Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий (уверенности) и консультаций, направленной на повышение эффективности деятельности компании. Внутренний аудит помогает компании достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
Международные стандарты профессиональной практики внутреннего аудита (Стандарты)
Стандарты основаны на принципах (см. выше Основные принципы) и представляют собой основу для проведения внутреннего аудита. Стандарты включают набор требований, сформулированных в виде принципов, и состоят из:
- Утверждений (Основного текста) — определения ключевых норм, используемых для организации профессиональной деятельности внутреннего аудита и для оценки ее эффективности, которые могут применяться на уровне компаний и уровне отдельных сотрудников;
- Интерпретаций, уточняющих термины или концептуальные подходы, используемые в Стандартах;
- Глоссария (Словарь терминов).
Руководства по применению (Implementation Guides) включают 52 руководства и описывают подходы и методологию внутреннего аудита, но не содержат детального описания процессов и процедур.
Дополнительные руководства (Supplemental Guidance) содержат подробные руководства по проведению мероприятий внутреннего аудита (тематические области, отраслевые вопросы, процессы и процедуры, инструменты и техники, программы, пошаговые методики и примеры результатов) и состоят из:
- 26 Практических руководств (Practice Guides — General)
- 2 Практических руководства для гос. сектора (Practice Guides — Public Sector)
- 20 Глобальных руководств по аудиту технологий (Global Technology Audit Guides (GTAGs))
- 3 Руководства по оценке рисков ИТ (Guides to the Assessment of IT Risks (GAIT))
Целями Стандартов являются:
- Предоставление руководства по соблюдению обязательных для применения элементов Международных основ профессиональной практики внутреннего аудита;
- Предоставление методической основы для выполнения и продвижения широкого спектра услуг внутреннего аудита, приносящих пользу организации;
- Определение принципов оценки эффективности деятельности внутреннего аудита;
- Содействие совершенствованию процессов и операций, осуществляемых организацией.
Стандарты применяются и к работникам внутреннего аудита индивидуально, и к подразделениям внутреннего аудита. Все внутренние аудиторы несут ответственность за соблюдение Стандартов, а руководитель внутреннего аудита дополнительно несет ответственность за соблюдение Стандартов всем подразделением внутреннего аудита.
Типы Стандартов
Профессиональные Стандарты состоят из двух типов:
- Стандарты качественных характеристик (Attribute Standards);
- Стандарты деятельности (Performance Standards).
1. Стандарты качественных характеристик (Attribute Standards)
Стандарты качественных характеристик относятся к характеристикам организации и лиц, осуществляющих аудиторскую деятельность.
Основные тезисы данных Стандартов:
- Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите), соответствующем Миссии внутреннего аудита и обязательным для применения элементам Международных основ профессиональной практики (Основные принципы внутреннего аудита, Кодекс этики, Стандарты и Определение внутреннего аудита). Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету директоров.
- Независимость и объективность: Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.
- Профессионализм и профессиональное отношение к работе: Внутренние аудиторы должны выполнять аудиторские задания на должном профессиональном уровне.
- Программа гарантии и повышения качества внутреннего аудита: Руководитель внутреннего аудита должен разработать и поддерживать программу гарантии и повышения качества, охватывающую все виды деятельности внутреннего аудита и направленной на оценку эффективности и результативности внутреннего аудита. Программа гарантии и повышения качества должна включать как внутренние, так и внешние оценки, а также текущий мониторинг деятельности внутреннего аудита. Каждый компонент программы должен быть нацелен на то, чтобы помогать внутреннему аудиту приносить пользу организации и повышать эффективность ее процессов. Программа должна предоставлять гарантии того, что деятельность внутреннего аудита соответствует Международным основам профессиональной практики.
2. Стандарты деятельности (Performance Standards)
Стандарты деятельности определяют деятельность функции внутреннего аудита и критерии, по которым оценивается ее эффективность.
Основные компоненты данных стандартов включают:
- Управление внутренним аудитом: Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита таким образом, чтобы обеспечить его полезность для компании.
- Сущность работы внутреннего аудита: Внутренний аудит должен проводить оценку и способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля, используя систематизированный и последовательный подход.
- Планирование аудиторского задания: Внутренние аудиторы должны составлять и документировать план выполнения каждого аудиторского задания, включающий цели, объем задания, его сроки и распределение ресурсов. В плане должны учитываться стратегия, задачи организации и риски, присущие заданию.
- Выполнение задания: Внутренние аудиторы должны собирать, анализировать, оценивать и оформлять документально информацию в объеме, достаточном для достижения целей задания.
- Информирование о результатах: Внутренние аудиторы должны сообщать о результатах выполнения задания.
- Мониторинг действий по результатам задания: Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга решения проблемных вопросов, выявленных по итогам выполнения задания, после ознакомления менеджмента с результатами задания.
Информирование о принятых рисках: Если руководитель внутреннего аудита приходит к выводу о том, что уровень риска, принятого менеджментом, не может быть приемлемым для организации, руководитель внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если руководитель внутреннего аудита приходит к выводу, что проблема по-прежнему осталась нерешенной, он должен проинформировать Совет директоров по данному вопросу (https://www.audit-it.ru)