Внутренний аудит

Внутренний аудит

Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий (уверенности) и консультаций, направленной на повышение эффективности деятельности компании. Внутренний аудит помогает компании достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

Международные стандарты профессиональной практики внутреннего аудита (Стандарты)

Стандарты основаны на принципах (см. выше Основные принципы) и представляют собой основу для проведения внутреннего аудита. Стандарты включают набор требований, сформулированных в виде принципов, и состоят из:

  • Утверждений (Основного текста) — определения ключевых норм, используемых для организации профессиональной деятельности внутреннего аудита и для оценки ее эффективности, которые могут применяться на уровне компаний и уровне отдельных сотрудников;
  • Интерпретаций, уточняющих термины или концептуальные подходы, используемые в Стандартах;
  • Глоссария (Словарь терминов).

Руководства по применению (Implementation Guides) включают 52 руководства и описывают подходы и методологию внутреннего аудита, но не содержат детального описания процессов и процедур.

Дополнительные руководства (Supplemental Guidance) содержат подробные руководства по проведению мероприятий внутреннего аудита (тематические области, отраслевые вопросы, процессы и процедуры, инструменты и техники, программы, пошаговые методики и примеры результатов) и состоят из:

  • 26 Практических руководств (Practice Guides — General)
  • 2 Практических руководства для гос. сектора (Practice Guides — Public Sector)
  • 20 Глобальных руководств по аудиту технологий (Global Technology Audit Guides (GTAGs))
  • 3 Руководства по оценке рисков ИТ (Guides to the Assessment of IT Risks (GAIT))

Целями Стандартов являются:

  • Предоставление руководства по соблюдению обязательных для применения элементов Международных основ профессиональной практики внутреннего аудита;
  • Предоставление методической основы для выполнения и продвижения широкого спектра услуг внутреннего аудита, приносящих пользу организации;
  • Определение принципов оценки эффективности деятельности внутреннего аудита;
  • Содействие совершенствованию процессов и операций, осуществляемых организацией.

Стандарты применяются и к работникам внутреннего аудита индивидуально, и к подразделениям внутреннего аудита. Все внутренние аудиторы несут ответственность за соблюдение Стандартов, а руководитель внутреннего аудита дополнительно несет ответственность за соблюдение Стандартов всем подразделением внутреннего аудита.

Типы Стандартов

Профессиональные Стандарты состоят из двух типов:

  1. Стандарты качественных характеристик (Attribute Standards);
  2. Стандарты деятельности (Performance Standards).

1. Стандарты качественных характеристик (Attribute Standards)

Стандарты качественных характеристик относятся к характеристикам организации и лиц, осуществляющих аудиторскую деятельность.

Основные тезисы данных Стандартов:

  • Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите), соответствующем Миссии внутреннего аудита и обязательным для применения элементам Международных основ профессиональной практики (Основные принципы внутреннего аудита, Кодекс этики, Стандарты и Определение внутреннего аудита). Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету директоров.
  • Независимость и объективность: Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
  • Профессионализм и профессиональное отношение к работе: Внутренние аудиторы должны выполнять аудиторские задания на должном профессиональном уровне.
  • Программа гарантии и повышения качества внутреннего аудита: Руководитель внутреннего аудита должен разработать и поддерживать программу гарантии и повышения качества, охватывающую все виды деятельности внутреннего аудита и направленной на оценку эффективности и результативности внутреннего аудита. Программа гарантии и повышения качества должна включать как внутренние, так и внешние оценки, а также текущий мониторинг деятельности внутреннего аудита. Каждый компонент программы должен быть нацелен на то, чтобы помогать внутреннему аудиту приносить пользу организации и повышать эффективность ее процессов. Программа должна предоставлять гарантии того, что деятельность внутреннего аудита соответствует Международным основам профессиональной практики.

2. Стандарты деятельности (Performance Standards)

Стандарты деятельности определяют деятельность функции внутреннего аудита и критерии, по которым оценивается ее эффективность.

Основные компоненты данных стандартов включают:

  • Управление внутренним аудитом: Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита таким образом, чтобы обеспечить его полезность для компании.
  • Сущность работы внутреннего аудита: Внутренний аудит должен проводить оценку и способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля, используя систематизированный и последовательный подход.
  • Планирование аудиторского задания: Внутренние аудиторы должны составлять и документировать план выполнения каждого аудиторского задания, включающий цели, объем задания, его сроки и распределение ресурсов. В плане должны учитываться стратегия, задачи организации и риски, присущие заданию.
  • Выполнение задания: Внутренние аудиторы должны собирать, анализировать, оценивать и оформлять документально информацию в объеме, достаточном для достижения целей задания.
  • Информирование о результатах: Внутренние аудиторы должны сообщать о результатах выполнения задания.
  • Мониторинг действий по результатам задания: Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга решения проблемных вопросов, выявленных по итогам выполнения задания, после ознакомления менеджмента с результатами задания.

Информирование о принятых рисках: Если руководитель внутреннего аудита приходит к выводу о том, что уровень риска, принятого менеджментом, не может быть приемлемым для организации, руководитель внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если руководитель внутреннего аудита приходит к выводу, что проблема по-прежнему осталась нерешенной, он должен проинформировать Совет директоров по данному вопросу (https://www.audit-it.ru)