежават най-малко 7 години професионален опит в областта на финансовото
управление, финансовия контрол, одита или счетоводството.
Установената система за превантивен финансов контрол и извършването му, не
изключва прилагането на други форми на контрол, установени в закон и не
освобождава ръководителя на организацията от отговорностите му по ЗФУКПС.
52
специализираните агенции към ООН. Основана е през 1953 г.и в нея членуват повече
от 170 ВОИ, в т.ч. и Сметната палата на Република България. Играе важна роля за
насърчаването на добро финансово управление и отчетност в държавите, представени
чрез своите ВОИ в ИНТОСАИ / за прилагане на стандартите за вътрешен контрол в
публичния сектор.
Следва да се има предвид, че всички документи по прилагане на ЗФУКПС, издадени
от Министерския съвет и министъра на финансите, са свързани и се допълват
Тези насоки са предназначени за:
- ръководителите на организациите от ПС, които носят отговорност за
функционирането на ФУК, в съответствие със ЗФУКПС;
- ръководителите на различните структури/звена в организацията, като носят
отговорност за дейността и ФУК и се отчитат пред горестоящия ръководител;
- всички служители на организацията допринасящи за осъществяването на
ФУК, съобразно ролята си и отговорностите.
Специфична роля имат вътрешните одитори, които оценяват адекватността и
ефективността на системите за финансово управление и контрол (СФУК), в
съответствие със Закона за вътрешния одит в публичния сектор (ЗВОПС).
Финансовото управление и контрол е цялостен процес, интегриран в дейността
на организациите, осъществяван от техните ръководители и служители. То се
осъществява чрез системи за ФУК, включващи политики и процедури, въведени от
ръководството на организациите, с цел да се осигури разумна увереност, че целите на
организациите са постигнати чрез:
-съответствие със законодателството, вътрешните актове и договори;
-надеждност и всеобхватност на финансовата и оперативна информация;
-икономичност, ефективност и ефикасност на дейностите;
-опазване на активите и информацията.
Следователно ФУК е цялостен процес, който се преплита с всички дейности в
организацията и трябва непрекъснато да се адаптира към промените в организацията.
Ръководителят и служителите на организацията участват в този процес и затова е
необходимо да са запознати със своята роля, правомощия и отговорности по
отношение на вътрешния контрол.
Адекватният вътрешен контрол осигурява разумна увереност, че специфичните
цели ще бъдат изпълнени и в процеса на изпълнението им ще се постигнат и следните
цели, общи за всички организации:
53
-Съответствие със законодателството, вътрешните актове и договори:
Ръководителите са длъжни да осигурят спазване от страна на всички служители на
приложимото законодателство, вкл. подзаконовите нормативни актове, вътрешните актове
и договорите, по които те са страни. Те регулират основните процеси и дейности,
осъществявани в организациите от публичния сектор, начина на функционирането им,
събирането и разходването на публичните средства и др
-Надеждност и всеобхватност на финансовата и оперативна информация:
Ръководителите на организациите организират регистрирането и комуникацията
на достатъчна, уместна, надеждна, полезна и своевременна информация. Създаваната,
съхраняваната, ползваната и предоставяната от дадена организация информация има
както финансов, така и нефинансов характер
-Икономичност, ефективност и ефикасност на дейностите:
Принципът за доброто финансово управление се базира на тези три изисквания.
Икономичност означава необходимите ресурси за осъществяване дейността на
организацията да се придобиват с най-малки разходи и при спазване на изискванията за
качество, количество и своевременност.
Ефективността е степен на постигане на целите, при съпоставяне на
действителните и очакваните резултати.
Ефикасност е постигането на максимални резултати от използваните ресурси при
осъществяване дейността на организацията
-Опазване на активите и информацията:
Придобиването, използването и разпореждането с активите и информацията
изискват специални грижи от страна на ръководителите. Изграденият вътрешен контрол
трябва да гарантира опазването на активите и информацията и да действа превантивно
срещу кражби, злоупотреби, унищожаване и други неправомерни действия.
Съществува пряка връзка между целите на организацията (т.е. това, което
организацията се стреми да постигне) и елементите на ФУК (т.е. това, което е
необходимо за постигане на целите).
Петте елемента на ФУК, които разгледахме са контролната среда, управлението
на риска, контролните дейности, информацията и комуникацията и мониторингът.
Елементите са взаимосвързани, допълват се и се отнасят не само за цялата организация,
но и за отделните й звена, дейности и процеси.
Елементите на ФУК като цяло са приложими за всички организации от публичния
сектор.
54
3. Указания за осъществяване на управленска отговорност в организациите
от ПС, в които са доразвити законовите изисквания, регламентирани в ЗФУКПС, като
същевременно се прави връзка с методическите насоки по елементите на финансовото
управление и контрол и Наредбата за формата съдържанието, реда и сроковете за
представяне на информация за състоянието на системите за финансово управление и
контрол в публичния сектор. Указанията очертават рамката, при спазването на която
ръководителите могат да изпълнят своята управленска отговорност и да отговорят на
изискванията, които законодателят е възложил в качеството им на лица, управляващи
публични средства.
Целите на указанията са:
-да се въведе цялостно, общо разбиране за отговорностите на ръководителите от
публичния сектор;
-да се подпомогнат ръководителите при изпълнение на управленската им
отговорност по ЗФУКПС.
В съответствие със ЗФУКПС, управленската отговорност може да бъде
определена като задължение на ръководителите да изпълняват определени дейности,
насочени към постигане целите на организациите, като осъществяват всяко свое
действие, спазвайки принципите за законосъобразност, добро финансово управление и
прозрачност, включително да се отчитат за действията си и резултатите от тях пред
тези, които са им възложили управленската отговорност.
Законосъобразното управление е основно изискване към дейността на
ръководителите на организациите. Във всички свои действие, насочени към постигане
на цели на организациите, те следва да спазват и да се ръководят от действащите
нормативни актове.
Основен принцип, въз основа на който се осъществява финансовото управление
и контрол в организациите от публичния сектор, е доброто финансово управление.
Доброто финансово управление е управленски процес, целящ максимално
оползотворяване на ресурсите и организиране на дейностите по начин, който позволява
постигането на целите на организацията при съблюдаване на принципите на
икономичност, ефективност и ефикасност
Законът за финансовото управление и контрол в публичния сектор изрично
изисква управленската отговорност да се осъществява в съответствие с принципа на
прозрачност. Прозрачността налага всяко управленско решение да бъде разбрано от
служителите на всички нива в организациите с цел точно и своевременно изпълнение
55
на техните задължения и отчитане на постигнатото, като едновременно с това
ръководителите представят пред обществеността достоверна информация за
осъществяваната от тях дейност.
Ръководителите не винаги могат лично да осъществяват задълженията, свързани
с постигане целите на организацията. В тези случаи ЗФУКПС дава възможност на
ръководителите да делегират правомощия, свързани с координацията и оперативното
разпределение на задължения, касаещи осъществяването на управленската отговорност.
Делегирането включва възлагане на задължения, даване на права и изискване за
отчетност/докладване. В случаите на делегиране, ръководителят следва да издаде
вътрешен акт, в който да определи:
-Кои са длъжностните лица, които упражняват делегираните правомощия
(самостоятелно или съвместно);
-Какъв е обемът на делегираните правомощия. Не трябва да се допуска
дублиране и/или празноти, които могат да окажат неблагоприятно влияние върху
координацията и оперативността на работата. Не могат да се делегират правомощия,
които делегиращият ръководител няма.
-Изискванията, свързани с отчитане на изпълнението на делегираните
правомощия. Отчитането трябва да дава възможност на ръководителя да упражнява
контрол и да получава обратна информация от длъжностните лица, на които е
делегирал правомощия за изпълнение на възложените задачи.
-Изисквания, свързани с приемане на изпълнението на делегираните
правомощия и освобождаване от отговорност.
При управление на програми и проекти, които включват повече от една
организация и/или структура от публичния сектор, ръководителите на тези организации
следва да се споразумеят за обхвата на управленската отговорност, която всеки от
тях носи. За изпълнение на това изискване ръководителите подписват споразумение,
което следва да съдържа:
- ясно и конкретно формулиран обхват на управленската отговорност за
всеки отделен ръководител;
- начинът за осъществяване на координация между ръководителите във
връзка с изпълнение на отговорностите;
- процесът на отчитане на изпълнението;
56
В указанията, подробно се разглежда и управленската отговорност и по
отношение на изграждането и подържането на контролната среда, управлението на
риска, контролните дейности, информацията и комуникацията и мониторинга
57
идентифицираните рискове и предприетите действия за тяхното намаляване (реакции).
Целта на процеса по мониторинг и докладване е да наблюдава дали рисковия
профил (вероятността и влиянието на идентифицираните рискове) се променя и да дава
увереност на ръководителя на организацията, че процеса по управление на риска остава
ефективен във времето и са предприети необходимите действия за намаляване на риска
до приемливо за организацията ниво.
-Въвеждането на процедурата за докладване на рискове.
58
-решенията/действията, свързани с разпореждане с активи и средства
(включително поемането на задължения и извършване на разход);
-решенията/действията, свързани с управление и стопанисване на имуществото на
организациите (включително отдаване под наем с цел получаване на приходи);
-други решения, от които се пораждат права, респективно задължения за
организацията и/или нейните служители.
Целта на предварителния контрол е да предостави на ръководителя (или друго
длъжностно лице, отговорно за вземане на съответното решение/извършване на
съответното действие) разумна увереност за съответствието на тези решения/действия с
приложимото законодателство.
Предварителният контрол се извършва преди вземане на решение, свързано с
дейността на организацията и при неговото осъществяване се проверяват всички
документи и приложенията към тях, свързани с предстоящото решение, с цел
изразяване на мнение дали предлаганото решение съответства на всички приложими
изисквания на законодателството.
Във вътрешните правила, утвърдени от ръководителя на организацията, следва
да бъдат включени подробни изисквания за документиране на извършените от
предварителния контрол проверки. Те могат да се отразяват в контролни листове,
констативни протоколи, анкетни карти, описи от извършени проверки на място и др.,
като задължително се подписват от лицето, извършило проверките и се посочват
неговите имена, длъжност и дата.
59
включва данни относно състоянието на контролната среда, управлението на риска,
контролните дейности, информацията, комуникацията и мониторинга в организациите.
Докладът съдържа следните части:
-оценка на ръководителя за общото състояние на системите за финансово
управление и контрол в съответната организация;
-предприети действия за развитие и подобрение на финансовото управление и
контрол в съответната организация;
- области на финансовото управление и контрол, които се нуждаят от развитие и
подобрение;
- източниците на информацията, използвана за изготвянето на доклада.
Докладът се изготвя и подписва от съответния ръководител на организация.
ДОКЛАД
за състоянието на системите за финансово управление и контрол за 200.... г.
в......................................................................
(наименование на организацията)
I. Общо състояние на системите за финансово управление и контрол.
В тази част ръководителят на организацията дава своята оценка относно общото
функциониране, адекватността, ефикасността и ефективността на системите за
финансово управление и контрол.
II. Области на финансовото управление и контрол, в които са предприети
действия, насочени към развитие и подобрение.В тази част се описва какви конкретни
действия, насочени към развитие и подобрение на финансовото управление и контрол,
са предприети през годината, която се отчита.
III. Области на финансовото управление и контрол, които се нуждаят от
развитие и подобрение.В тази част се извършва анализ и се описват онези елементи от
финансовото управление и контрол, които е необходимо да бъдат развити или
подобрени. Тук може да извърши анализ на обстоятелствата, които представляват
проблем или трудност, и да се посочат мерките, които е необходимо да бъдат
предприети за тяхното преодоляване.
IV. Източници на информацията, използвана за изготвянето на доклада.
В тази част се посочват одитни доклади на вътрешните одитори, на Сметната палата,
проверки на инспектората и други източници на информация, използвана за
изготвянето на доклада.
60
V. Допълнителна част В тази част се отразява становището на ръководителя на
вътрешния одит за съответствието на подадената в доклада и във въпросника
информация с констатациите от извършените вътрешни одити.
Подпис
Дата......................
ръководителя: ................
- опазване на активите
61
13. Същност на финансовия одит
62
във всички аспекти на същественост на финансовите отчети, изготвени в съответствие
със счетоводното законодателство”.
В допълнителните разпоредби на закона, независимия финансов одит се
определя като одит на годишни финансови отчети или консолидирани финансови
отчети, когато това се изисква от действащото законодателство, с изключение на одита
на финансови отчети, извършван от Сметната палата.
Според проф. М. Динев одитът е процес, съвкупност от процедури, които имат
за цел да се изрази мнение за достоверност на определено твърдение. Чуждите автори
се придържат към дефиницията на комитета на Американската асоциация на
счетоводителите, където одитът се определя като систематичен процес, чрез който се
получават и оценяват обективни доказателства за икономически действия и събития, за
установяване степента на тяхното съответствие с определените критерии и представяне
на резултатите на заинтересовани потребители.
Някои руски автори, определят одита, като:
· ревизионна дейност;
· експертно-консултантска дейност;
· съвкупност от ревизионна и експертно-консултантска дейност.
Според Т. Шешукова и М Городилов, понятието“одит” не може механически
да се замести с понятието “ревизия”, между ревизията и одита съществуват някои
различия, свързани с правна рамка, цели, типа на отношенията между субекта и обекта,
степента на независимост и др.
У нас доц. Й. Томов твърди, че в класичесия си вид ревизионния контрол е по-
широк от одиторския контрол. Ревизионният контрол може да обхване цялостната
дейност на обекта, докато одиторския контрол обхваща само отчетността на
предприятието. Тези два вида контрол имат различен обхват и различни цели. В тази
връзка одиторският контрол или финансовия одит се разглежда в тесен смисъл – като
контролна дейност, насочена към финасово-счетоводните процеси в предприятието.
Според проф. М. Динев одитингът следва да се разглежда като процес, който
има за цел да се изрази мнение за достоверност на определено твърдение. В този
смисъл одитът може да обхване не само финансово-счетоводниите процеси, но и всеки
друг процес.
Може да се приеме, че одитът е процес, при който компетентен и независим
експерт събира и оценява информация, измервана количествено и качествено в
63
съответна система, за да определи и изрази независимо мнение и заключение, доколко
тя съответсттва на предварително определени критерии.
Разбира се, може да се приеме че одитът е и контролен процес. Той се
осъществява с контролни процедури, за да се изрази мотивирано мнение, относно
достоверността на други процеси. Ударението е в събирането и обработването, чрез
различни методи, на адекватна информация, подаваща се на качествена и количествена
оценка. Наличието и използването на стандарти /в случая МОС/ и регулатори,
служещи като критерии, определящи прилаганите процедури, позволява оценката на
одитните резултати.
Този процес се осъществява от независим и квалифициран одитор, добре
познаващ стандартите /МОС/. Заключението на одитора се представя в доклад, чиято
форма и съдържание са съобразени със съответните стандарти за докладване.
Одитът e процес, насочен към постигане на определена цел, от
регламентираната рамка. А целта на независимия финансов одит е да се изрази
независимо одиторско мнение, относно достоверното представяне като цяло на
същественост, във финансовите отчети за:
-отчетения финансов резултат от дейността ;
-финансовото състояние;
-паричните потоци и промените в тях;
-собствения капитал и промените в него.
Независимото одиторско мнение се изразява по отношение на съответствието на
финансовите отчети с приложимите счетоводни стандарти, както и с всяка друга приета
счетоводна база за изготвяне на финансовите отчети. Формирането и изразяването на
независимото одиторско мнение се извършва в съответствие с Международните
одиторски стандарти /МОС/.
Задължителните принципи, с които трябва да се съобразяват и да спазват
одиторите, са:
-независимост - необвързаност на регистрираните одитори с проверяваното
предприятие, или неговите ръководители;
- обективност и безпристрастност, за да няма влияние върху реалната преценка
на одитора;
- професионална компетентност - притежаване на необходимите познания в
областта на действащото законодателство, МСС и МОС;
64
- конфиденциалност - запазване в тайна на информацията получена при
извършения независим одит;
- професионално поведение – действия в съответствие с доброто име на
одиторската професия и недопускане уронване престижа на професията;
- почтеност - честност, последователност и обективност при одита;
- отговорност – одитора е лично отговорен за изразеното от него мнение;
65
14. Видове и обхват на одита
66
-одит на застрахователни и осигурителни дружества;
-одит на програми, проекти и т. н.;
В зависимост от съдържанието и характера, одитът бива:
-финансов одит - изразяване на независимо одиторско мнение за това, до колко
годишния финансов отчет на предприятието дава вярна и честна представа за
финансовото и имущественото му състояние.
-одит за съответствие - проверка за установяване на степента на съответствие на
управленските решения и действия, за спазване изискванията на нормативните актове и
вътрешни правила.
-одит на изпълнението - проверка на дейностите по планиране, изпълнение и
контрол на всички равнища на управление за тяхната ефективност, ефикасност и
икономичност.
Ефективността се изразява в постигането на максимални резултати от
използваните ресурси при осъществяване на дейността на одитирания обект, докато
ефикасността определя нивото на постигнатите цели от одитирания обект при
съпоставяне на действителни и очакваните резултати от неговата дейност. С
икономичността се целят най-малки разходи за необходимите ресурси, за дейността на
одитирания обект при съобразяване с изискванията за тяхното качество.
67
15.Правна рамка на одитната дейност и вътрешния одит
68
Според това определение, систематичния и дисциплиниран подход определят и
налагат прилагането от вътрешните одитори на единна, унифицирана методология и
професионални стандарти. За тази цел е създаден и Наръчникът за вътрешен одит,
който описва стандартен подход за извършване на вътрешен одит, предназначен да
подпомогне вътрешните одитори. Вътрешните одитори трябва да познават детайлно
този подход и да го следват. С него се цели да се хармонизира одитната практика и да
се подобри качеството на вътрешния одит.
Вътрешният одит в публичния сектор се урежда със ЗВОПС /посл. актуал. от
05.07.2016г. /, с който се определя същността, принципите и обхвата на вътрешния одит
в организациите от публичния сектор, статута и функциите на структурите и лицата,
които го осъществяват, както и одитните дейности по фондове и програми на ЕС.
Всеки ръководител на организация отговаря за изграждането и
функционирането на адекватни и ефективни системи за финансово управление и
контрол, за което се подпомага от вътрешен одит.
ВО е независима и обективна дейност за предоставяне на увереност и
консултиране, предназначена да носи полза и да подобрява дейността на
организацията, и спомага да постигне целите си. Той се осъществява в съответствие с
международните стандарти за професионална практика по вътрешен одит, Етичен
кодекс на вътрешните одитори и при спазване на следните принципи:
- независимост и обективност;
- компетентност и професионална грижа;
- почтеност и поверителност.
Вътрешният одит подпомага организацията за постигане на целите й, като:
- идентифицира и оценява рисковете в организацията;
- оценява адекватността и ефективността на системите за финансово управление
и контрол по отношение на: идентифицирането, оценяването и управлението на риска;
съответствието със законодателството; надеждността и всеобхватността на нужната
информация; ефективността, ефикасността и икономичността на дейностите;
опазването на активите и информацията;
- дава препоръки за подобряване на дейностите в организацията.
69
Одитният ангажимент за даване на увереност се изразява в предоставяне на
обективна оценка на доказателствата от вътрешния одитор с цел да се предостави
независимо мнение или извод относно процес, система или друг обект на одита. Целта
и обхвата му се определят от ръководителя на вътрешния одит. Той се осъществява
чрез: одит на системите, одит за съответствие, одит на изпълнението, финансов одит,
одит на информационните системи и технологии и преглед на състоянието.
Одитният ангажимент за консултиране се изразява в даване на съвет, мнение,
обучение и други, предназначени да подобряват процесите на управление на риска и
контрола, без вътрешният одитор да поема управленска отговорност за това. Одитният
ангажимент за консултиране се извършва по инициатива на ръководителя на
организацията.
Вътрешният одит в публичния сектор се осъществява от звено за вътрешен одит,
изградено в структурата на организацията, което е на пряко подчинение на
ръководителя на организацията или на колективния орган на управление. Звеното се
състои от вътрешни одитори, които са служители на организацията, единият от които е
ръководител.
Звено за вътрешен одит задължително се изгражда във:
- администрацията на Президента, НС, МС, министерствата, НОИ, НЗОК и ДФ
"Земеделие";
- Висшия съдебен съвет и Сметната палата;
- общините, чийто бюджет надхвърля 10 млн. лв.;
- други организации, чиито ръководители са първостепенни разпоредители с
бюджет и бюджетът им надхвърля 10 млн. лв.;
- изброените в приложението организации, чиито ръководители са
второстепенни разпоредители с бюджет;
- търговските дружества, включително лечебните заведения, с над 50 на сто
държавно и/или общинско участие в капитала и с годишен оборот над 10 млн. лв. за
всяка от последните три години;
- държавните предприятия по чл. 62, ал. 3 от Търговския закон с годишен оборот
над 10 млн. лв. за всяка от последните три години.
Общо звено за вътрешен одит се изгражда след съгласуване с министъра на
финансите в една община въз основа на споразумение, сключено между две или повече
общини, които са съседни или попадат в границите на една административна област и
70
бюджетът на всяка една от тях не надхвърля 10 млн. лева. Това звено извършва
дейността по вътрешен одит в общините по споразумението.
С писмено съгласие на министъра на финансите въз основа на мотивирано
предложение на съответния разпоредител с бюджет може да се изгражда звено за
вътрешен одит и в други организации. Дейността по вътрешен одит може да се
осъществява от лица, които не са служители на съответната организация и отговарят на
изискванията за вътрешни одитори.
Звено за вътрешен одит в търговски дружества с държавно и/или общинско
участие в капитала и в държавни предприятия по чл. 62, ал. 3 от Търговския закон,
които имат участие под 50% в капитала и оборот под 10 млн. лв., може да се създаде
по решение на управителните им органи.
Звеното осъществява вътрешен одит на:
- всички структури, програми, дейности и процеси в организацията,
включително финансираните със средства от Европейския съюз;
- организациите, чиито ръководители са разпоредители с бюджет от по-ниска
степен, в които няма звено за вътрешен одит;
- търговските дружества с над 50 на сто държавно и/или общинско участие в
капитала и търговските дружества, чийто капитал е собственост на тези дружества, в
които няма звено за вътрешен одит;
- държавните предприятия по чл. 62, ал. 3 от Търговския закон, в които няма
звено за вътрешен одит;
- лечебните заведения - търговски дружества със 100 на сто държавно или
общинско участие в капитала, както и със смесено държавно и общинско участие, в
които няма звено за вътрешен одит.
Звеното за вътрешен одит на организация, отговорна за управлението на
междуведомствени програми или проекти, координира работата на звената за вътрешен
одит на организациите, участващи в тези програми или проекти. Звеното за вътрешен
одит на организацията, чийто ръководител е първостепенен разпоредител с бюджет,
съответно - орган, който упражнява правата на собственост в капитала, осъществява
наблюдение и координация при планирането, извършването и докладването на
дейността на звената за вътрешен одит на организациите, чиито ръководители са
второстепенни разпоредители с бюджет, и на търговските дружества и държавните
предприятия с държавно или общинско участие.
71
При изпълнение на одитен ангажимент за даване на увереност звеното за
вътрешен одит може да извършва проверки в структури и лица извън организацията, в
която осъществява дейността си. Тези структури и лица трябва да са свързани с
дейността на организацията и/или да са получатели на бюджетни средства или средства
по програми и фондове на Европейския съюз.
Ръководителите на организациите спазват изискванията за минимална численост
на звеното за вътрешен одит в диапазон от минимум 2 одитори при бюджет на
съответната организация до 10 млн. лв., включително ръководителя на вътрешния одит,
до не по-малко от 10 вътрешни одитори, включително ръководителя на вътрешния
одит, при бюджет на съответната организация над 100 млн. лв., включително
управляваните средства по фондове и програми на Европейския съюз.
Вътрешният одит в общините се осъществява най-малко от двама вътрешни
одитори, включително ръководителя на вътрешния одит.
Ръководителят на организацията осигурява независимост на вътрешните
одитори при планиране, извършване и докладване на резултатите от вътрешния одит и
не може да възлага на ръководителя на вътрешния одит и на вътрешните одитори
изпълнение на други функции и дейности, различни от дейността по вътрешен одит.
В министерствата, в общините с изградени звена за вътрешен одит и в Държавен
фонд "Земеделие" - Разплащателна агенция, задължително се създават Одитни
комитети, които се състоят от 3 до 5 членове, включително и председател, като най-
малко две трети от тях са външни за организацията лица. Членовете на одитните
комитети трябва да:
- имат придобита образователно-квалификационна степен "магистър";
- имат най-малко 5 години стаж в областта на управлението и контрола,
вътрешния или външния одит;
- не участват в повече от два одитни комитета.
Одитният комитет има следните правомощия:
- съгласува статута и числеността на звеното за вътрешен одит, стратегическите
и годишните планове за дейността по вътрешен одит;
- разглежда и приема с решение годишния доклад за дейността по вътрешен
одит;
- запознава се при необходимост и дава становища по одитните доклади за
извършени одитни ангажименти и по всички значими въпроси, свързани с вътрешния
одит в съответната организация;
72
-наблюдава процеса по управление на риска в организацията и дава становища с
препоръки за подобряването му;
- наблюдава процесите на финансово отчитане в организацията и дава
становища с препоръки за подобряването им;
Становищата на одитния комитет се изпращат на ръководителя на
организацията, който изпълнява дадените в тях препоръки. В случай на неизпълнение
на препоръките от ръководителя на организацията и несъгласуване на статута на
звеното за вътрешен одит и на стратегическите и годишните планове за дейността по
вътрешен одит одитният комитет изпраща информация до министъра на финансите.
Министерският съвет приема наредба относно процедурата за определяне на
състава и дейността на одитните комитети в организациите от публичния сектор.
73
- на свободен достъп до ръководството, одитния комитет, целия персонал и
всички активи на организацията във връзка с осъществяването на одитната дейност;
- на достъп до цялата информация, както и до всички документи, включително и
електронни, които се съхраняват в организацията и са необходими за осъществяването
на одитната дейност при спазване на ограниченията или специалния ред за достъп,
предвидени със закон;
- да изискват от отговорните длъжностни лица сведения, справки, становища,
документи и друга информация, необходима във връзка с одитната дейност.
Ръководителят на вътрешния одит и вътрешните одитори са длъжни да спазват
международните стандарти за професионална практика по вътрешен одит, Етичния
кодекс на вътрешните одитори, статута на звеното за вътрешен одит и утвърдената от
министъра на финансите методология за вътрешен одит в публичния сектор.
Ръководителят на вътрешния одит е отговорен за цялостната дейност на звеното
за вътрешен одит, като:
- изготвя и представя на ръководителя на организацията и на одитния комитет
или на колективния орган на управление проект на статут на звеното за вътрешен одит,
стратегически и годишен план за дейността по вътрешен одит;
- организира, координира и разпределя задачите за изпълнение между
вътрешните одитори съобразно техните знания и умения;
- следи за изпълнението на годишния план за дейността по вътрешен одит и за
прилагането на методологията за вътрешен одит в публичния сектор;
- изготвя и представя за утвърждаване от ръководителя на организацията план за
професионалното обучение и развитие на вътрешните одитори;
- предлага на ръководителя на организацията да възложи определена задача на
експерт от организацията или извън нея, когато служителите на звеното за вътрешен
одит не притежават специални знания и умения;
- докладва резултатите от одитните ангажименти, дадените препоръки и
резултатите от проследяване на изпълнението на дадените препоръки на ръководителя
на организацията, а при необходимост - и на одитния комитет или на колективния
орган на управление;
- представя годишен доклад за дейността по вътрешен одит на ръководителя на
организацията, на одитния комитет или на колективния орган на управление;
74
- докладва за всички случаи, в които е бил ограничен обхватът на дейността по
вътрешен одит на ръководителя на организацията, на одитния комитет или на
колективния орган на управление;
- координира взаимодействието с външните одитори.
Ръководителят на вътрешния одит разработва и прилага програма за осигуряване
на качеството и за усъвършенстване на одитната дейност, която включва вътрешни и
външни оценки.
Вътрешните оценки включват текущ мониторинг, периодични самооценки и
периодични оценки от други лица в организацията, които познават практиката по
вътрешен одит и отговарят на изискванията.
Външните оценки се извършват поне веднъж на 5 години от лица извън
организацията, които притежават сертификат "вътрешен одитор в публичния сектор"
или валиден международно признат сертификат за вътрешен одитор.
При идентифициране на индикатори за измама вътрешните одитори докладват
незабавно на ръководителя на вътрешния одит, който уведомява незабавно
ръководителя на организацията и дава предложение за предприемане на мерки и
уведомяване на компетентните органи, а ако ръководителят на организацията не
предприеме действия в 14-дневен срок от докладването, ръководителят на вътрешния
одит уведомява компетентните органи и одитния комитет.
Планирането на дейността по вътрешен одит се извършва въз основа на оценка
на риска и при спазване на указанията на министъра на финансите. Резултатите от
планирането се отразяват в тригодишен стратегически план и в годишен план.
Стратегическият план се изготвя от ръководителя на вътрешния одит след
обсъждане с ръководителя на организацията и с други лица на ръководни длъжности,
като съответства на дългосрочните цели на организацията и поставя целите за
стратегическо развитие на дейността по вътрешен одит.
Годишният план, съдържащ конкретните одитни ангажименти, се изготвя от
ръководителя на вътрешния одит след обсъждане с ръководителя на организацията и с
другите лица на ръководни длъжности. При планиране на одитни ангажименти,
свързани с междуведомствени програми или проекти, годишният план се координира
със звената за вътрешен одит на организациите, участващи в тези програми или
проекти.
Стратегическият и годишният план за дейността по вътрешен одит в общините
се представят за сведение на общинските съвети.
75
За всеки одитен ангажимент за даване на увереност се изготвя одитен план,
който съдържа обхват, цели, времетраене и разпределение на ресурсите за изпълнение
на ангажимента. Резултатите от всеки одитен ангажимент за увереност се представят на
и се обсъждат с ръководителя на организацията и с ръководителите на структурите,
чиято дейност е одитирана, а при необходимост - и с одитния комитет или със
съответния колективен орган на управление. За изпълнението на всеки одитен
ангажимент за даване на увереност се изготвя одитен доклад, който включва резюме,
цели и обхват на ангажимента, констатации, изводи и препоръки.
Резултатите от изпълнението на всеки одитен ангажимент за консултиране се
документират, обсъждат и докладват в зависимост от естеството на ангажимента.
В резултат от изпълнението на всеки одитен ангажимент за увереност
ръководителите на одитираните структури изготвят план за действие за изпълнение на
приетите препоръки, който се утвърждава от ръководителя на
организацията.Вътрешните одитори проследяват изпълнението на приетите препоръки
от одитните ангажименти за увереност, като оценяват адекватността, ефективността и
своевременността на предприетите действия и обсъждат с ръководството на
организацията, а при необходимост - и с одитния комитет, риска от непредприемането
на действия.
Одитните дейности по фондове и програми на ЕС, са по- специфични и
включват: одити на системите, одити на операциите и одити на отчетите по всички
оперативни програми, съфинансирани от Европейския фонд за регионално развитие,
Кохезионния фонд, Европейския социален фонд, Европейския фонд за морско дело и
рибарство и Фонда за европейско подпомагане на най-нуждаещите се лица; издаване на
декларация за приключване на програма, съфинансирана от фондове на Европейския
съюз, която се основава на оценка на системите за управление и контрол, на
резултатите от вече извършените проверки и когато е необходимо - на допълнителни
проверки на транзакциите.
Годишният доклад за дейността по вътрешен одит, съдържа:
- изпълнените одитни ангажименти, случаите на ограничения в обхвата и
причините за неизпълнение на плана;
- основните изводи за функционирането на системите за финансово управление
и контрол в организацията и дадените препоръки за подобряване на дейността на
организацията;
76
- действията, предприети за изпълнение на препоръките, и неизпълнените
препоръки;
- случаите на нарушения на нормативни актове, наличието на индикатори за
измама и предприетите действия от ръководителя на организацията и ръководителя на
вътрешния одит;
Той се представя на ръководителя на организацията и на одитния комитет, или
на съответния колективен орган на управление, при първостепенен разпоредител с
бюджет, с изключение на Висшия съдебен съвет и Сметната палата, в срок до 28
февруари на следващата година.
Министърът на финансите отговаря за координацията и хармонизацията на
вътрешния одит в организациите от публичния сектор, като се подпомага от Централно
хармонизиращо звено за вътрешен одит, което е на негово пряко подчинение. Той
отговаря за разработването и актуализирането на стратегия и единна методология за
вътрешен одит в публичния сектор и за одитиране на програми и фондове от
Европейския съюз; утвърждава Етичен кодекс на вътрешните одитори; дава указания за
приоритетни цели и области за одитиране при планиране на дейността по вътрешен
одит, с изключение на Висшия съдебен съвет и Сметната палата.
77
16. Одитен процес
78
като интегрирано цяло. Основните познания на одиторите се разширяват постепенно
по време на одита. На всеки етап от одитния процес вътрешните одитори трябва да
обмислят отново своя подход и да правят преглед на своето разбиране за системата.
Одитът, базиран на системите, е в основата на всеки одит. Гаранция за
качественото изпълнение на одита е подходът на одиторите при планирането и
извършването на одита. Вътрешните одитори използват стандартен подход при всеки
одит. Одитният процес винаги преминава през четири фази: планиране, проверки,
докладване и проследяване на изпълнението на препоръки, както е показано на фиг. 4,
по- долу.
ОДИТЕН ПРОЦЕС
Първа фаза - ПЛАНИРАНЕ
Втора фаза – ПРОВЕРКИ
Трета фаза – ДОКЛАДВАНЕ
Четвърта фаза – ПРОСЛЕДЯВАНЕ НА ПРЕПОРЪКИТЕ
79
80
17. Планиране на одитния процес
81
дейност/процес. Разбирането за дейността се постига чрез събиране и проучване на
информация за:
- нормативните и вътрешните актове, регулиращи дейността на одитираната
дейност/процес;
- заложените цели, които следва да бъдат постигнати от дейността/процеса;
- организационната структура - разделение на отговорности, длъжностни
характеристики и др.;
- основните сфери на дейност;
- методологията за управление на риска, прилагана спрямо одитираната
дейност/процес;
- процедурите за обработка на информация и ключови контролни механизми
за правилното им функциониране;
- счетоводната среда и прилаганата счетоводна политика;
- системите за финансово управление и контрол;
- прилаганите политики по отношение на персонала;
- други относими документи.
В процеса на предварителното проучване се използват всички документи и
цялата информация събрана за целите на годишното планиране, въз основа на която е
направена оценка на контролната среда и рисковите дейности/процеси и са дефинирани
най-общо целите и обхвата на всеки конкретен одитен ангажимент.
При изпълнението на този етап одиторите използват данни от постоянното
досие на обекта, резултатите от предишни одити, от срещи и интервюта с
ръководството и други отговорни експерти. За набиране на допълнителна информация
вътрешните одитори могат да изготвят и предоставят въпросници на служителите,
включени в одитираната дейност/процес. Ръководителят на вътрешния одит и
вътрешните одитори анализират събраната информация и в резултат на извършената
работа на този етап, най-общо дефинират целите и обхвата на одита.
На по-късен етап предварително формулираните цели се конкретизират с
подцели, определя се точният обхват на одита и се включват в одитния план.
Ръководителят на вътрешния одит уведомява ръководителя на организацията за
началото на всеки одитен ангажимент, както и ръководителят на одитираната
дейност/процес независимо от това, че ръководството е запознато със съдържанието на
годишния одитен план и одитните ангажименти, включени за изпълнение през
82
съответната година, като избере подходящата форма за това - устно или писмено.
В случай, че в годишния план е планирано извършването на одит в
разпоредител от по-ниска степен, желателно е ръководителят на организацията, на
когото пряко е подчинено звеното за вътрешен одит да изпрати уведомително писмо за
началото на одита до ръководителя на одитираната дейност/процес.
83
- място на извършване на конкретните проверки;
- други.
Обхватът на одита зависи от съществуващите ограничения при извършване на
проверките. Ограниченията в обхвата на одита представляват фактори или събития,
които намаляват в някаква степен възможността на одитора да изрази независимо и
професионално мнение по одитираната дейност/процес. Ограничението в обхвата може
да бъде свързано с:
- Достъпа на вътрешните одитори до активи, документи, информация и
ключови лица, свързани с целите на одита.
- Ресурсите по отношение на персонала /брой и квалификация/ и график за
изпълнение на одиторската работа.
Ръководителят на вътрешния одит трябва да преоценява по време на одитния
процес обхвата, целите и необходимото време за извършване на одитната дейност. В
случай, че при извършване на тази периодична преоценка се налага промяна в обхвата
и/или целите на одита и те са значителни и/или съществени, той трябва да запознае
ръководството на одитираната дейност/процес с тях.
Обхватът на одита и неговите ограничения трябва да бъдат включени в одитния
план при неговото изготвяне.
84
- Въпросници за получаване на допълнителна информация.
Ръководителят на вътрешния одит обсъжда с ръководството на одитираната
дейност/процес планираната начална и крайна дата на одита, като при възможност ги
съобразява с ангажираността на отговорните лица. В случай, че ръководството е
идентифицирало специфични рискове в одитираната дейност/процес, те трябва да
бъдат включени в обхвата на одита и заложени в одитния план.
85
предотвратяване и разкриване на измами; надеждност и адекватност на управленската
информация; спазването на нормативните и вътрешните изисквания при осъществяване
на съответната дейност/процес; опазване на имуществото и информацията; пълнота и
вярност на счетоводните документи /сметки, баланси и отчети и други/.
-За определяне на специфичните /контролни/ цели се взимат предвид следните
шест области: организация; правомощие /оторизацията /; документиране и обработване
на сделки/транзакции; документиране и обработване на активи; защита /сигурност/ на
информацията и активите; потвърждаване и др.
Важно е да се запомни, че различните контролни цели могат да се използват в
различни одитирани дейности/процеси и вътрешните одитори трябва непрекъснато да
мислят за допълнителни контролни цели, отразяващи определен контекст, в който
функционира процесът, и някакви специфични проблеми, стоящи пред процеса, които
са обект на прегледа.
- Формулиране на целите
По преценка на вътрешните одитори, общите одитни цели могат да бъдат
дефинирани по този начин:
- Да се оцени дали въведените политики и процедури са адекватни на целите
на одитираната дейност/процес;
- Да се установи дали въведените политики и процедури в одитираната
дейност/процес съответстват на изискванията на нормативните актове;
- Да се удостовери наличието на материалните активи и дали въведените
контролни механизми осигуряват по най-добрия начин защитата на активите от загуби
и разхищения;
- Да се оцени пълнотата, актуалността, достоверността и достъпността на
информационната система;
- Да се определи точността и навременността на финансовите транзакции;
- Да се установи наличието на грешки и недостатъци и причините
(контролните слабости), които са допринесли за това и др.
Формулирането на целите до голяма степен зависи от вида одит, който ще се извършва.
Съществува връзка между одитни цели и одитни процедури
Одитните процедури представляват средствата за постигането на одитните цели.
Основни и най-важни процедури са проверките в одитния процес. Проверките, които
86
вътрешните одитори планират да извършат по време на одита, зависят от характера на
одитираната организация и могат да са насочени към различни по вид дейности,
процеси, програми, показатели, документи и други.
Целите и процедурите по ангажимента, взети заедно, определят обхвата на
работата на вътрешните одитори. Целите и процедурите по ангажимента трябва да са
насочени към рисковете, свързани с проверяваната дейност/процес.
- Идентифициране/откриване на рисковете
Това е дейност, която вътрешните одитори извършват, с цел да установят кои са
съществуващите или потенциални рискове, застрашаващи постигането на целите на
одитираната дейност/процес.Идентифицирането на рисковете зависи преди всичко от
професионалните умения на одиторите и разбирането, което са придобили за
одитираната дейност/процес и е свързано с определените стъпки на дейността/процеса,
отразени в работния документ “Одит на системите”.
87
За всяка стъпка от одитираната дейност/процес вътрешните одитори определят
съответните рискове. Формулирането и документирането се извършва чрез попълване
на частта “Рискове на процеса” от работния документ “Одит на системите”.
Ръководителят на вътрешния одит трябва да запознае и обсъди с ръководството
установените рискове. Целта е да бъде постигнато съгласие между одитори и
одитирани, че именно това са рисковете на процеса/дейността. В зависимост от
резултата от тази среща, рисковете могат да бъдат преформулирани.
■ висок
РИСК
СРЕДЕН РИСК
■ нисък:
РИСК
88
-Оценка на контролните механизми срещу рисковете в одитираната
дейност/процес
Контролни механизми са всички действия на ръководството, насочени към
увеличаване на вероятността заложените цели и задачи да бъдат постигнати.
Същевременно те намаляват въздействието на идентифицираните рискове върху
постигане на заложените цели на одитираната дейност/процес.
Контролните механизми са:
- превантивни (да попречат на възникването на нежелани събития);
- разкриващи (да разкрият и коригират нежелани събития)
- направляващи (да причинят или да подпомогнат възникването на желано
събитие).
Вътрешните одитори трябва да установят контролните механизми, които
съществуват и имат отношение към одитираната дейност/процес. На този етап
контролните механизми се идентифицират, без да се прави анализ и оценка за тяхната
ефективност.
Основни контролни механизми са:
- разделяне на отговорностите;
- управленски;
- организационни;
- контроли за упълномощаване;
- оперативни;
- физически;
- за документиране;
- за персонала;
- надзор;
- други.
Идентифицирането на контролните механизми има пряко и съществено влияние
върху определяне обема на проверките. Вътрешните одитори документират своята
работа на този етап от одитния процес, като попълват част “Контролни механизми” от
работен документ “Одит на системите”.
89
-Оценка на идентифицираните контролни механизми
Основна цел на вътрешните одитори е да направят оценка на контролните
механизми, които са въведени от ръководството на одитираната организация с цел да
намалят рисковете, застрашаващи постигането на целите й. Тази оценка включва
няколко възлови въпроса:
- Съществуват ли разписани контролни механизми, управляващи всички
идентифицирани рискове (наличие);
- Въведените контролни механизми подходящи ли са и спомагат ли за
постигане на целите на одитираната дейност/процес (качество);
- Наличните контролни механизми изпълняват ли се ефективно (ефективност).
Вътрешните одитори трябва да дискутират и обсъждат идентифицираните
контролни механизми за да стигнат до увереност, че те са необходими и/или други
контроли няма да се извършват с по-малко разходи.
Когато вътрешните одитори идентифицират контролните механизми, те трябва
да ги свържат със съответния риск, който покриват. Възможно е да останат рискове,
които не са покрити от контролни механизми и ръководителят на вътрешния одит
следва да насочи вниманието на ръководството към тях. Установените рискове,
непокрити от контролни механизми, следва задължително да се включат в одитния
доклад.
90
дейност/процес не е покрит от контролни механизми. В този случай те планират
детайлни проверки, за да установят дали липсата на разписани контролни механизми е
довела до грешки и нередности в одитираната дейност/процес. Броят на детайлните
проверки при непокрития с контролен механизъм риск е по-голям в сравнение с броя
на детайлните проверки при наличие на контролни механизми. Целта на вътрешните
одитори е да планират проверките така, че при установен риск, непокрит с контролен
механизъм, да установят дали това води до грешки и нередности. При проверки на
наличните контролни механизми целта на одиторите е да установят дали те действат
/тяхната ефективност/.
- Вътрешните одитори са установили, че повече от един или всички
идентифицирани рискове не са покрити с контролни механизми. В този случай те
планират повече детайлни тестове /фактически проверки/, като се съобразяват с
разполагаемото време. При ограничен времеви ресурс за извършване на достатъчно
брой тестове за установяване на грешки и нередности, следва да се стесни обхвата на
проверките.
При планиране обема на проверките основна роля има професионалната и
непредубедена преценка на вътрешните одитори. Те трябва да имат предвид следните
фактори:
-Естеството на контролите - ръчните контролни механизми трябва да бъдат по-
задълбочено проверени, отколкото автоматизираните такива. В някои случаи единично
тестване на процес, покриван от автоматизирана контролна процедура, може да е
достатъчно за да се направи извод за ефективността на одитираната дейност/процес.
Колкото по-сложен е един процес или нивото на компетентност на персонала,
отговарящ за него е ниско, обемът на проверките следва да е по-голям.
-Значение на контролните механизми - ключовите контролни механизми,
покриващи повече от един от идентифицираните рискове, трябва да бъдат проверявани
с приоритет.
-Финансова тежест на част от одитираната дейност/процес - приоритетно се
проверяват контролните механизми, покриващи частите от одитираната
дейност/процес, в които е съсредоточен повече финансов ресурс.
-Честота на процесите/операциите - колкото по-динамичен и повтаряем е един
процес /респ. и контролите към него/, толкова по-голям обем информация следва да
обработи вътрешният одитор, за да направи извод за ефективността на контролните
процедури.
91
Проверките може да се разделят условно на:
- Тестове на контроли /проверки за съответствие/ - вътрешните одитори
трябва да получат доказателства за съществуването и ефективното действие на
контролните механизми и дали прилагането им е в съответствие с нормативните актове
и вътрешните правила. Тестване на контроли се прилага, когато рискове са покрити от
разписани контролни механизми и одиторите разчитат на тяхното действие и
адекватност. Проверките за съответствие представляват съпоставка на фактически
извършените процедури с описаните в нормативните актове и вътрешните правила.
Детайлни/съществени тестове - проверки за наличност и изрядност на
документите. При детайлното тестване се цели да се получи увереност, че извършените
дейности/процеси са документално обосновани и проследими. Чрез тези тестове
вътрешните одитори установяват дали съществуват грешки и нередности.
След като определят какви проверки ще се извършват, вътрешните одитори
трябва да изработят одиторската документация /работни програми, контролни
листове, др./ за тях.
Вътрешните одитори трябва да планират проверките по начин, осигуряващ
целите на одита и съберат основателни, уместни и достатъчни доказателства в
подкрепа на изводите, до които ще достигне.
Определянето на обема на проверките зависи от наличието и качество на
контролните механизми. В случай, че одиторите решат да тестват част от цялата
съвкупност, те трябва да изберат правилния подход за подбор на позициите /одитната
извадка/. Одитната извадка представлява извършване на одитни проверки върху по-
малко от 100 % от общото количество данни и др., от които да се даде мнение за
качеството на цялата популация.
Одитните извадки биват статистически и нестатистически.
- Статистическата извадка трябва да бъде така построена, че на всеки елемент
от цялата популация да бъде даден еднакъв шанс /възможност/ за проверки. По този
начин резултатите от обработената извадка биха могли да се отнесат към цялата
популация.
- При нестатистическата извадка решението кои точно позиции от общата
популация да попаднат за тестване зависи от професионалната преценка на одиторите.
Те са изключително удачни и икономични при малки популации и в случаите, когато
предварителното проучване е дало увереност за наличие на контролни механизми.
Позициите, към които одиторите трябва да се насочат, могат да бъдат такива: позиции
92
с висока стойност и ключови, които изискват особено внимание. Това може да бъдат
необичайни или подозрителни позиции и се избират изцяло на базата на установените
рискове и професионалната преценка на одиторите.
Вътрешните одитори трябва задължително да документират по какъв начин и с
използването на какъв подход са определили обема на проверките и позициите, които
ще бъдат проверени. Документирането може да се извърши с паметна записка и/или
друг работен документ.
93
на одитираната организация.
Ръководителят на вътрешния одит отговаря за своевременното и точно
изготвяне на одитния план и за разпределяне на задачите между вътрешните одитори в
зависимост от тяхната компетентност.
18. Проверки /Field work/
94
- Липса на контролни механизми, управляващи рисковете в процеса.
Вътрешните одитори оценяват остатъчния риск като висок, среден или нисък и
документират установените слабости в контролните механизми. Оценката на
остатъчния риск се отразява в работния документ “Одит на системите”.
Оценката на остатъчния риск е необходима за правилното формулиране на
изводите в одитния доклад. Вътрешните одитори дават препоръки за покриване на този
риск с адекватни контролни механизми.
2.Формулиране на констатации, изводи и препоръки
На база резултатите от проверката и остатъчния риск вътрешните одитори
формулират констатациите и изводите като логически заключения. Те трябва да са
обосновани и ясни и да посочват причините за нередностите, слабостите и
недостатъците в одитираната дейност/процес
С цел да се подобри одитираната дейност/процес и за отстраняване на
констатираните нередности, слабости и недостатъци в нея, одиторите предлагат
препоръки. Те трябва да са формулирани конструктивно и да имат пряка връзка с
констатациите и изводите. Препоръките трябва да са разбираеми, правилно адресирани
и с разумни срокове за изпълнение.
Вътрешните одитори след като приключат с проверките и формулират изводите
и препоръки, трябва да обобщят всички работни документи в работен документ -
Рекапитулация на резултатите. Всички попълнени работни документи и
рекапитулацията на резултатите се представят на ръководителя на вътрешния одит за
проверка и одобрение.
Вътрешните одитори обобщават резултатите и първоначално формулираните
изводи и препоръки от проверките, анализират ги и ги класифицират по важност. За
целта използват работен документ - таблица, съдържаща констатации, изводи и
препоръки, който е основата на одиторския доклад.
При условие, че резултатите от проверките показват съществени проблеми в
одитираната дейност/процес, те могат да бъдат докладвани на ръководството на този
етап от одита, преди да е изготвен предварителния одитен доклад. Вътрешните
одитори съвместно с ръководителя на вътрешния одит изготвят документ за
установяване и анализиране на проблема и го представят на междинна среща с
95
ръководството, която документират с паметна записка.
19. Докладване
96
нивото на риска в одитираната дейност/процес.
Въведението съдържа основанието за извършване на одита /правно основание,
годишен план, др./, имената и длъжностите на членовете на одиторския екип,
наименование на одитираната организация и одитираната дейност/процес,
целта/целите на одита и неговия обхват.
Констатациите отразяват резултатите от всички проверки, заложени в одитния
план. Информацията в тях следва да отразява обективно, точно и ясно установените
факти и обстоятелства.
Изводите представляват мнението/заключението на вътрешните одитори,
формирано след извършване на проверките и отразяват неговата оценка на резултатите
от нея. Изводите посочват и причините за установените пропуски, грешки и
несъответствия, както и рисковете за допускането им и в бъдеще. Предварителното
формулиране на изводите се извършва от членовете на одиторския екип, извършили
съответните проверки, а тяхното обобщаване и включването им в предварителния
доклад - от ръководителя на одиторския екип. Изводите се разполагат непосредствено
след констатацията, за която се отнасят.
Препоръките се дават с цел да се подобрят системите за финансово управление
и контрол и да се отстранят констатирани слабости, грешки и нередности в
одитираната дейност/процес. Те следва да са обосновани, разумни, изпълними и да са в
пряка връзка със съответната констатация и извод. При изготвянето на препоръките
одиторите следва да имат предвид разходите и ползите от съответните препоръки.
Насочват се към ръководителите на одитираните организации и с тях се препоръчва
предприемането на съответни действия за коригиране на проблемни области,
понижаване на съществуващи рискове и подобряване на дейността. Предварителното
формулиране на препоръките се извършва от вътрешният одитор, извършил
съответната проверка и установил слабост, а включването в предварителния доклад се
извършва от ръководителя на одиторския екип. Препоръките се разполагат
непосредствено след констатацията и извода, за които се отнасят. Те трябва да са
възможно „най-практични”.
Установените рискове непокрити от контролни механизми следва задължително
да се включат в одитния доклад.
Като неразделна част от предварителния доклад вътрешните одитори
разработват и прилагат таблица, съдържаща установените нарушения, недостатъци или
слабости, нивото на риска и формулираните препоръки.
97
3.Провеждане на заключителна среща
Ръководителят на вътрешния одит предоставя на ръководителя на одитираната
дейност/процес предварителния доклад за становище. За връчването на предварителния
одитен доклад може да се състави и протокол в два екземпляра.
За целта се организира заключителна среща, на която ръководителят на
вътрешния одит докладва в резюме резултатите от одита и представя накратко
препоръките. На срещата присъстват вътрешните одитори, изпълняващи конкретния
одитен ангажимент, ключовите лица, участващи в одитираната дейност/процес, др.
Основна задача на ръководителя на вътрешния одит и вътрешните одитори на
всеки етап от извършване на одита е осъществяването на добра комуникация с
ръководството на одитираната организация/дейност. Добрата комуникация осигурява
ефективност на одитния процес. Ключов момент в комуникацията е предоставяне на
предварителния доклад и запознаване с препоръките. Ръководителят на вътрешния
одит трябва да насочи вниманието на ръководството към установените рискови
области, особено тези, в които остатъчният риск е оценен като висок. Необходимо е да
се подчертае нуждата от предприемане на незабавни действия от страна на
ръководството за понижаване нивото на този риск. Ръководителят на вътрешния одит
трябва да обясни важността на всяка една препоръка и последствията за организацията,
ако тя не бъде изпълнена. След обсъждане на дадените препоръки ръководителят на
вътрешния одит поканва ръководителя на одитираната дейност/процес да попълни
колона “Коментар на ръководството” от таблицата с препоръките към предварителния
доклад, в която да посочи приема или отхвърля направените препоръки.
В случай на съгласие с препоръките ръководителят на вътрешния одит трябва да
обясни на ръководителя, че от него се очаква да изготви план за действие за
изпълнението на препоръките.
Ръководителят на вътрешния одит трябва да запознае ръководителя на
одитираната дейност/процес, че в случай на неприемане на препоръките се очаква
възражението по съответните констатации, изводи и препоръки да бъде мотивирано и
да са приложени доказателства в подкрепа на твърденията.
Преди да пристъпят към изготвянето на окончателния доклад вътрешните
одитори изчакват становище /възражение/ по предварителния доклад в срока,
определен в Статута на звеното за вътрешен одит.
98
4.Изготвяне на окончателен доклад и план за действие
99
20. Проследяване на изпълнението на препоръките
100
постигане основните цели на организацията;
- установените слабости, грешки и недостатъци/нередности са незначителни;
- дадените препоръки са лесно изпълними;
- коригиращите действия не са сложни.
За извършване на проследяване при наличие на посочените условия
ръководителят на вътрешния одит изпраща писмо до ръководителя на одитираната
дейност/процес с молба да му бъде предоставена информация, относно последващите
действия за изпълнение на дадените препоръки.
Възможни са следните три хипотези:
- В отговора се съдържа информация за изпълнение на препоръките в
определения в плана за действие срок. В този случай ръководителят на одиторския
екип трябва да изпрати допълнително писмо, с което да изкаже благодарност на
ръководството за предприетите действия.
- В отговора е посочено, че препоръките не са изпълнени в определения срок,
като е възможно да са изброени причини за неизпълнението. Ръководителят на
одиторския екип изпраща писмо, което напомня на ръководството, че независимо от
причините препоръките следва да бъдат изпълнени и последващите действия от страна
на ръководството ще подлежат на допълнителни проверки, а неизпълнението на
препоръките ще бъде докладвано в годишния отчет за дейността.
- Отговор не е получен. Ръководителят на одиторският екип следва да приеме
не получаването на отговор като липса на изпълнение в определения срок и да
предприеме действия, описани в предходната хипотеза.
Резултатите от проследяване изпълнението на препоръките се отразяват в
годишния доклад за дейността.
101
- Промяната засяга дейността на повече от една дирекция/отдел;
- Необходими са значителни средства за промяна в организацията.
В годишния план за одитните ангажименти се планира проследяването на
изпълнението на препоръките, дадени от предходни одити. Времето на извършване на
одита следва да се съобрази със срока за изпълнение на препоръките от одитите,
извършени през предходната година.
При одит за проследяване вътрешните одитори трябва да си поставят за цел да оценят
предприетите действията на ръководството за изпълнение на препоръките. В обхвата
на одита попадат вътрешните актове свързани с промяната в организацията и СФУК.
При одита следва да се направи извод/заключение дали последващите действия
са оказали влияние върху ограничаване на идентифицираните от предходния одит
рискове и са подобрили функционирането на организацията с оглед постигане на
целите й.
За направените констатации и изводи се изготвя кратък одитен доклад.
102
21. Събиране на информация, документиране и архивиране
103
Всеки вътрешен одитор събира онази част от документацията, която съответства
на възложената му задача в съответствие с утвърдения одитен план. Ръководителят на
вътрешния одит проверява и отговаря за пълнотата и точността на цялата събрана
одиторска документация по време на извършване на одитните ангажименти.
Одиторската документация, която изготвят вътрешните одитори трябва да
отразява получената информация и направените анализи и да подкрепя констатациите
и препоръките, които се докладват. Одиторската документация основно:
- Осигурява принципна подкрепа на комуникациите по ангажимента;
- Подпомага планирането, изпълнението и прегледа на ангажиментите;
- Документира постигането на целите на ангажимента;
- Улеснява прегледите, извършвани от трети страни;
- Дава база за оценка на програмата за качество на вътрешния одит;
- Осигурява подкрепа в случаи на предявени застрахователни претенции,
извършени измами и водени съдебни дела;
- Подпомага професионалното развитие на служителите на вътрешния одит;
- Демонстрира съответствието на вътрешния одит със стандартите по
вътрешен одит.
Вътрешните одитори трябва да документират следните аспекти от процеса на
одитния ангажимент:
- Планиране;
- Оценка на риска;
- Проверките и оценките на адекватността и ефективността на контролните
механизми;
- Извършените процедури по ангажимента, получената информация и
достигнатите заключения;
- Извършените проверки;
- Комуникация;
- Последващи действия (follow-up).
Одиторската документация трябва да е пълна и да включва доказателствен
материал в подкрепа на направените заключения. Тя може да включва:
- Документи, свързани с планирането и програми за изпълнение на
ангажимента;
- Въпросници за контрол, диаграми, контролни листове и писмени бележки;
104
- Бележки и паметни записки от интервюта;
- Данни за организацията, като например организационни диаграми и
длъжностни характеристики;
- Копия от важни договори и споразумения;
- Информация за оперативни и финансови политики;
- Резултати от оценки на контрола;
- Документи за потвърждаване и представителство;
- Анализ и проверка на сделки, процеси и счетоводни салда;
- Резултати от прилагани аналитични одиторски процедури;
- Представяне на окончателните резултати от ангажимента и отговори на
ръководството;
- Кореспонденция по ангажимента, ако същата документира направените
заключения от изпълнението на ангажимента.
Одиторската документация може да бъде изготвена на хартия, магнитни ленти,
дискове, дискети, филми или друг носител. Ако тя е върху носител, различен от
хартиен, необходимо е да се предвиди създаването на резервни копия.
3.Архивиране
Организацията и архивирането на одиторската документация се извършва като
се използват два вида досиета - текущо и постоянно одиторско досие.
Текущото досие съдържа одиторска документация, относима към съответния
одитен ангажимент.
Целта на постоянното одиторско досие е да съхранява информация, която да
подпомага вътрешните одитори в процеса на разбиране на дейността. Досието се
актуализира всяка година и след приключването на всеки одитен ангажимент.
По време на изпълнение на одитния ангажимент одиторите съхраняват
текущото досие в помещенията, където се извършва одита. Ръководителят на
вътрешния одит организира и следи за съхранението на цялата документация, свързани
с одита. Съхранението и ползването на текущото и постоянното досие, както и
достъпът на трети лица до работната документация се извършва в съответствие с
вътрешните правила изготвени от ръководителя на вътрешния одит и утвърдени от
ръководителя на организацията
В случай, че в постоянното и/или текущото досие се съдържа класифицирана
105
информация, при ползването и съхранението на документите се спазват
регламентираните в Закона за защита на класифицираната информация изисквания.
106
ефективно прилагане на принципите и конкретните процедури за контрол на
качеството на одитната дейност.
Принципите и конкретните процедури на контрола на качеството на вътрешния
одит трябва да се доведат до знанието на всеки вътрешен одитор, така че да се осигури
разумна увереност, че същите се разбират и прилагат на практика.
Ръководителят на вътрешният одит трябва да разработва и прилага програма за
контрол на качеството включваща двете основни форми за осъществяването му -
вътрешни и външни оценки.
1.Вътрешни оценки
Вътрешните оценки са основен инструмент за осигуряване на контрола на
качеството от страна на ръководителя на вътрешния одит и трябва да включват:
- текущи прегледи/оценки на дейността по вътрешен одит.
- периодични прегледи, извършвани чрез самооценка или чрез оценяване от
други лица в организацията, които познават практиката по вътрешен одит и
Международни стандарти за професионална практика по вътрешен одит в публичния
сектор.
В зависимост от етапите от одитния процес, контролът на качеството се
извършва по време на планиране, извършване и докладване на вътрешния одит.
- Текущите оценки могат да се извършват чрез:
- надзор върху работата по ангажимента,
- контролни листове и други средства, които показват, че процесите, възприети
от одитната дейност (напр. в одитен и процедурен наръчник), се спазват;
- обратна връзка от лица, които одитната дейност обслужва; анкетни карти за
ръководството на одитираната дейност/процес..
- анализ на показателите за изпълнение (например продължителност на одитния
ангажимент , приети и изпълнени препоръки);
-Периодични прегледи
За гарантиране качеството на одитите освен текущи прегледи, ръководителят на
вътрешния одит трябва да разработи и прилага програма за периодични прегледи и
оценки на работата. Те трябва да дават оценка на съответствието със Статута на
звеното за вътрешен одит, стандартите и Етичния кодекс, както и на ефикасността и
107
ефективността на дейността по вътрешен одит в съответствие с потребностите на
ръководството на организацията.
Периодичните оценки могат:
- да включват по-подробни интервюта и проучвания на звената, които одитната
дейност обслужва;
- да се извършват от участници в дейността по вътрешен одит (самооценка);
- да се извършват от сертифицирани вътрешни одитори или други компетентни
одитни специалисти, на които понастоящем е възложена работа на друго място в
организацията;
- да обхващат комбинация от самооценка и подготовка на материали,
проверявани впоследствие от сертифицирани вътрешни одитори или други
компетентни одитни специалисти, работещи на друго място в организацията; и да
включват отбелязване на съответствието на практиките и показателите за изпълнение
на вътрешния одит със съответните най-добри практики на професията по вътрешен
одит.
2.Външни оценки
Външните оценки се извършват поне веднъж на пет години. Оценката се
извършва задължително от лица извън организацията и познаващи добре практиката по
вътрешен одит, както и приетите стандарти за вътрешен одит в публичния сектор.
Задължение на ръководителя на вътрешния одит е да разработи и да предложи за
утвърждаване от ръководството на организацията програма за външна оценка и да
следи за нейното изпълнение. В програмата се посочва кога следва да се извърши
проверката и най-общо целта и обхвата.
След извършване на проверката, ръководителят на вътрешния одит трябва да
вземе предвид констатациите, изводите и препоръките от доклада. В случай, че в
доклада са посочени съществени пропуски и недостатъци, ръководителят на вътрешния
одит съвместно с ръководството на организацията съставя план за действие и
предприема мерки за подобряване качеството на одитната дейност.
108
23. Други видове одит
1. Финансов одит
Финансовият одит е одит в специфична област от дейността на дадена
организация, а именно финансово-счетоводната.
Целта на финансовия одит е да се даде увереност на потребителите на
информацията от финансовите отчети, че същите отразяват вярно, честно и точно
имущественото и финансово състояние на одитираната структура.
При извършване на финансов одит се използва същата одитна методология,
както при одита базиран на системите. Особеното при финансовия одит е, че се обръща
внимание на счетоводната и контролна система, с цел да се направят изводи за
финансовите отчети.
Основната цел при финансов одит е да се оцени дали финансово- контролната
среда осигурява достатъчно надеждна информация. На етап планиране при финансовия
одит, е необходимо вътрешният одитор да определи нивото/прага на същественост,
което е максимално допустимата грешка, която не променя в отрицателна посока
одиторското мнение.
Нивото на същественост най-често се определя в процентно отношение на
грешката спрямо предварително определена база.
Най-общо, базата за същественост е съвкупността от онези транзакции,
стойности и/или операции, спрямо които одиторите извършват своята крайна оценка и
съставят изводи в етапа на докладването. Определянето на нивото /праг/ на
същественост като абсолютна сума се изчислява, като приетата база за същественост
/общ размер на приходите или разходите, размер на печалбата преди облагане,
стойност на активите, стойност на краткотрайните активи и др./ се умножи по
109
процентното ниво на съществеността. Базата за същественост е въпрос на одиторска
преценка.
На етап “Проверки” се извършват тестове с цел събиране на достатъчно
доказателства, които да позволяват да се докладва и да се направят изводи за
финансовите отчети, вътрешния контрол, прилагането и спазването на нормативни и
вътрешни актове, изисквания и/или стандарти. За тази цел се прилагат различни видове
тестове, описани във втора глава на наръчника. Ако по време на изпълнение на
тестовете, се получат резултати различни от очакваните, вътрешните одитори трябва да
увеличат извадката и да тества допълнителни елементи от популацията.
Заключителна фаза от одиторската работа е изготвяне на одитен доклад, в който
са представени резултатите и заключенията от цялостната одиторска дейност. При
сертификация на програми от ЕС се изготвя и сертификат, като се спазват указанията
на Европейската комисия /ЕК/.
2.Одит на изпълнението
Одита на изпълнението /ОИ/ е проверката на дейностите по планиране,
изпълнение и контрол на всички управленски нива с оглед тяхната ефективност,
ефикасност и икономичност /ИЕЕ/. Съществуват различни дефиниции за одит на
изпълнението, които по същество не се различават, а само се допълват:
- Одит на изпълнението е проверка на икономичността, ефикасността и
ефективността, с които одитираната организация управлява ресурсите и
отговорностите си /ИНТОСАЙ/.
- Одит на изпълнението е проверка на програма, дейност и функциониране на
една организация или на системите и процедурите за нейното управление, за да се
оцени дали обектът, в изпълнение на предварително набелязаните цели, е постигнал
икономичност, ефикасност и ефективност при усвояването на неговите ресурси.
Икономичността, ефикасността и ефективността са ключови елементи на одита
на изпълнението:
Икономичност е свеждането до минимум на разходите за придобиване на
ресурси, необходими за осъществяването на дейността, при спазване на изискванията
за качество.
Ефикасност е съотношението между действителния резултат и средствата,
използвани за постигането му.
Ефективност е степента на постигане на целите при съпоставяне на очаквания с
110
действителния резултат от дейността .
Границите между икономичност, ефикасност и ефективност рядко са ясно
очертани. Затова и проверките обикновено целят едновременното проследяване на
различните аспекти на изпълнението като част от една и съща операция. От друга
страна, възможно е да се извърши и одит на изпълнението, който да провери само един
от трите елемента - икономичност, ефективност или ефикасност.
Основната цел на одита на изпълнението е да осигури независима оценка за
икономичността, ефикасността и ефективността на управление на ресурсите за
постигане на заложените цели.
По този начин ръководителят на съответната одитирана организация получава
информация дали:
- при използването на ресурсите ръководството е реализирало възприетите
политики, принципи и стандарти икономично, ефективно и ефикасно и са постигнати
целите;
- съществуват области на незадоволително изпълнение и причините за тях.
Целта на одита на изпълнението /ОИ/ е също така да разкрива нецелево
използване на средства и други примери за лошо /или недобросъвестно/
изпълнение/управление.
За да вземе решение за извършване на ОИ, вътрешните одитори задължително
трябва да се запознаят с поставените пред организацията цели и съответно как същите
са дефинирани от ръководството.
Това се постига, като на вътрешните одитори се предоставят предварително
формулирани/съществуващи цели на одитираната организация от ръководителя. При
липса на такава възможност се провежда разговор с ръководителя на организацията
относно целите и документиране на същите. Възможно е целите да се определят и
съвместно от одитора и ръководителя или одиторът да определи целите и да ги
предостави за съгласуване на ръководителя.
Отговорността за икономично, ефикасно и ефективно използване на ресурсите е
на ръководството на одитираната организация и зависи от наличието на добри
управленски контроли.
ОИ основно може да се извършва по отношение на:
-Дейности, които ангажират значителни ресурси, като значителен обем
финансови/бюджетни средства; извършени са съществени промени при изпълнение на
програмата/ проекта /като увеличаване или намаляване/ и др.;
111
-Дейности, при които съществуват рискове да не се постигнат целите, като
необичайни за обекта сделки; сложни и изискващи специфични познания проекти и
др.;
-Традиционно рискови области, като обществени поръчки; нови и/или спешно
предприети действия и др.
-Проверка на използваните ресурси (съотношението между извършените
разходи за ресурси и крайните резултати/продукти).
-Проверка на системите (касаят персонала, организационната структура и
процедурите в обекта).
-Проверка на крайните резултати/продукти (засягат ефективността).
112
осъществяването на ефективен контрол;
- да предоставят своевременна информация на ръководството с оглед
постигане целите на организацията;
При извършване на одит на информационните технологии вътрешните одитори
трябва да имат предвид, че им е необходима специфична техническа подготовка. За да
бъде извършен такъв одит в одиторският екип могат да бъдат включени и специалисти
в областта на информационните технологии. Одитния процес съответства на процеса
при одит на системите.
Оценката/заключението от извършения вътрешен одит трябва да се отнася до
адекватността на информационните технологии на потребностите на ръководството на
одитираната организация, приносът им за постигане целите на организацията и
подобряване на системите за финансово управление и контрол.
113
24. Стандарти за професионална практика по вътрешен одит
114
посочват критерии, на базата на които може да се оцени качеството на предоставяните
услуги. Присъщите за дейността стандарти и Стандартите за изпълнение на работата се
прилагат при всички услуги по вътрешен одит.
Уточняващите стандарти доразвиват Присъщите за дейността стандарти и
Стандартите за изпълнение на работата и определят изисквания, приложими при
даването на увереност или консултирането.
Услугите за даване на увереност изискват обективна оценка на доказателства от
страна на вътрешния одитор с цел да се предостави независимо мнение или извод
относно организационна единица, дейност, функция, процес, система или друг обект на
одита. Естеството и обхватът на ангажимента за даване на увереност се определят от
вътрешния одитор.
Консултантските услуги по същността си представляват предоставяне на съвети и
се извършват обикновено по изрично искане на клиента. Естеството и обхватът на
консултантските ангажименти се определят по споразумение с клиента. При
предоставянето на консултантски услуги вътрешният одитор задължително трябва да
запази своята обективност и да не поема управленски отговорности.
115
-1100 - Независимост и обективност
Вътрешният одит задължително трябва да бъде независим, а вътрешните
одитори да бъдат обективни при изпълнение на своята работа. Независимостта
представлява липса на обстоятелства, които да заплашват способността на вътрешния
одит да изпълнява функциите на вътрешния одит по непредубеден начин. За да
постигне необходимата степен на независимост и да изпълнява ефективно функциите
на вътрешния одит, ръководителят на вътрешния одит има пряк и неограничен достъп
до висшето ръководство и Съвета.
-1110.A1 - Не трябва да се допуска намеса при определяне на обхвата на
вътрешния одит, изпълнението на одиторската работа и представянето на
резултатите.
-1120 - Индивидуална обективност
Вътрешните одитори задължително трябва да имат непредубедено и
безпристрастно отношение и да избягват всякакъв конфликт на интереси. Конфликт на
интереси е ситуация, при която вътрешен одитор, който се ползва с доверие, има
противопоставящи се професионални или лични интереси. Такива противопоставящи
се интереси могат да затруднят безпристрастното изпълнение на неговите задължения.
-1130 - Накърняване на независимостта или обективността
Ако независимостта или обективността са реално накърнени или има съмнения
за това, обстоятелствата, свързани с накърняването, задължително трябва да
бъдат доведени до знанието на съответните лица. Начинът на оповестяването ще
зависи от естеството на накърняването.
-1130.A1 - Вътрешните одитори задължително трябва да се въздържат от
оценяването на конкретни дейности, за които преди това са носели отговорност.
Обективността се счита за накърнена, когато вътрешният одитор извършва
услуги за даване на увереност относно дейност, за която е бил отговорен през
предходната година.
-1130.A2 - Ангажименти за даване на увереност относно дейности, които са
отговорност на ръководителя на вътрешния одит, задължително трябва да се
извършват под надзора на лице извън звеното за вътрешен одит.
-1130.C1 - Вътрешните одитори могат да предоставят консултантски услуги,
свързани с дейности, за които преди това са носели отговорност.
-1130.C2 - Ако съществува вероятност да бъдат накърнени независимостта или
обективността на вътрешните одитори във връзка с извършването на
116
предложени консултантски услуги, клиентът задължително трябва да бъде
уведомен за това, преди да бъде приет консултантският ангажимент.
-1200 - Компетентност и професионална грижа Ангажиментите задължително
трябва да се изпълняват компетентно и с професионална грижа.
-1210 - Компетентност
Вътрешните одитори задължително трябва да притежават необходимите знания,
умения и други способности за изпълнение на индивидуалните им отговорности.
Вътрешният одит като цяло задължително трябва да притежава или да осигури
необходимите знания, умения и други способности за изпълнение на своите
отговорности.
-1210.A1 - Ръководителят на вътрешния одит задължително трябва да потърси
компетентен съвет и помощ, в случай че вътрешните одитори не притежават
знанията, уменията и другите способности, необходими за изпълнение на целия
ангажимент или на част от него.
-1210.A2 - Вътрешните одитори задължително трябва да притежават достатъчно
знания, за да могат да оценят риска от измама и начина, по който той се
управлява от организацията, но от тях не се очаква да притежават експертните
познания на лица, чиито основно задължение е разкриването и разследването на
измами.
-1210.A3 - Вътрешните одитори задължително трябва да притежават достатъчно
познания за ключовите рискове и контроли в областта на информационните
технологии, както и за достъпни технологично-базирани одитни техники за
осъществяване на възложената им работа.
-1210.C1 - Ръководителят на вътрешния одит задължително трябва да откаже
ангажимент за консултантски услуги или да получи компетентен съвет и помощ.
-1230 - Непрекъснато професионално развитие
Вътрешните одитори задължително трябва да усъвършенстват знанията,
уменията и другите си способности чрез непрекъснато професионално развитие.
-1300 - Програма за осигуряване на качеството и за усъвършенстване
Ръководителят на вътрешния одит задължително трябва да разработи и прилага
програма за осигуряване на качеството и за усъвършенстване, която покрива
всички аспекти на вътрешния одит.
Програмата за осигуряване на качеството и за усъвършенстване позволява
извършването на оценка на съответствието на дейността по вътрешен одит с
117
Дефиницията на вътрешния одит и Стандартите и оценка на спазването на Етичния
кодекс от вътрешните одитори. Програмата оценява също ефикасността и
ефективността на дейността по вътрешен одит и идентифицира възможности за
подобрения. Програмата за осигуряване на качеството и за усъвършенстване
задължително трябва да включва както вътрешни, така и външни оценки.
Вътрешните оценки задължително трябва да включват:
- текущ мониторинг на работата на звеното за вътрешен одит;
- периодични прегледи, извършвани чрез самооценка или чрез оценяване от други
лица в организацията, които познават достатъчно практиката по вътрешен одит.
Външните оценки задължително се извършват поне веднъж на пет години от
квалифициран, независим проверяващ или екип от проверяващи, външни за
организацията. Ръководителят на вътрешния одит е длъжен да обсъди със Съвета:
- необходимостта от по-чести външни оценки; и
- квалификацията и независимостта на проверяващия или екипа от проверяващи,
включително всеки възможен конфликт на интереси
Докладване по програмата за осигуряване на качеството и за усъвършенстване
Ръководителят на вътрешния одит задължително трябва да доведе до знанието на
висшето ръководство и Съвета резултатите от програмата за осигуряване на качеството
и за усъвършенстване.
Когато несъответствието с Дефиницията на вътрешния одит, Етичния кодекс
или Стандартите оказва влияние върху цялостния обхват или работата на вътрешния
одит, това несъответствие и неговото влияние задължително трябва да се доведат до
знанието на висшето ръководство и Съвета от ръководителя на вътрешния одит.
118
на Етичния кодекс и Стандартите.
Вътрешният одит добавя стойност за организацията (и за заинтересованите
страни), когато предоставя обективна и уместна увереност и допринася за
ефективността и ефикасността на процесите по управление, контрол и управление на
риска.
-2010 - Планиране
Ръководителят на вътрешния одит задължително трябва да изготвя планове въз
основа на оценка на риска, в които да определя приоритетите на вътрешния одит в
съответствие с целите на организацията.
-2010.A1 - Планирането на ангажиментите на вътрешния одит задължително
трябва да се базира на документирана оценка на риска, която се прави поне
веднъж годишно.
-2010.A2 - Ръководителят на вътрешния одит задължително трябва да установи
и прецени очакванията на висшето ръководство, Съвета и другите
заинтересовани страни относно мненията на вътрешния одит и други
заключения.
-2010.C1 - Ръководителят на вътрешния одит трябва да обмисли дали да приеме
ангажимент за консултиране, като прецени доколко изпълнението му ще доведе
до по- добро управление на рисковете, добавяне на стойност и подобряване на
дейностите в организацията. Поетите ангажименти трябва задължително да
бъдат включени в плана.
-2020 - Представяне и одобрение
Ръководителят на вътрешния одит задължително трябва да представи плана за
вътрешен одит и оценката за необходимите ресурси на висшето ръководство и
Съвета за преглед и одобрение, включително и междувременно възникналите
съществени промени.
-2030 - Управление на ресурсите
Ръководителят на вътрешния одит задължително трябва да осигури на дейността
по вътрешен одит достатъчно и подходящи ресурси, като знания, умения и
други способности и тяхното количество, както и ефективното им
разпределение за изпълнението на одобрения план.
-2040 - Политики и процедури
Ръководителят на вътрешния одит задължително трябва да установи политики и
процедури за работа на вътрешния одит.
119
-2050 - Координация
Ръководителят на вътрешния одит трябва да обменя информация и да
координира дейността си с тази на други вътрешни и външни доставчици на
одиторски и консултантски услуги, за да осигури оптимален обхват и
минимално дублиране на усилия.
-2060 - Докладване пред висшето ръководство и Съвета
Ръководителят на вътрешния одит задължително трябва да докладва периодично
пред висшето ръководство и Съвета по отношение на целите, правомощията,
отговорностите на вътрешния одит и изпълнението на одитния план.
Докладването задължително трябва да включва съществените рискове, на които
е изложена организацията, както и въпроси относно контрола, рисковете от
измами, управлението и други, за които е необходимо или е било поискано от
висшето ръководство и Съвета да бъдат докладвани.
-2070 - Външен доставчик на услуги и отговорност за вътрешния одит в
организацията
Когато външен доставчик на услуги изпълнява функцията вътрешен одит, той
задължително трябва да уведоми организацията, че отговорността за
поддържане на ефективен вътрешен одит се носи от нея.
-2100 - Естество на работата
Вътрешният одит задължително трябва да оценява и допринася за подобряване
на процесите по управление, управление на риска и контрол, като прилага
систематичен и дисциплиниран подход.
-2110 - Управление
Вътрешният одит задължително трябва да оценява и да дава подходящи
препоръки за подобряване на процеса на управление, насочени към постигането
на следните цели:
- насърчаване на етични отношения и ценности в рамките на организацията;
- осигуряване на ефективно управление и поемане на отговорност;
- комуникиране към съответните звена по отношение на рисковете и контрола;
- координиране на дейностите и обмен на информация между Съвета, външните и
вътрешните одитори и ръководството.
-2110.A1 - Вътрешният одит задължително трябва да оцени създаването,
изпълнението и ефективността на задачите, програмите и дейностите, свързани с
120
етиката в организацията.
-2110.А2 - Вътрешният одит задължително трябва да оцени дали управлението
на информационните технологии в организацията подпомага стратегиите и
целите на организацията.
-2120 - Управление на риска
Вътрешният одит задължително трябва да оценява ефективността и да
допринася
за подобряването на процесите на управление на риска.
Вътрешният одит може да събира информация в подкрепа на тази преценка по
време на различни ангажименти. Резултатите от тези ангажименти, разглеждани като
цяло, създават разбиране за процесите по управление на риска в организацията и
тяхната ефективност.
-2120.A1 - Вътрешният одит задължително трябва да оценява рисковете,
свързани с управлението, оперативната дейност и информационните системи на
организацията.
-2120.А2 - Вътрешният одит задължително трябва да оценява възможността за
наличие на измами и това как организацията управлява риска от измами.
-2120.C1 - При изпълнение на консултантски ангажименти, вътрешните одитори
задължително трябва да обърнат внимание на рисковете, свързани с целите на
ангажимента, и да имат предвид съществуването на други значими рискове.
-2120.C2 - Вътрешните одитори задължително трябва да използват
информацията за рисковете, придобита при извършване на консултантски
ангажименти, при оценяването на процесите по управление на риска в
организацията.
-2120.C3 Когато подпомагат ръководството при изграждането или
подобряването на процесите по управление на риска, вътрешните одитори
задължително трябва да не поемат управленска отговорност за практическото
управление на рискове.
-2130 - Контрол
Вътрешният одит задължително трябва да подпомага организацията при
поддържането на ефективни контроли, като оценява тяхната ефективност и
ефикасност и насърчава непрекъснатото им усъвършенстване.
-2130.A1 - Вътрешният одит задължително трябва да оценява адекватността и
ефективността на контролите, изградени като реакция на рисковете в рамките на
121
управлението на организацията, оперативната дейност и информационните
системи, по отношение на: надеждност и цялост (integrity) на финансовата и
оперативната информация; ефективност и ефикасност на оперативните дейности
и програми;
опазване на активите; съответствие със закони, подзаконови и вътрешни актове,
политики, процедури и договори.
-2130.C1 - Вътрешните одитори задължително трябва да използват
информацията за контролите, придобита при извършване на консултантски
ангажименти при оценяване на контролните процеси в организацията.
122
-2210.A1 - Вътрешните одитори задължително трябва да направят
предварителна оценка на рисковете, свързани с проверяваната дейност. Целите
на ангажимента задължително трябва да отразяват резултатите от тази оценка.
-2210.A2 - В процеса на определяне на целите на ангажимента вътрешните
одитори задължително трябва да имат предвид вероятността за наличието на
съществени грешки, измами и несъответствия.
-2210.А3 - Необходими са адекватни критерии за оценка на контролите.
Вътрешните одитори задължително трябва да установят степента, до която
ръководството е въвело адекватни критерии за определяне постигането на
поставените цели и задачи.
-2210.C1 - Целите на консултантските ангажименти задължително трябва да
отчитат процесите по управление, управление на риска и контрол, доколкото за
това е постигнато съгласие с клиента.
-2210.C2 - Целите на консултантските ангажименти задължително трябва да
бъдат в съответствие с ценностите, стратегиите и целите на организацията.
2220 - Обхват на ангажимента
Установеният обхват задължително трябва да бъде достатъчен, за да обезпечи
постигането на целите на ангажимента.
-2220.A1 - Обхватът на ангажимента задължително трябва да отчита
123
достатъчни ресурси за постигане на целите на ангажимента след оценяване на
естеството и сложността на всеки ангажимент, срока за изпълнението му и наличните
ресурси.
-2240 - Работна програма на ангажимента
Вътрешните одитори задължително трябва да изготвят и документират работни
програми за постигане на целите на ангажимента.
-2240.A1 - Работните програми задължително трябва да включват процедури за
идентифициране, анализ, оценка и документиране на информацията по време на
ангажимента.
-2240.C1 - Работните програми по консултантски ангажименти могат да бъдат с
различна форма и съдържание в зависимост от естеството на ангажимента.
-2300 - Изпълнение на ангажимента
Вътрешните одитори задължително трябва да идентифицират, анализират,
оценяват и документират достатъчно информация, за да постигнат целите на
ангажимента.
-2310 - Идентифициране на информацията
Вътрешните одитори задължително трябва да идентифицират достатъчна,
надеждна, уместна и полезна информация, за да постигнат целите на
ангажимента.
-2320 - Анализ и оценка
Вътрешните одитори задължително трябва да основават изводите и резултатите
124
лица. Тези политики трябва да са в съответствие с вътрешните правила на
организацията, както и с всички приложими нормативни или други изисквания.
-2340 - Надзор върху работата по ангажимента
Върху изпълнението на ангажиментите задължително се осъществява надзор по
подходящ начин с оглед да се осигури постигане на целите, качество на работата
и развитие на персонала.
-2400 - Представяне на резултатите
Вътрешните одитори задължително трябва да представят резултатите от
изпълнението на ангажиментите.
-2410 - Критерии за представяне на резултатите
При представянето на резултатите задължително трябва да се посочат целите и
обхватът на ангажимента, както и приложими изводи, препоръки и планове за
действие.
-2410.A1 - Окончателният доклад за резултатите от ангажимента задължително
трябва да съдържа мнение и/или заключение на вътрешните одитори, когато
това е уместно. Очакванията на висшето ръководство, Съвета и други
заинтересовани страни задължително трябва да се имат предвид, когато се
предоставя мнение или заключение.
-2410.A2 - Вътрешните одитори се насърчават да отбелязват доброто
представяне на организацията при представянето на резултатите от
ангажимента.
-2410.A3 - При предоставянето на резултатите от ангажимента на лица извън
Качество на докладите
Докладите задължително трябва да бъдат прецизни, обективни, ясни, стегнати,
конструктивни, пълни и навременни.
Грешки и пропуски
Ако окончателният доклад съдържа съществена грешка или пропуск, ръководителят на
125
вътрешния одит задължително трябва да предостави коригираната информация на
всички лица, които са получили първоначалния доклад.
Вътрешните одитори могат да докладват, по отношение на своите ангажименти, само и
единствено, че са „извършени в съответствие с Международните стандарти за
професионалната практика по вътрешен одит”. При това, вътрешните одитори могат да
използват това твърдение само ако резултатите от програмата за осигуряване на
качеството и за усъвършенстване го подкрепят.
-2440 - Получатели на резултатите от ангажимента
Ръководителят на вътрешния одит задължително трябва да доведе до знанието
на подходящите лица резултатите от ангажиментите.
-2440.A1 - Ръководителят на вътрешния одит е отговорен за това крайните
резултати да стигнат до знанието на тези лица, които могат да им осигурят
необходимото внимание.
-2440.A2 - Ако няма други правни изисквания, предвидени в закон или друг акт,
преди представяне на резултатите на лица извън организацията ръководителят
на вътрешния одит задължително трябва: да оцени потенциалния риск; да се
консултира с висшето ръководство и/или юридически съветник в случай, че е
уместно; да контролира разпространението на резултатите, като ограничи
тяхното използване.
-2440.C1 - Ръководителят на вътрешния одит носи отговорността за
предоставянето на клиентите на крайните резултати от ангажимента по
консултиране.
-2440.C2 - При изпълнение на консултантски ангажименти могат да бъдат
126
Ръководителят на вътрешния одит задължително трябва да изгради и поддържа
система за мониторинг на статуса на резултатите, представени на
ръководството.
-2500.A1 - Ръководителят на вътрешния одит задължително трябва да въведе
процес за проследяване на резултатите и да се увери, че управленските действия
са били ефективно осъществени или че висшето ръководство е поело риска от
непредприемане на действия.
-2500.C1 - Вътрешният одит задължително трябва да наблюдава статуса на
резултатите от консултантски ангажименти до степента, договорена с клиента.
-2600 - Резолюция на висшето ръководство за приемане на рискове
Ако ръководителят на вътрешния одит счита, че висшето ръководство е приело
ниво на остатъчен риск, което може да е неприемливо за организацията, той
задължително трябва да обсъди въпроса с висшето ръководство. Ако проблемът
с остатъчния риск не бъде разрешен, той задължително трябва да бъде
докладван от ръководителя на вътрешния одит пред Съвета, който да вземе
решение (резолюция).
127
25. Измамите и злоупотребите като цели вътрешния одит и вътрешен
контрол
128
Борбата срещу икономическите измами трябва да бъде непрекъснат процес. За
да се управлява рискът от стопански престъпления, каквото представлява измамата е
необходимо да се извършва постоянна преоценка на съществуващите системи за одит и
контрол.
Срещу икономическите измами има и съществени и ефективни възможности за
въздействие, а именно контрола и одита.
1.Една от съществените задачи на контрола е информационното осигуряване на
управлението и регулирането на поведението на неговите обекти. Конкретните субекти
на контрола при изграждането и функционирането на информационните системи се
водят от приоритетите, задачите, техниките и способите за въздействие,
регламентирани със съответните нормативни актове.
От друга страна, при наличието на добре информирано ръководство –
осъществяването на икономическата измама е ако не невъзможно, то поне трудно
осъществимо. Това е така, поради следните причини:
-ръководството има информация за отделните направления на дейността и
отклоненията от тях, взема навременни мерки за преустановяване на тези отклонения;
-ръководството има постоянна връзка с контролния орган, има и информация по
отношение на евентуалните нередности в организацията от докладите му
-контролът набира и обработва своеобразна информация, анализът на която
може да доведе до възможността да се установи къде се намират „тесните” места в
организацията;
-контролът чрез различни способи предоставя информация по отношение на
извършителите на тези измами.
Икономическите измами често стават с текущите активи на компанията. В този
смисъл, органите за контрол могат да изследват редица показатели, по-съществените от
които са: обем на производството и реализацията на продукцията; видове продукция, в
т.ч. и в рамките на отделните части на периода–на склад или изпратена на клиенти;
себестойност на продукцията по плана; налични материали спрямо планираните и др.
Контрола допринася за анализиране на евентуални отклонения или за
представяне пред ръководството на информация по отношение на това кои и как са
причинителите на съответнитеикономически измами, в кое звено, в кой сектор на
предприятието, по какъв начин и други. Затова контролът трябва да разполага с
отчетни и извънотчетни източници на информация, като отчетните източници на
информация включват четири основни елемента:
129
-отчетните документи,
-годишния финансов отчет,
-счетоводната политика
-отчета (доклада) за управлението.
Извънотчетните източници на информация нямат предварително
регламентирани форма и съдържание, както и начин на съставяне и представяне.
Поради това те са изключително разнообразни по форма, съдържание, предназначение
и състав на информацията.
На база на тези източници, заедно с използване на специфичните способи на
контрола /измерване, наблюдение, сравнение и други/, вътрешния контрол осъществя
анализи по отношение на законността или незаконността на извършените от отделните
лица действия.
Наред с това, контролът трябва да обръща съществено внимание на договорната
структура на предприятието за измами. Информацията от договорите се използва от
гледна точка на установяване на законосъобразност и целесъобразност на поведението
на предприятието и от позициите на установяване на отклонения спрямо предписаното
поведение и резултат. Това е така, тъй като, най-често:
договорите се сключват за дълъг период от време;те са свързани с трети лица, много
често не добре познати за предприятието, което може да бъде предпоставка за измама;
договорите много често са за продължителен период от време, което също може да
бъде предпоставка за измама; договорите са насочени към различни аспекти от
дейността на предприятието, което означава, че ръководството би било затруднено да
следи прилагането на точно определените отношения в тях и т. н..
Вътрешният контрол и контрола въобще може да използва различни техники за
анализ на евентуалните отклонения и измами, като един от най важните е анализът на
бюджета, където се:
-проследяват заложените бюджетни цифри;
- сравняват се с цифрите в предходни периоди;
- анализира дали има отклонения;
-анализира се дали има закриване и откриване на нови бюджетни пера;
-преценява се дали това е законосъобразно и в условията на предприетата от
компанията
политика.
130
Може да се използва и т.н. техника PERT, която представлява контролна техника
за преглед и оценка на програми (проекти), която разделя даден проект на група от
събития, подрежда събитията според техния приоритет и установява времето на
приключване на всяко събитие. PERT се характеризира с с това, че дава възможност да
се намери "критичния път", т.е. редът от събития, който определя минимално
необходимото време за извършване на дадена дейност. Всяко отклонение от това
следва да бъде анализирано от контрола, защото може да е индикация за измама. В този
смисъл, от техника за анализ на проекти, PERT може да бъде полезна на контрола като
техника за проследяване на отклоненията от програмата и политиката накомпанията:
Използва се и техниката на причинно-следственият анализ, при която се
използват т.н. диаграми тип рибена кост, за да се определят причините за
възникналите проблеми. Започва се с определяне на проблема (главата на рибата) и
възможните причини се групират в категории, при което всяка категория представлява
отделна част от гръбнака на скелета. Причините, групирани в дадена категория се
изписват на реда, съответстващ на конкретната част. Най-скоро възникналите причини
се разполагат най-близко до дефиницията на проблема.
Контролът, разбира се, използва и статистическите техники, чрез които става
възможно откриването и анализа на риска от измами, тъй като статистическите
контроли могат да се използват за наблюдение на статуса на всеки един процес, при
който са възможни случайни отклонения.
131
едни от най-големите измами се извършват именно от мениджърите или с тяхна помощ
и знание.
Наред с това, одитът може да измери ефективността на разходваните средства и
да установи дали има икономията на административни дейности в съответствие със
законните административни принципи и практики, както и с управленските политики и
дали не са отклонени средства в това отношение. Одитът може да измери
ефективността при използването на човешките, финансови и други ресурси,
включително проверка на информационните системи, мерките, свързани с
изпълнението и мониторинга, и процедурите, следвани от одитираните организации за
отстраняване на откритите нередности.
Одиторите извършват много дейности с основна цел редуциране на риска от
изразяване на неподходящо мнение за финансовите отчети, което означава, че те могат
да извършат мониторинг на законосъобразността и честността на представената
информация по отношение на дейността и състоянието на предприятието
132
133