1. Введение
Методические рекомендации по организации работы внутреннего аудита (далее – Методические рекомендации) разработаны в целях оказания содействия членам советов директоров, представляющим интересы Российской Федерации в акционерных обществах (далее – компании), и исполнительным органам компаний при создании функции внутреннего аудита и при организации взаимодействия внутреннего аудита с органами управления и подразделениями компании.
Методические рекомендации разработаны в соответствии с требованиями российского законодательства, а также учитывают передовую международную практику (в частности, Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов) в части, не противоречащей российскому законодательству. Никакие из положений, приведенных в настоящих Методических рекомендациях, не должны применяться таким образом, чтобы вступать в противоречие с требованиями законодательства.
Методические рекомендации определяют:
– цели, задачи и полномочия внутреннего аудита;
– место внутреннего аудита в организационной структуре компании;
– порядок взаимодействия внутреннего аудита с внешним аудитором и другими субъектами системы внутреннего контроля;
– порядок планирования и осуществления деятельности по внутреннему аудиту;
– порядок контроля качества и оценки деятельности внутреннего аудита.
При создании методических рекомендаций использовались следующие законодательные, нормативно-правовые акты и методические документы:
– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
– Федеральный закон от 05.04.2013 № 41-ФЗ «О Счетной палате Российской Федерации»;
– Федеральный закон от 25.12.2008 № 273 «О противодействии коррупции»;
– Постановление Правительства РФ от 23.09.2002 № 696 «Об утверждении федеральных правил (стандартов) аудиторской деятельности»;
– Постановление Правительства РФ от 17.03.2014 № 193 «Об утверждении Правил осуществления главными распорядителями (Распорядителями) средств федерального бюджета, главными администраторами (Администраторами) доходов федерального бюджета, главными администраторами (Администраторами) источников финансирования дефицита федерального бюджета внутреннего финансового контроля и внутреннего финансового аудита и о внесении изменения в пункт 1 Правил осуществления ведомственного контроля в сфере закупок для обеспечения федеральных нужд, утвержденных постановлением правительства Российской Федерации от 10.02.2014 № 89»;
Письмо Банка России от 10.04.2014 № 06–52/2463 «О Кодексе корпоративного управления» (одобрен Правительством РФ 13.02.2014);
– Положение Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»;
– Приказ ФСФР России от 30.07.2013 № 13–62/пз-н «О Порядке допуска ценных бумаг к организованным торгам»;
– Международный стандарт ИСО 31000:2009 «Менеджмент риска. Принципы и руководство» (Приказ Росстандарта от 21.12.2010 N 883-ст);
– Рекомендации Минфина России № ПЗ-11/2013 «Организация и осуществление экономическим субъектом внутреннего контроля совершаемых фактов хозяйственной жизни, ведения бухгалтерского учета и составления бухгалтерской (финансовой) отчетности» (письмо Минфина РФ от 26.12.2013 N 07–04—15/57289);
– Приказ Росимущества от 26.08.2013 № 254 «Об утверждении Методических рекомендаций по организации проверочной деятельности Ревизионных комиссий акционерных обществ с участием Российской Федерации»;
– Приказ Росимущества от 20.03.2014 № 86 «Об утверждении Методических рекомендаций по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации»;
– Рекомендации Минтруда России от 08.11.2013 «Методические рекомендации по разработке и принятию организациями мер по предупреждению и противодействию коррупции»;
– Международные основы профессиональной практики внутренних аудиторов, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);
– Документ (концепция) COSO «Интегрированная концепция построения системы внутреннего контроля» (2013 г.);
– Документ (концепция) COSO «Управление рисками организаций. Интегрированная модель» (2004 г.).
2. Цели, задачи и полномочия внутреннего аудита
Внутренний аудит содействует совету директоров и исполнительным органам в повышении эффективности управления компанией, совершенствовании ее финансово-хозяйственных деятельности путем системного и последовательного подхода к анализу и оценке системы управления рисками и внутреннего контроля, а также корпоративного управления, как инструментов обеспечения разумной уверенности в достижении поставленных перед компанией целей.
Цели, задачи, полномочия и обязанности внутреннего аудита в компании определяются во внутреннем нормативном документе (положение о внутреннем аудите). Задачи внутреннего аудита определяются с учетом имеющихся ресурсов, особенностей и приоритетов деятельности компании.
Руководитель подразделения внутреннего аудита (далее – руководитель внутреннего аудита) периодически рассматривает вопрос о необходимости внесения изменений в положение о внутреннем аудите и направляет положение на утверждение в порядке, предусмотренном настоящими методическими рекомендациями.
Для достижения целей внутренний аудит решает поставленные перед ним в компании задачи, как правило, по следующим основным направлениям:
Оценка эффективности системы внутреннего контроля (далее – СВК):
– проведение анализа соответствия целей бизнес-процессов, проектов и структурных подразделений целям компании, проверка обеспечения эффективности, надежности и целостности бизнес-процессов (деятельности) и информационных систем, в том числе надежности процедур противодействия противоправным действиям, злоупотреблениям и коррупции;
– проверка обеспечения достоверности бухгалтерской (финансовой), статистической, управленческой и иной отчетности, определение того, насколько результаты деятельности бизнес-процессов и структурных подразделений компании соответствуют поставленным целям;
– определение адекватности критериев, установленных исполнительными органами для анализа степени исполнения (достижения) поставленных целей;
– выявление недостатков системы внутреннего контроля, которые не позволили (не позволяют) компании достичь поставленных целей;
– оценка результатов внедрения (реализации) мероприятий по устранению нарушений, недостатков и совершенствованию системы внутреннего контроля, реализуемых обществом на всех уровнях управления;
– проверка эффективности и целесообразности использования ресурсов;
– проверка обеспечения сохранности активов;
– проверка соблюдения требований законодательства, устава и внутренних нормативных документов компании.
Оценка СВК осуществляется в соответствии с принципами и подходами, изложенными в общепринятых концепциях и практиках работы в области внутреннего контроля, в том числе приведенных в настоящих методических рекомендациях, а также нормативных документах Российской Федерации и иных регуляторов, применимых к компании.
Оценка эффективности системы управления рисками (далее – СУР):
– проверка достаточности и зрелости элементов СУР для эффективного управления рисками: цели и задачи, инфраструктура, включая организационную структуру, средства автоматизации и т. п., организация процессов, нормативно-методологическое обеспечение, взаимодействие структурных подразделений в рамках СУР, отчетность;
– проверка полноты выявления и корректности оценки рисков руководством компании на всех уровнях ее управления;
– проверка эффективности контрольных процедур и иных мероприятий по управлению рисками, включая эффективность использования выделенных на эти цели ресурсов;
– проведение анализа информации о реализовавшихся рисках (в т. ч. выявленных по результатам проверок нарушениях, фактах недостижения поставленных целей, фактах судебных разбирательств, и в других случаях).
Оценка корпоративного управления (далее – КУ):
– проверка соблюдения этических принципов и корпоративных ценностей компании;
– проверка порядка постановки целей компании и мониторинга/контроля их достижения;
– проверка уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе, по вопросам управления рисками и внутреннего контроля) на всех уровнях управления компании, включая взаимодействие с заинтересованными сторонами;
– проверка обеспечения прав акционеров, в том числе подконтрольных компаний, и эффективности взаимоотношений с заинтересованными сторонами;
– проверка процедур раскрытия информации о деятельности компании и подконтрольных ему компаний.
Для решения поставленных задач и достижения целей внутренний аудит осуществляет следующие функции:
– проведение внутренних аудиторских проверок (далее – проверок) на основании утвержденного плана деятельности внутреннего аудита;
– проведение иных проверок, выполнение других заданий по запросу/поручению совета директоров (комитета по аудиту и/или исполнительных органов компании) в пределах компетенции, в том числе на основании информации, поступившей на «горячую линию» компании;
– проведение комплексной проверки (ревизий) деятельности объектов аудита, которая выражается в документальной и физической проверке законности совершенных финансовых и хозяйственных операций, достоверности и правильности их отражения в бухгалтерской (финансовой) отчетности;
– проведение анализа объектов аудита в целях исследования отдельных сторон деятельности и оценки состояния определенной сферы объектов аудита;
– предоставление консультаций исполнительным органам компании по вопросам управления рисками, внутреннего контроля и корпоративного управления (при условии сохранения независимости и объективности деятельности внутреннего аудита);
– осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок;
– осуществление последующего контроля за финансово-хозяйственной деятельностью компании;
– содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц; разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
– проведение в рамках установленного порядка внутреннего аудита, проверок подконтрольных обществ;
разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита (как правило, на ежегодной основе);
– подготовка и предоставление совету директоров (комитету по аудиту) и единоличному исполнительному органу компании (или другому лицу, в административном подчинении у которого находится внутренний аудит) отчета по результатам деятельности внутреннего аудита;
– координация деятельности с внешним аудитором компании, а также лицами, оказывающими услуги по консультированию в области управления рисками, внутреннего контроля и корпоративного управления;
– взаимодействие с подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
– и другие функции, необходимые для решения задач, поставленных перед внутренним аудитом в компании.
Полномочия внутреннего аудита
Руководитель внутреннего аудита уполномочен:
– иметь прямой доступ к председателю комитета по аудиту и единоличному исполнительному органу;
– запрашивать и получать у исполнительных органов компании любую информацию и материалы, необходимые для выполнения своих должностных обязанностей;
– знакомиться с текущими и перспективными планами деятельности, отчетами о выполнении планов и программ, проектами решений и решениями совета директоров и исполнительных органов компании;
– доводить до сведения совета директоров (комитета по аудиту) и исполнительных органов компании предложения по улучшению существующих систем, процессов, стандартов, методов ведения деятельности, а также комментарии по любым вопросам, входящим в компетенцию внутреннего аудита;
– привлекать в порядке, установленном внутренними нормативными документами компании, работников компании и сторонних экспертов для выполнения проверок и других заданий;
– принимать участие на правах слушателя в совещаниях и заседаниях рабочих органов компании (комитетов, комиссий, рабочих групп и др.).
Внутренние аудиторы уполномочены:
– в установленном в компании порядке запрашивать и получать беспрепятственный доступ к любым активам, документам, бухгалтерским записям и другой информации (в т. ч. в электронной форме) о деятельности компании, необходимой для выполнения своих должностных обязанностей, делать копии соответствующих документов и осуществлять фото и видеофиксацию фактов хозяйственной жизни компании;
– в рамках выполнения проверок проводить интервью с исполнительными органами и работниками компании;
– пользоваться в установленном порядке информационными ресурсами и программным обеспечением подразделений для целей внутреннего аудита;
– изучать и оценивать любые документы, запрашиваемые в ходе выполнения проверки, и направлять эти документы и/или соответствующую информацию руководителю внутреннего аудита;
– запрашивать и получать необходимую помощь работников подразделений, в которых проводится проверка, а также помощь работников других подразделений/бизнес-функций компании;
– осуществлять иные действия, необходимые для достижения целей проверки.
Во избежание случаев возникновения конфликта интересов (когда возникает угроза независимости деятельности внутреннего аудита и объективности мнения аудитора) руководитель внутреннего аудита и внутренние аудиторы должны воздерживаться от:
– проверки тех областей деятельности, за которые они несли ответственность в течение года, предшествующего проверке;
– принятия участия в проверках и иных заданиях в случае наличия конкурирующего профессионального или личного интереса (наличия финансовой, имущественной, родственной или какой-либо иной заинтересованности в деятельности проверяемых объектов аудита);
– участия в какой-либо деятельности, которая могла бы нанести ущерб их беспристрастности или восприниматься как наносящая такой ущерб;
– руководства работниками других подразделений за исключением случаев, когда эти работники назначены участвовать в выполнении проверки.
Руководитель внутреннего аудита и внутренние аудиторы не имеют права:
– не раскрывать все известные им существенные факты, которые в случае сокрытия могут исказить данные аудиторского отчета;
– использовать или разглашать конфиденциальную информацию без соответствующих на то полномочий, за исключением тех случаев, когда разглашение такой информации предусмотрено требованиями законодательства;
– принимать в подарок что-либо, что может нанести ущерб профессиональному мнению внутреннего аудитора или восприниматься как наносящее такой ущерб.
Внутренние аудиторы информируют руководителя внутреннего аудита о любых ограничениях их полномочий и возникающих конфликтах интересов. Руководитель внутреннего аудита информирует совет директоров (комитет по аудиту) о соответствующих ограничениях и возможных последствиях таких ограничений.
3. Место внутреннего аудита в организационной структуре компании
Решение об организации внутреннего аудита принимается советом директоров, который также несет ответственность за контроль качества работы внутреннего аудита компании.
Функция внутреннего аудита может реализоваться посредством создания отдельного подразделения или с привлечением (полным или частичным) сторонней организации (аутсорсинг / косорсинг), если это не противоречит требованиям законодательства. Предпочтительным способом организации проведения внутреннего аудита является создание подразделения внутреннего аудита. Если совет директоров принимает решение не создавать подразделение внутреннего аудита, это решение периодически им пересматривается (как правило, на ежегодной основе).
Совет директоров одобряет кандидатуру руководителя подразделения внутреннего аудита, который отвечает за организацию работы внутреннего аудита.
Подотчетность внутреннего аудита
Для обеспечения независимости внутреннего аудита его функциональная и административная подотчетность должны быть разграничены.
Функциональная подотчетность совету директоров) означает, что к компетенции совета директоров отнесены следующие вопросы:
– утверждение положения о внутреннем аудите (или иного документа с учетом особенностей системы организации внутренней документации компании), определяющего цели, задачи, полномочия и ограничения внутреннего аудита;
– утверждение плана деятельности внутреннего аудита и одобрение бюджета подразделения внутреннего аудита;
– получение информации от руководителя внутреннего аудита о ходе выполнения плана деятельности внутреннего аудита и об осуществлении внутреннего аудита (включая результаты отдельных проверок (в т. ч. результаты мониторинга выполнения планов мероприятий, разработанных руководителями объектов аудита по результатам проверок), существенные недостатки СУР, СВК и КУ, отчет о деятельности внутреннего аудита за период, результаты внутренней и внешней оценки функции внутреннего аудита и утверждение плана мероприятий по совершенствованию внутреннего аудита); одобрение решения о назначении и освобождении от должности, а также вознаграждении руководителя внутреннего аудита;
– рассмотрение существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита;
Если в совете директоров компании сформирован комитет по аудиту, то все вопросы, связанные с деятельностью внутреннего аудита, до предоставления их на утверждение и рассмотрение совету директоров предварительно рассматриваются комитетом по аудиту. Роли и обязанности комитета по аудиту, осуществляемые в рамках функционального взаимодействия с внутренним аудитом, определены в «Методических рекомендациях по организации работы комитетов по аудиту советов директоров акционерных обществ».
Административная подотчетность – подотчетность лицу, способному обеспечить реализацию полномочий внутреннего аудита, предусмотренных внутренними документами компании (как правило, единоличному исполнительному органу) – включает:
– выделение необходимых средств в рамках утвержденного бюджета подразделения внутреннего аудита;
– получение отчетов о деятельности подразделения внутреннего аудита;
– оказание поддержки во взаимодействии с подразделениями компании, (в том числе при осуществлении мониторинга выполнения плана мероприятий по результатам проверок);
– администрирование политик и процедур деятельности внутреннего аудита.
Рекомендуется, чтобы совет директоров, в рамках регулярного подтверждения независимости внутреннего аудита, рассматривал вопрос об административной подотчетности внутреннего аудита.
Аутсорсинг / косорсинг функции внутреннего аудита
В случае принятия решения советом директоров компании о вынесении функции внутреннего аудита на аутсорсинг, ответственность за качество осуществления функции внутреннего аудита компании несет совет директоров.
В случае передачи на аутсорсинг отдельных проверок и других задач внутреннего аудита, ответственность за их выполнение остается за руководителем внутреннего аудита компании.
В некоторых случаях решение об аутсорсинге / косорсинге функции внутреннего аудита может быть признано целесообразным, с учетом особенностей деятельности компании и сравнительной оценки затрат, например, когда:
– особенность деятельности и структуры компании не требует постоянных проверок и ограничивается разовыми периодическими проверками;
– необходимо провести значительный объем проверок в ограниченные сроки;
– в компании отсутствуют специалисты, которые могут качественно осуществить специфические аудиторские задания (например, проверка процессов, связанных с актуарным оцениванием; проведением инженерных, геологических или строительных работ; процессов, связанных с функционированием ИТ-систем, организацией информационной безопасности и т. д.);
– необходимо проводить проверки в географически удаленных подразделениях компании.
Внутренний аудит в сложных холдинговых структурах
Вопрос об организации внутреннего аудита в компаниях, которые представляют собой холдинговые структуры, и входящих в холдинговую структуру дочерних и зависимых компаний (далее – ДЗО), рассматривается органами управления ДЗО в соответствии с Уставом ДЗО и другими документами, определяющими особенности работы холдинговой структуры.
Рекомендуется, чтобы внутренний аудит головной организации компании холдингового типа осуществлял функциональное руководство деятельностью внутреннего аудита в ДЗО в соответствии с подходами, изложенными в настоящих Методических рекомендациях, координировал работу внутреннего аудита во всех ДЗО компании, с учетом особенностей организации управления головной компании и ДЗО.
Для выполнения поставленных задач внутренние аудиторы головной компании могут принимать участие в работе комитета по аудиту и/или ревизионной комиссии ДЗО.
4. Взаимодействие внутреннего аудита с внешним аудитором и другими субъектами системы внутреннего контроля компании
Взаимодействие с внешним аудитором
Руководитель внутреннего аудита координирует взаимодействие внутреннего аудита с внешним аудитором компании.
Внутренний аудит и внешний аудитор могут взаимодействовать в рамках:
– обмена информацией о результатах оценки эффективности СВК компании, в том числе за подготовкой бухгалтерской (финансовой) отчетности;
– обсуждения планов деятельности внутреннего аудита и внешнего аудитора с целью их координации и минимизации двойной работы;
– анализа эффективности внедрения корректирующих мероприятий, направленных на устранение недостатков СВК компании за подготовкой бухгалтерской (финансовой) отчетности.
Результаты работы внутреннего аудита могут быть использованы внешним аудитором в рамках проведения процедур внешнего аудита. В этом случае внешний аудитор проводит предварительную оценку результатов работ внутреннего аудита согласно требованиям применимых стандартов аудита. Руководителю внутреннего аудита рекомендуется оказывать содействие внешнему аудитору в проведении такой оценки.
Руководитель внутреннего аудита на ежегодной основе обсуждает с советом директоров (комитетом по аудиту) эффективность процесса внешнего аудита (включая эффективность координации деятельности внутреннего и внешнего аудита).
Взаимодействие с другими субъектами системы внутреннего контроля
Внутренний аудит может использовать в своей деятельности результаты работы других субъектов СВК и иных заинтересованных сторон, которые в силу своего функционала так же, как и внутренний аудит, осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности (в том числе комплаенс-служба, подразделение по управлению рисками, служба безопасности и другие специализированные подразделения, а также ревизионная комиссия, далее – «субъекты СВК и иные заинтересованные стороны»). В целях выявления рисков с недостаточным или дублирующим покрытием субъектами СВК и/или заинтересованными сторонами руководитель внутреннего аудита разрабатывает схему (карту) взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности («карта гарантий») – документ, определяющий сферы ответственности субъектов СВК и иных заинтересованных сторон в отношении отдельных рисков компании. Схема (Карта) взаимодействия субъектов СВК и иных заинтересованных сторон может включать следующую информацию:
– перечень бизнес-процессов компании;
– перечень рисков компании;
– лиц, ответственных за управление рисками компании (владельцев риска);
– субъекты СВК и иные заинтересованные стороны, осуществляющие мониторинг/оценку в отношении каждого из рисков.
При разработке схемы (карты) руководитель может использовать имеющиеся в компании классификатор рисков и процессов, карту рисков, другие внутренние документы компании, определяющие схемы взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности.
В случае если внутренний аудит полагается на результаты работы других субъектов СВК и иных заинтересованных сторон, руководителю внутреннего аудита рекомендуется предварительно оценить качество и надежность результатов работ (в т. ч. применяемую методологию, процедуры и техники, используемые при оценке, объем и характер работ и проч.).
Взаимодействие с государственными надзорными органами
Внутренний аудит в рамках своей деятельности взаимодействует с государственными надзорными органами в порядке, предусмотренном законодательством и соответствующими внутренними нормативными документами компании, в том числе со Счетной палатой Российской Федерации, а также другими государственными надзорными органами по вопросам, относящимся к компетенции внутреннего аудита.
5. Порядок планирования деятельности внутреннего аудита
Руководитель внутреннего аудита разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе.
План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель внутреннего аудита предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, штатное расписание подразделения, ресурсный план и финансовый бюджет внутреннего аудита.
План деятельности внутреннего аудита разрабатывается на основе модели аудита, с использованием информации и запросов, полученных от исполнительных органов и совета директоров компании, результатов оценки рисков компании (подготовленными, например, службой управления рисками компании, если такая служба имеется в компании).
Планирование деятельности внутреннего аудита состоит из следующих этапов:
– формирование/актуализация модели аудита компании;
– проведение/использование результатов оценки рисков;
– ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;
– формирование риск-ориентированного плана внутренних аудиторских проверок;
– формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;
– формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.
План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.
Модель аудита компании включает перечень объектов аудита, например, бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Перечень объектов аудита корректируется с учетом изменений в деятельности компании (например, появление новых проектов, формирование новых подразделений и т. д.). С этой целью модель аудита пересматривается как минимум один раз в год.
Для целей разработки плана деятельности внутреннего аудита используются результаты оценки рисков компании, проведенной исполнительными органами (службой управления рисками) компании в рамках СУР.
Принимая решение об использовании результатов оценки рисков компании, руководитель внутреннего аудита может, с учетом имеющихся ресурсов, предусмотреть проведение дополнительного анализа возможности полагаться на такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых исполнительными органами компании для мониторинга и отчетности по рискам и проч.).
Если полученной от исполнительных органов компании информации о рисках недостаточно/информация не предоставлена (например, в случае отсутствия формализованных процессов выявления и оценки рисков) – внутренний аудит осуществляет анализ рисков объектов аудита самостоятельно. Подход к выявлению и оценке рисков объектов аудита определяется внутренним аудитом самостоятельно, исходя из особенностей компании.
На основании результатов оценки рисков осуществляется соотнесение выявленных рисков и объектов аудита. Объекты аудита ранжируются по уровню риска. Методики ранжирования и перечень дополнительных факторов, используемых для ранжирования, определяются внутренним аудитом самостоятельно, исходя из специфики компании.
При ранжировании объектов аудита рекомендуется рассмотреть несколько дополнительных факторов, в т. ч.: материальность (существенность влияния на результаты деятельности компании) объекта аудита; численность сотрудников; текучесть руководителей высшего и среднего звена; изменения в деятельности объекта; время, прошедшее с последней проверки; результаты предыдущей проверки данного объекта аудита и проч.
По итогам ранжирования формируются группы объектов аудитов с высоким, средним и низким уровнем риска.
Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита. Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:
– консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
– разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
– осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок
– разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита;
– подготовка отчета по результатам деятельности внутреннего аудита;
– содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц;
– взаимодействие с внешним аудитором, подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
– повышение профессиональной квалификации внутренних аудиторов и прочее.
На основании данных об общем количестве времени на выполнение плановых проверок и прочих мероприятий внутреннего аудита и данных об общем доступном фонде времени на реализацию плана, руководитель внутреннего аудита определяет достаточность (дефицит) внутренних ресурсов.
В случае если внутренние ресурсы не позволяют реализовать все плановые проверки и прочие мероприятия, указанные в плане, руководитель внутреннего аудита информирует совет директоров (комитет по аудиту) о необходимости принятия соответствующего решения (например, выделения дополнительных ресурсов для выполнения плана посредством увеличения численности внутренних аудиторов, привлечения сторонних организаций (аутсорсинг/косорсинг) или сокращения объема задач).
6. Организация проверки, проводимой внутренним аудитом
Этапы организации проверки
Проверки проводятся внутренним аудитом на основании утвержденного плана деятельности внутреннего аудита. Как правило, проверки осуществляются в три этапа и включают:
– планирование и подготовку к проведению проверки;
– проведение проверки;
– подготовку отчета по результатам проверки.
Для проведения каждой проверки назначается руководитель проверки и формируется рабочая группа, состав которой утверждается руководителем внутреннего аудита или уполномоченным им работником.
На каждом из этапов проверки участники рабочей группы имеют право запрашивать любую необходимую информацию от проверяемых объектов аудита.
Подготовительный этап
На подготовительном этапе осуществляется формирование программы проверки. Программа проверки формируется до начала проведения каждой проверки и включает следующую информацию:
– цели проверки;
– объем и содержание проверки;
– сроки и распределение трудовых ресурсов;
– характер и объем аудиторских процедур, используемых для достижения целей проверки (процедуры тестирования, аналитические процедуры).
Программа проверки утверждается руководителем внутреннего аудита или уполномоченным им работником. Программа проверки может корректироваться в процессе выполнения проверки по согласованию с руководителем внутреннего аудита или с иным уполномоченным работником.
С целью более точного определения целей проверки и идентификации областей, подлежащих проверке, в рамках планирования проверок учитываются результаты оценки рисков и анализа контрольных процедур, относящихся к объекту аудита.
При подготовке программы проверки руководитель внутреннего аудита определяет такой уровень формализации и документирования (в частности, итогов совещаний по планированию, процедур оценки рисков, степени детализации программы проверки и т. п.), который является приемлемым для компании.
Руководитель проверки информирует руководителей объекта аудита о планируемой проверке, в том числе:
– целях планируемой проверки, объеме и содержании работы;
– участниках рабочей группы и времени на выполнение проверки.
Также руководитель проверки запрашивает у руководителя объекта аудита вводную информацию об объекте аудита с целью:
– получения общего понимания о деятельности объекта аудита;
– определения работников, ответственных за выполнение контрольных процедур и мероприятий по управлению рисками объекта аудита (в том числе ответственных работников подразделения);
– определения общего уровня автоматизации объекта аудита и ИТ-систем, критичных для функционирования объекта;
– анализа рисков и контрольных процедур объекта аудита;
– уточнения программы проверки и определения целей и объема работ.
Перечень информации, запрашиваемый у руководителя объекта аудита, зависит от особенностей и характера проверки.
В рамках планирования проверки руководитель внутреннего аудита определяет, каким образом, когда и кому (далее – уполномоченные представители) будут сообщаться результаты выполнения проверки и информирует об этом решении руководителя объекта аудитаи в той степени, в которой он сочтет нужным.
Цели проверки и оценка рисков при планировании проверки
Для каждой проверки устанавливаются ее цели – утверждения, определяющие, что в результате проверки должно быть достигнуто.
Цели проверки определяются на основании результатов предварительной оценки рисков, относящихся к объекту аудита, и детализируют цели, изначально установленные в рамках планирования деятельности внутреннего аудита на период.
Цели внеплановых проверок определяются до начала проверки и направлены на решение специфических проблем, ставших причиной проверки.
Оценка рисков на стадии планирования проверки используется для следующих целей:
– более точного определения целей проверки и идентификации существенных областей для включения в объем проверки;
– разработки аудиторских процедур и определения их содержания (характера, времени осуществления и объема).
В рамках оценки рисков объекта аудита используются результаты оценки рисков исполнительными органами компании, относящиеся к проверяемому объекту (в том числе, полученные в рамках годового планирования деятельности внутреннего аудита). При использовании результатов такой оценки рекомендуется проанализировать возможность полагаться и использовать такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых руководством для мониторинга и отчетности по рискам и проч.).
Если полученной от исполнительных органов информации о рисках недостаточно/информация не предоставлена – рекомендуется осуществлять анализ рисков для целей внутреннего аудита самостоятельно.
При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.
Для более точного определения объема работ по проверке осуществляется анализ контрольных процедур объекта аудита, в т. ч.:
– оценивается степень покрытия всех выявленных рисков объекта аудита существующими контрольными процедурами;
– оценивается эффективность дизайна контрольных процедур.
При проведении внеплановой проверки детальный анализ контрольных процедур объекта аудита может осуществляться в ходе ее выполнения.
Объем и содержание проверки
Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур. В объем и содержание проверки как минимум включаются:
– критичные риски объекта аудита, не покрытые контрольными процедурами;
– ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
– операции/виды деятельности, контрольные процедуры, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).
Если объем и содержание проверки охватывают некоторые, но не все ключевые контрольные процедуры (при этом контрольные процедуры также не включены в другие проверки), соответствующие ограничения отражаются в аудиторской документации.
В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур (в том числе алгоритм выполнения аудиторских процедур, метод выборки), которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур (аналитические процедуры и процедуры тестирования).
При разработке аудиторских процедур определяется объем выборки и метод ее формирования В ходе проведения проверки объем выборки может быть уточнен.
Объем трудовых ресурсов, необходимый для достижения целей проверки, определяется исходя из характера и степени сложности каждой проверки, ограничений по срокам и доступных ресурсов.
Проведение проверки
В рамках данного этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки.
Проведение проверки осуществляется в соответствии с утвержденной программой проверки. В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.
Наблюдения по итогам проверки
В ходе выполнения аудиторских процедур формируются наблюдения путем сопоставления текущего состояния объекта аудита («как есть») в части процедур внутреннего контроля и мероприятий по управлению рисками с ожидаемым (целевым) состоянием («как должно быть») с учетом установленных критериев:
– сопоставляются текущее и целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками;
– определяются расхождения целевого и текущего состояния;
– формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками (недостатки);
– выявляются недостатки и нарушения, допущенные в ходе осуществления деятельности объекта аудита.
Рабочая группа проверяет на предмет актуальности и эффективности установленные критерии, которые определяют целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками.
Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств. К аудиторским доказательствам могут относиться:
– копии подтверждающих документов, в том числе первичные учетные документы, электронная переписка, договоры, протоколы встреч, расчеты/сверки;
– выгрузки из ИТ-систем;
– протоколы рабочих встреч, письменные разъяснения и объяснения;
– документация, сформированная в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров и т. п.);
– прочие документы/информация.
Выводы (заключения) и рекомендации по итогам проверки
На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств. В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами.
Выводы могут касаться задания проверки в целом или его отдельных аспектов. Выводы могут включать, но не ограничиваться, указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам компании, достигаются ли цели и задачи компании и функционирует ли проверяемый объект так, как запланировано.
Заключение (мнение) рабочей группы может включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно:
– эффективности дизайна ключевых контрольных процедур;
– эффективности выполнения ключевых контрольных процедур (операционной эффективности контрольных процедур);
– эффективности управления критичными рисками объекта аудита; эффективности СУР и СВК объекта аудита.
На основе проведенных наблюдений и выводов формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита. Рекомендации могут быть направлены на принятие мер для корректировки существующих условий или совершенствования деятельности и могут предлагать подходы к изменению или улучшению деятельности в качестве руководства для исполнительных органов по достижению желаемых результатов.
Рекомендации могут быть общими или конкретными. Например, в некоторых случаях могут быть предложены рекомендации общего характера, в других – конкретные меры по совершенствованию. В некоторых случаях исполнительным органам компании может быть предложено проведение дополнительного расследования (например, в случае выявления индикаторов недобросовестных/противоправных действий работников и третьих лиц).
Контроль над выполнением проверки
Для достижения поставленных целей, обеспечения качества работы и повышения квалификации внутренних аудиторов осуществляется контроль над выполнением проверки. Требуемая степень контроля зависит от уровня профессионализма и опыта участников рабочей группы, а также сложности проверки.
Контроль начинается на этапе планирования и продолжается в процессе выполнения проверки. К процедурам контроля относятся:
– обеспечение наличия у участников рабочей группы необходимых знаний, навыков и других компетенций, необходимых для выполнения проверки;
– предоставление необходимых инструкций в процессе планирования и утверждения программы проверки;
– обеспечение выполнения утвержденной программы проверки;
– определение того, поддерживают (подтверждают) ли аудиторские рабочие документы наблюдения, выводы и рекомендации по проверке;
– обеспечение точности, объективности, ясности, краткости, конструктивности и своевременности передачи информации, относящейся к проверке;
– обеспечение достижения целей проверки;
– предоставление возможностей для развития знаний, навыков и других компетенций внутренних аудиторов.
Руководитель внутреннего аудита несет общую ответственность за осуществление контроля над выполнением проверки, но может поручить/делегировать соответствующие функции другим внутренним аудиторам, обладающим надлежащим опытом работы во внутреннем аудите.
Все рабочие документы, относящиеся к проверке, проверяются в установленном порядке, чтобы убедиться в том, что они подтверждают информацию по проверке, и что необходимые аудиторские процедуры выполнены (способы доказательств осуществления контроля определяются внутренними документами компании, определяющими порядок документирования результатов работы внутреннего аудита, и могут включать заполнение проверочной таблицы (чек-листа) по комплекту аудиторской рабочей документации, подготовку отчета, описывающего характер, объем, содержание и результаты проверки, или оценку и проведение проверок с помощью программного обеспечения для подготовки рабочей документации).
Свидетельства осуществления контроля документируются и хранятся в установленном в компании порядке.
Внутренние аудиторы, проводящие проверку («проверяющие»), могут записывать вопросы (замечания по проверке), возникающие в процессе её проведения. При разборе вопросов (замечаний) по проверке необходимо позаботиться о том, чтобы обеспечить представление в документах, относящихся к проверке, адекватных доказательств существования вопросов (замечаний), возникших в процессе проверки.
Альтернативными способами работы с замечаниями по проверке являются:
– хранение замечаний по проверке в виде перечня вопросов, поднятых проверяющим, действий, предпринятых для их решения, и результатов этих действий;
– удаление замечания по проверке после решения возникших вопросов и замена соответствующими документами, относящимися к заданию, предоставляющими требуемую информацию.
Формирование рабочей документации по проверке
В ходе выполнения проверки участники группы проверки формируют рабочую документацию. Рабочая документация включает все аспекты процесса выполнения проверки – от планирования до предоставления отчета по результатам проверки.
Документирование информации необходимо в целях обоснования выводов и результатов проверки, документального подтверждения достижения целей проверки, подтверждения точности и полноты выполненных работ, обеспечения условий для реализации контроля за качеством работы внутреннего аудита.
Руководитель внутреннего аудита разрабатывает правила хранения, получения и передачи внешним и внутренним заинтересованным сторонам документов, относящихся к проверке, руководствуясь требованиями внутренних организационно-распорядительных документов (в том числе, документов компании, устанавливающих порядок работы с конфиденциальной информацией) и требований законодательства.
Руководитель внутреннего аудита осуществляет контроль за доступом к документам, относящимся к проверке. Передача любых документов внешней стороне осуществляется в соответствии с установленными в компании процедурами и правилами.
Если в ходе проверки используется конфиденциальная информация (информация, составляющая коммерческую тайну, персональные данные работников и/или иная информация, отнесенная к категории конфиденциальной), участники рабочей группы руководствуются требованиями установленных правил хранения, получения и передачи документов.
Подготовка отчета по результатам проведения проверки
По завершению проверки рабочая группа подготавливает итоговый отчет.
Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет, как минимум, следующие разделы:
– цели проверки – в этот раздел включаются цели, указанные в программе проверки;
– объем и содержание – в этом разделе указываются бизнес-процессы/проекты операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительная информация, определяющая границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);
– результаты проверки – в этот раздел включаются наблюдения (включая выявленные недостатки), выводы (заключения) и рекомендации.
В отчет может включаться информация об улучшениях, сделанных объектом аудита с момента выполнения предыдущей проверки. Данная информация может быть использована для [лучшего] понимания текущего состояния деятельности объекта аудита и обоснования результатов проведения проверки.
В ходе проверки рабочая группа может подготавливать промежуточные отчеты в целях информирования уполномоченных лиц о фактах, требующих незамедлительных действий (внимания), изменениях объема и содержания проверки, ходе выполнения проверки, если проверка выполняется длительное время. Использование промежуточных отчетов не уменьшает и не отменяет необходимости подготовки и предоставления итогового отчета.
До выпуска итогового отчета, рабочая группа обсуждает с уполномоченными представителями объекта аудита результаты проверки. Подобное обсуждение может осуществляться в процессе проверки, на заключительных (итоговых) совещаниях и/или в форме предоставления проекта итогового отчета на рассмотрение уполномоченным представителям объекта аудита.
В итоговый отчет может включаться мнение уполномоченных представителей объекта аудита о результатах проверки. В случае несогласия представителей объекта аудита с результатами проверки, в отчете документируются причины несогласия.
Итоговый отчет подписывается руководителем рабочей группы (или другим уполномоченным внутренним аудитором). Руководитель внутреннего аудита направляет подписанный итоговый отчет руководителю объекта аудита и тем работникам, руководителям, другим уполномоченным лицам компании, которые могут обеспечить должное рассмотрение результатов проверки и принять корректирующие меры.
Если это предусмотрено положением о внутреннем аудите (или иным нормативным документом, регламентирующим деятельность внутреннего аудита), руководитель внутреннего аудита может направлять отчет другим заинтересованным сторонам. При этом руководитель внутреннего аудита, прежде чем передать итоговый отчет заинтересованным сторонам, должен:
– оценить возможные риски для компании;
– при необходимости проконсультироваться в установленном порядке с исполнительными органами и/или юридическим подразделением;
– контролировать распространение информации, устанавливая ограничения на ее использование.
Если в отчете, после его предоставления кругу заинтересованных лиц, будут выявлены существенные ошибки и упущения, руководитель внутреннего аудита оперативно доводит исправленную информацию до сведения всех лиц, получивших итоговый отчет.
По итогам проверки на основании выявленных недостатков и подготовленных внутренним аудитом рекомендаций руководитель объекта аудита разрабатывает и согласовывает с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на совершенствование деятельности компании путем устранения выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).
План мероприятий утверждается руководителем объекта аудита или иным уполномоченным органом.
Руководитель объекта аудита может принять аргументированное решение не предпринимать действий в отношении какого-либо из выявленных недостатков. В этом случае руководитель объекта аудита должен довести аргументы в пользу решения о непринятии мер до руководителя проверки и руководителя внутреннего аудита.
Руководитель внутреннего аудита рассматривает план мероприятий и аргументы менеджмента (руководителя объекта аудита) о непринятии мер. В случае если, по мнению внутреннего аудита, менеджмент компании принимает недопустимый для компании риск, руководитель внутреннего аудита должен своевременно сообщить об этом исполнительным органам компании, и, при необходимости, совету директоров (комитету по аудиту).
Руководители объектов аудита обеспечивают своевременное и надлежащее выполнение согласованных планов мероприятий, разработанных по результатам проверок.
Мониторинг выполнения плана мероприятий, разработанного по результатам проверки
Руководитель внутреннего аудита разрабатывает систему мониторинга выполнения планов мероприятий, разработанных по результатам проверок, с целью подтверждения адекватности, эффективности и своевременности действий, предпринятых руководителями объектов аудита с целью устранения недостатков, реализации рекомендаций и совершенствования системы внутреннего контроля компании.
Мониторинг выполнения планов мероприятий включает, но не ограничивается следующими процедурами:
– получение и анализ информации, полученной от руководителей объектов аудита о результатах выполнения планов мероприятий;
– проведение последующего мониторинга с целью подтверждения эффективности действий руководителей объектов аудита в части устранения выявленных недостатков и совершенствования СВК;
– подготовка отчетности для единоличного исполнительного органа (или другого лица, в административном подчинении у которого находится внутренний аудит) и совета директоров (комитета по аудиту) о результатах мониторинга выполнения планов мероприятий.
При определении характера, сроков и объема процедур мониторинга учитываются следующие факторы:
– степень значимости недостатков и нарушений, выявленных во время проверки;
– уровень усилий и затрат, необходимых для устранения выявленных недостатков и нарушений;
– возможные последствия, которые могут стать результатом того, что корректирующие мероприятия не будут выполнены;
– сложность мероприятий;
– период времени, необходимый для внедрения мероприятий.
7. Контроль качества и оценка деятельности внутреннего аудита
7.1. Руководитель внутреннего аудита разрабатывает и внедряет программы оценки и повышения качества (программу по осуществлению контроля качества работы внутреннего аудита / «программу гарантий и повышения качества») в целях осуществления надлежащего контроля качества и оценки деятельности внутреннего аудита.
7.2. На регулярной основе (как правило, один раз в год) руководитель внутреннего аудита информирует исполнительные органы и отчитывается перед советом директоров о деятельности в рамках программы оценки и повышения качества и ее результатах, в том числе доводит информацию о результатах внутренних и внешних оценок.
7.3. При разработке и внедрении программы оценки и повышения качества (в том числе в рамках проведения периодических оценок) руководителю внутреннего аудита рекомендуется использовать методические документы Института внутренних аудиторов.
7.4. Программа оценки и повышения качества включает:
– непрерывный мониторинг качества деятельности внутреннего аудита;
– периодические внутренние и внешние оценки качества всего спектра деятельности внутреннего аудита.
В программу оценки и повышения качества также включаются процедуры постоянного измерения и анализа показателей деятельности (например, выполнение плана деятельности внутреннего аудита, принятые менеджментом компании рекомендации, удовлетворенность руководителей объектов аудита и проч.)
7.5. Если в рамках непрерывного мониторинга или по результатам оценки (внутренней и внешней) качества выявляются недостатки в деятельности внутреннего аудита, руководитель внутреннего аудита разрабатывает план по устранению таких недостатков и отслеживает эффективность и своевременность его выполнения.
Непрерывный мониторинг качества
7.6. Непрерывный мониторинг качества включает текущий анализ и оценку качества деятельности внутреннего аудита. В рамках осуществления непрерывного мониторинга качества руководитель внутреннего аудита и/или уполномоченные им внутренние аудиторы:
– осуществляют надзор над выполнением проверок и прочей деятельностью внутреннего аудита;
– получают обратную связь от проверяемых подразделений и других заинтересованных сторон;
– осуществляют выборочную экспертную оценку рабочих документов;
– проводят анализ установленных параметров оценки выполнения работы;
– формируют бюджеты проверок (например, на командировочные расходы), ведут учет использования рабочего времени;
– проводят анализ других показателей результатов деятельности (например, таких, как длительность аудиторского цикла и принятие рекомендаций).
Внутренние периодические оценки
7.7. Внутренние периодические оценки качества проводятся внутренними аудиторами посредством самооценки. Рекомендуется проводить внутреннюю оценку качества как минимум один раз в год.
7.8. Основной целью внутренних периодических оценок является оценка деятельности внутреннего аудита на соответствие выбранным параметрам оценки. Например, внутренние аудиторы могут оценить качество своей деятельности на предмет:
– соответствия требованиям Международных профессиональных стандартов внутреннего аудита;
– адекватности положения о внутреннем аудите, целей, задач и функций, политик и процедур внутреннего аудита;
– соответствия деятельности внутреннего аудита ожиданиям совета директоров и исполнительных органов;
– вклада внутреннего аудита в процессы корпоративного управления, управления рисками и внутреннего контроля, а также совершенствования бизнес-процессов компании;
– соответствия требованиям применимых законодательных и нормативных актов;
– соответствия деятельности внутреннего аудита лучшим практикам.
7.9. Внутренние оценки качества могут осуществляться посредством:
– проведения опросов заинтересованных сторон (например, руководителей объектов аудита);
– проведения проверок рабочих документов на соответствие установленным политикам внутреннего аудита и применимым стандартам;
– обзора параметров оценки работы внутреннего аудита и их сравнения с лучшими практиками.
Внешняя оценка качества аудита
7.10. Внешнюю оценку качества аудита рекомендуется проводить не реже одного раза в пять лет. Внешняя оценка качества проводится с целью получения руководителем внутреннего аудита и другими заинтересованными лицами независимого мнения о качестве функции внутреннего аудита.
7.11. Внешняя оценка охватывает весь спектр аудиторских и консультационных услуг внутреннего аудита. Для достижения оптимальных результатов в объем работ по внешней оценке рекомендуется включать те же аспекты, что и при проведении внутренней оценки.
7.12. При этом необходимо принимать во внимание, что объем и содержание внешней оценки могут быть скорректированы по усмотрению руководителя внутреннего аудита, с учетом рекомендаций исполнительных органов или по решению совета директоров, исходя из поставленных целей компании.
7.13. Внешняя оценка качества может быть проведена следующими способами:
– оценка качества независимым внешним экспертом;
– подтверждение внутренней оценки качества независимым внешним экспертом.
7.14. Проведение независимой внешней оценки качества путем подтверждения результатов внутренней самооценки целесообразно проводить в случае, если внутренний аудит:
– осуществляет свою деятельность в отрасли, являющейся объектом жесткого регулирования и/или контроля;
– подвергается жесткому регулированию и/или контролю по другим причинам (например, является объектом проверки в рамках ежегодных оценок эффективности корпоративного управления и внутреннего контроля компании).
7.15. Также, проведение независимой внешней оценки путем подтверждения результатов внутренней самооценки рекомендуется в случае, если, по мнению руководителя внутреннего аудита, преимущества от такой оценки (в т. ч. финансовая выгода) превосходят выгоды от полной оценки качества внешними экспертами.
7.16. При проведении оценки внешний эксперт осуществляет проверку результатов самооценки и устанавливает степень соответствия деятельности внутреннего аудита выбранным параметрам оценки (например, соответствие Международным профессиональным стандартам внутреннего аудита и лучшим практикам).
7.17. Выбор внешнего эксперта (группы экспертов) осуществляется в соответствии с требованиями законодательства и внутренними процедурами компании по выбору поставщиков услуг. При этом рекомендуется принимать во внимание следующие критерии выбора внешнего эксперта (группы экспертов):
1) профессиональные компетенции внешнего эксперта (группы экспертов) – внешний эксперт (группа экспертов) должен обладать:
– профессиональной компетенцией в области внутреннего аудита;
– профессиональной компетенцией в области проведения внешних оценок качества;
– знаниями Международных профессиональных стандартов внутреннего аудита и лучших профессиональных практик в области внутреннего аудита;
– опытом практической работы на руководящих должностях во внутреннем аудите или соответствующих областях бизнес-консультирования как минимум в течение трех лет (в случае привлечения группы экспертов – руководитель группы должен обладать таким опытом);
– квалификацией «дипломированный внутренний аудитор» (в случае привлечения группы экспертов – как минимум один участник должен обладать такой квалификацией).
Принимая решение о профессиональной компетентности внешнего эксперта или группы экспертов, руководителю внутреннего аудита рекомендуется применить собственное профессиональное суждение.
2) независимость внешнего эксперта (группы экспертов). Независимость внешнего эксперта (группы экспертов) предполагает отсутствие:
– аффилированности внешнего эксперта с членами совета директоров, исполнительными органами, работниками компании и / или ДЗО;
– заинтересованности внешнего эксперта в результатах деятельности компании;
– любых фактических или потенциальных конфликтов интересов, связанных с оказанием услуг внешним экспертом компании;
– любых фактических или потенциальных конфликтов интересов работников внешнего эксперта (группы экспертов), которые:
– не должны являться работниками компании в течение последних пяти лет или работниками, связанными с компанией;
– должны быть свободны от каких-либо обязательств или заинтересованности в отношении компании или в отношении работников компании.
3) честность и объективность внешнего эксперта (группы экспертов) – внешний эксперт или группа экспертов должны быть правдивыми и непредвзятыми, соблюдать требования конфиденциальности при выполнении внешней оценки качества.
С целью соблюдения независимости, не могут рассматриваться в качестве внешних экспертов работники других подразделений компании и связанных компаний (например, головной компании или ДЗО).
7.18. Руководитель внутреннего аудита назначает работников, ответственных за взаимодействие с внешним экспертом (группой экспертов). В рамках проведения внешней оценки качества работники, ответственные за взаимодействие с внешним экспертом (группой экспертов):
– представляют информацию о результатах работы внутреннего аудита согласно запросам внешнего эксперта (группы экспертов);
– предварительно оценивают качество отчета, подготовленного внешним экспертом (группой экспертов) и подготавливают комментарии/возражения к отчету;
– участвуют во встречах по обсуждению результатов внешней оценки.
7.19. По завершению внешней оценки независимый эксперт (группа экспертов) подготавливает:
1) в случае проведения независимой внешней оценки качества деятельности внутреннего аудита, – отчет, который включает:
– заключение о соответствии внутреннего аудита выбранным параметрам оценки (например, о соответствии Международным профессиональным стандартам внутреннего аудита) и
– рекомендации по совершенствованию деятельности внутреннего аудита;
2) в случае проведения оценки путем независимого подтверждения результатов внутренней cамооценки, – отчет, подготовленный внутренним аудитом по результатам внутренней оценки качества, и включающий:
– при согласии с заключением внутреннего аудита – соответствующую формулировку, согласующуюся с заключением по результатам внутренней оценки качества;
– при несогласии с заключением внутреннего аудита – соответствующую формулировку с указанием несогласованных вопросов и выявленных недостатков, выводы и рекомендации;
По решению руководителя внутреннего аудита независимый эксперт также может подготовить отдельный отчет с независимым подтверждением результатов внутренней оценки, как приложение к отчету о внутренней оценке качества, с выражением согласия или несогласия с выводами внутренней оценки качества, как описано выше.
Термины и определения
Аудиторские процедуры – совокупность профессиональных действий внутреннего аудитора, направленных на сбор аудиторских доказательств для достижения целей проверки. Аудиторские процедуры подразделяются на два вида: аналитические процедуры и процедуры тестирования.
Аналитические процедуры – изучение, сравнение и/или оценка взаимосвязей финансовой и нефинансовой информации.
Аудиторские доказательства – совокупность данных, используемых для формулирования выводов по результатам проверки в соответствии с целями проведения проверки.
Внеплановые проверки – внутренние аудиторские проверки вне рамок утвержденного Плана деятельности внутреннего аудита, проводимые в соответствии с поручением единоличного исполнительного органа, комитета по аудиту или совета директоров
Внутренние аудиторские проверки – изучение и анализ финансово-хозяйственной деятельности компании с целью формулирования мнения (вывода) о надежности и эффективности системы/отдельных процедур внутреннего контроля, управления рисками и корпоративного управления.
Дизайн контрольной процедуры – описание (алгоритм) контрольной процедуры, представляющее собой последовательность определенных операций, которые должен осуществлять исполнитель контрольной процедуры для достижения целей контрольной процедуры.
Контрольная процедура – мероприятия, действия сотрудников, автоматические операции информационной системы или комбинация данных процессов, осуществляемые на различных уровнях организационной структуры, направленные на уменьшение вероятности наступления риска и/или минимизацию возможного ущерба в случае его реализации.
Ключевая контрольная процедура – процедура, позволяющая при ее надлежащем выполнении снизить до приемлемого уровня критичный риск/риски. При отсутствии/неэффективности данной контрольной процедуры критичный риск считается неприемлемым.
Критичный риск – риск, последствия реализации которого могут иметь существенное влияние на достижение целей компании и/или привести к значительному ущербу.
Модель аудита («вселенная аудита») – совокупность объектов аудита, например, бизнес-процессов, бизнес-функций, проектов/инициатив компании, подразделений, бизнес-единиц и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Международные профессиональные стандарты внутреннего аудита Института внутренних аудиторов – документы, основанные на принципах и предоставляющие основу для проведения внутреннего аудита. Структура стандартов состоит из стандартов качественных характеристик, стандартов деятельности и стандартов практического применения. Стандарты содержат обязательные для исполнения требования, состоящие:
– из утверждений, содержащих базовые требования в отношении профессиональной деятельности в области внутреннего аудита и для оценки его эффективности, применяемые во всем мире как физическими лицами, так и организациями;
– из интерпретаций, поясняющих термины или концепции, описываемые в Стандартах.
Объект аудита – бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Процедуры тестирования – оценка корректности выполнения контрольной процедуры в соответствии с предусмотренным дизайном. Основные методы тестирования контрольных процедур включают:
1) опрос – проведение интервью с исполнителями контрольных процедур с целью выяснения, каким образом выполняется процедура, какие бывают исключения в ее функционировании, как они обрабатываются.
2) наблюдение – наблюдение за действиями исполнителя непосредственно в момент выполнения проверяемой процедуры.
3) проверка – инспектирование/изучение доказательств надлежащего выполнения проверяемой процедуры. Например, проверка документации, изучение проведенных сверок и выявленных несоответствий и/или натурный осмотр.
4) повторное выполнение – выполнение контрольной процедуры в соответствии с ее дизайном и сверка результатов выполнения процедуры.
Риск – событие, которое может оказать отрицательное воздействие на достижение целей компании. Характеризуется метриками «вероятность» и «воздействие».
Схема (карта) взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности [ «карта гарантий»] – документ, определяющий сферы ответственности субъектов СВК и иных заинтересованных сторон в отношении отдельных рисков компании.