Международные профессиональные стандарты внутреннего аудита: структура, применение и отражение в законодательстве
Автор: Денис Вячеславович Малыхин, руководитель Программы сертификации Некоммерческого партнерства «Институт внутренних аудиторов», дипломированный внутренний аудитор (CIA), Заместитель Председателя Правления ПАО МОСОБЛБАНК
Для нормальной жизни в любом обществе, деловой среде и в большой экономике нужны общие правила ведения деятельности. Это позволяет не тратить время на изобретение «своего велосипеда», а сосредоточиться на развитии. Во внутреннем аудите такими правилами являются Международные профессиональных стандарты внутреннего аудита (МПСВА, далее - Стандарты)*.
Стандарты начали разрабатываться Международным Институтом внутренних аудиторов (The IIA) в сороковых годах прошлого века. В них изложены основные правила организации функции «внутренний аудит» и методологические основы осуществления внутреннего аудита, а также вопросы обеспечения качества работы внутреннего аудита. Международные профессиональные стандарты внутреннего аудита не следует путать с профессиональным стандартом «Внутренний аудитор», утвержденным Министерством труда РФ в 2015 году (приказ Министерства труда РФ от 24.06.2015 № 398н), в котором изложены требования к профессиональным знаниям, навыкам и умениям работников, выполняющих функции внутреннего аудитора.
Стандарты имеют универсальный характер – они одинаково применимы для всех отраслей, для всех сфер деятельности и для всех правовых систем в любой стране мира. Это некая база, фундамент, на основе которого можно делать локальные документы, отражающие нюансы отдельной компании.
Иногда словом «Стандарты» называют не МПСВА как таковые, а совокупность нескольких документов, входящих в Международные основы профессиональной практики (МОПП). МОПП на сегодняшний день состоят из 7 структурных частей, собственно «Стандарты» – это только одна, но ключевая часть МОПП. В других частях МОПП изложены миссия внутреннего аудита, определение, принципы, кодекс этики, руководства по применению Стандартов и т.н. дополнительные руководства. Хочется обратить особое внимание на Руководства по применению Стандартов. Это гораздо более обстоятельный документ, чем сами Стандарты – он занимает почти 200 страниц. Скажем так, что под каждый стандарт имеется небольшая методичка о том, как можно этот Стандарт перевести в практическую плоскость. Каждый отдельно взятый стандарт – это постулат, который может занимать, к примеру, один параграф, а Руководство по применению – это толкование стандарта, которое занимает уже 1-2 страницы текста, иногда больше.
Есть еще целый класс документов – Дополнительные руководства. Это, как правило, методические документы довольно большого объема (иногда несколько десятков страниц) о том, как можно на практике реализовывать требования Стандартов. Дополнительные руководства не являются строго обязательными к применению, но внутренним аудиторам рекомендуется их знать и использовать в практической деятельности по мере необходимости. В дополнительных руководствах отражена передовая практика выполнения тех или иных аудиторских задач, организации работы внутреннего аудита.
Институт внутренних аудиторов перевел на русский язык и бесплатно распространяет основные составные части МОПП: сами Стандарты, а также Кодекс этики, Определение, Миссию и Принципы. На русский язык также переведены Руководства по применению Стандартов (раньше назывались Практические указания).
С подробной информацией о содержании МОПП можно ознакомиться на сайте Института внутренних аудиторов: https://www.iia-ru.ru/inner_auditor/professional/
В настоящее время МОПП включают в себя 7 компонентов:
Обязательные для применения руководства:
-
Определение внутреннего аудита
-
Кодекс этики
-
Стандарты
-
Принципы
Настоятельно рекомендуемые руководства:
-
Руководства по применению (ранее назывались «Практические указания»)
-
Дополнительные руководства (ранее назывались «Практические руководства»).
Очень важный раздел Стандартов – это Глоссарий. Терминология, которая применяется в странах с развитой экономикой, существенно отличается от того, к чему привыкли хозяйствующие субъекты на постсоветском пространстве с ревизионной парадигмой организации внутреннего контроля. Тем не менее, международная терминология постепенно получает признание и в России, в том числе в госкомпаниях и госучреждениях. Институт внутренних аудиторов сейчас участвует в проекте (в рамках деятельности Экспертного совета Открытого правительства) по разработке единого глоссария для сферы внутреннего аудита и контроля. Существует много терминов, которые нельзя кратким образом перевести на русский язык, они требуют дополнительных пояснений. Мы ищем для них аналоги, подбираем как можно более точные определения и формулировки. Возьмем, например, слово «стандарт». Даже оно воспринимается по-разному. В нашей хозяйственной практике «стандарт» представляется объемным документом, утвержденным приказом Росстандарта, в котором всё изложено предельно детально. В той же концепции, которая реализована в МОПП, другое представление: «стандарт» – это тезисы – короткие формулировки требований к тому или иному элементу деятельности. С дополнительными разъяснениями в других документах.
Стандарты – достаточно стабильный документ, который уже более 10 лет существует без революционных изменений, хотя их текст периодически обновляется. Раньше изменения вносились раз в 5-10 лет, в последние годы – чаще. Идет развитие профессии, происходит изменение отношения заинтересованных сторон к работе внутреннего аудита и, как следствие, меняется структура и содержание МОПП. Последнее обновление пришлось на 2016 год.
IIA, который является разработчиком МОПП, – организация с развитыми корпоративными процедурами, в которой есть Совет директоров, различные Комитеты, рабочие группы, включая комитет по Стандартам (The International Internal Audit Standards Board (IIASB)), и процесс внесения изменений тщательно продуман: профессиональное сообщество во всем мире заранее уведомляется о том, что IIA предлагает начать работу по изменению тех или иных документов; определяются реперные точки, собираются рабочие группы, готовятся предложения; выпускается черновой вариант (проект) изменений, он обсуждается в профессиональном сообществе, после этого выносится на рассмотрение комитета по Стандартам IIA и для окончательного утверждения – на Совет директоров. Затем изменения публикуются, но вступают в силу не сразу – дается время на ознакомление и внедрение новшеств. Фактически, над документами работает все международное сообщество.
Условно, можно назвать 3 драйвера изменений. Во-первых, это внешние факторы в виде изменений в корпоративном управлении и законодательном регулировании тех или иных сфер деятельности.
Во-вторых, это кризисные ситуации, связанные с громкими корпоративными скандалами или лопанием «пузырей» на финансовых рынках, когда задаются вопросы, а всё ли правильно делали внутренние аудиторы, чтобы помочь избежать этих негативных событий и насколько их действия отвечали интересам заинтересованных сторон (стейкхолдеров).
В-третьих, сбор предложений «снизу». Когда внутренние аудиторы в ходе своей работы сталкиваются с какими-либо сложностями, в том числе недопониманием со стороны пользователей результатов внутреннего аудита – советов директоров, высшего исполнительного руководства компаний. Иногда мы обнаруживаем, что приходится давать много разъяснений по некоторым позициям. Тогда мы сообщаем в IIA, что то-то и то-то нечетко изложено, дано не лучшее объяснение. И нужно либо поменять формулировки, либо выпустить дополнительные разъяснения.
В мировом сообществе внутренних аудиторов общепризнанными являются именно международные Стандарты, разработанные IIA. Поскольку Стандарты – это свод общих принципов, их использование возможно практически в любой стране, в т.ч. и в России. Службы внутреннего аудита российских организаций в последние годы все активнее применяют Стандарты. В некоторых случаях это происходит естественным путем – там, где у руководства компаний есть стремление развиваться и соответствовать лучшим практикам. В других случаях Стандарты начинают применяться под воздействием регулятора, например, Банка России, или ключевого собственника, например, Росимущества. Институт внутренних аудиторов проделал большую работу по включению ссылок на Стандарты в Кодекс корпоративного управления, (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления" (одобрен Правительством РФ 13.02.2014, Советом директоров ЦБ РФ 21.03.2014)) и методические документы Росимущества (см. перечень документов Росимущества далее по тексту).
Стандарты ни в одной из стран не закреплены жестко на законодательном уровне; они признаны мировым сообществом и утверждены профессиональной ассоциацией. Законом предусматривается право исполнительных органов власти определять те или иные правила поведения. Было бы странно, если бы нормами закона были установлены столь детальные требования к внутрикорпоративному устройству всех видов организаций. Поэтому, как правило, регуляторы в разных странах используют технологию «отсылки»: утверждаются общие требования к организации внутреннего аудита, определяется государственный орган-регулятор, который уже в своих нормативных актах при определении правил осуществления внутреннего аудита дает ссылку «в соответствии с Международными профессиональными стандартами внутреннего аудита», которые разработаны IIA. Например, ИНТОСАИ, КОСО, Базельский комитет по банковскому надзору, Международная ассоциация страховщиков основывают свои документы на Стандартах и делают на них ссылки:
Внутренний и внешний аудит в банках |
Документы Базельского комитета по банковскому надзору (письмо ЦБ РФ от 13.05.2002 N 59-Т) |
Система внутреннего контроля в банках |
Документ Базельского комитета по банковскому надзору, сентябрь 1998 г., (письмо ЦБ РФ от 10.07.2001 N 87-Т) |
Комплаенс и комплаенс-функция в банках (организация работы службы внутреннего контроля (комплаенс-службы)) |
Документ Базельского комитета по банковскому надзору, апрель 2005 г., (письмо ЦБ РФ от 02.11.2007 N 173-Т) |
Принцип страхования N 7 "Корпоративное управление" |
Документ Международной ассоциации страховых надзоров (письмо Банка России от 10.08.2016 N ИН-015-53/60) |
Правительство РФ уже выпустило несколько постановлений о том, что всем гос. учреждениям нужно применять те же подходы к организации финансового менеджмента и внутреннего контроля, которые предусмотрены международным стандартами.
Задачи по совершенствованию корпоративного управления, предусмотренные государственной программой Российской Федерации "Управление федеральным имуществом" |
Постановление Правительства РФ от 15.04.2014 N 327 (ред. от 31.03.2017) |
Меры по совершенствованию методологической базы осуществления внутреннего государственного (муниципального) контроля (в составе государственной программы "Управление государственными финансами и регулирование финансовых рынков") |
Постановление Правительства РФ от 15.04.2014 N 320 (ред. от 30.03.2017) |
Планируемые меры по развитию систем внутреннего контроля и аудита (в составе Программы повышения эффективности управления общественными (государственными и муниципальными) финансами на период до 2018 года.) |
Программа утверждена распоряжением Правительства РФ от 30.12.2013 N 2593-р |
Планируемые Правительством РФ меры по законодательному закреплению организации внутреннего аудита и системы внутреннего контроля и управления рисками |
В рамках Плана мероприятий ("дорожной карты") "Совершенствование корпоративного управления" (утв. распоряжением Правительства РФ от 25.06.2016 № 1315-Р) |
Также и Счетная Палата РФ:
Планируемые Счетной палатой РФ меры по разработке стандартов внутреннего аудита с учетом лучшей мировой практики |
Стратегия утверждена Коллегией Счетной палаты РФ 24.12.2013 |
Подход к организации процесса внутреннего аудита универсален для всех видов организаций. Поэтому принимать закон о том, что и как технически делать во внутреннем аудите, не нужно. Хотя в отношении страховых компаний, например, или для ряда госструктур есть такие нормы именно на законодательном уровне:
Внутренний контроль и внутренний аудит страховщика |
Закон РФ от 27.11.1992 N 4015-1 (в ред. 2013 г.) "Об организации страхового дела в Российской Федерации" |
Внутренний аудит в ЦБ РФ |
Статья 95 Глава 15 Закона о Центральном банке РФ |
Внутренний аудит в Агентстве по страхованию вкладов |
Статья 25 Закона о страховании вкладов физических лиц в банках |
Внутренний аудит в Банке Развития |
Статья 8 Закона о Банке Развития (Внешэкономбанке) |
Внутренний аудит в Росавтодоре |
Статья 20 Закона о государственной компании Росавтодор |
Внутренний аудит в Росатоме |
Статья 32 Закона о государственной корпорации Росатом |
Внутренний аудит в Роскосмосе |
Статья 32 Закона о государственной корпорации по космической деятельности "Роскосмос" |
В отношении частных организаций с корпоративным устройством есть позиция в законе о Банке России о том, что он является законодателем и имеет право определять нормы корпоративного устройства в публичных акционерных обществах (ст. 4, Федеральный закон от 10.07.2002 N 86-ФЗ (ред. от 28.03.2017) «О Центральном банке Российской Федерации (Банке России)»). При Банке России действует экспертный совет** по корпоративному управлению, который возглавляет первый заместитель Председателя Банка России. Алексей Сонин, директор Института внутренних аудиторов, входит в его состав. Есть нормативная база – постановление Правительства и решение Совета директоров Банка России о том, что нужно внедрять кодекс корпоративного управления в гос. компаниях и ПАО – а они занимают больше 90% экономики страны. Другие – это различные бюджетные гос. учреждения, для которых правила устанавливает МинФин; у министерства есть соответствующее подразделение, которое занимается внедрением систем управления рисками, внутреннего контроля и внутреннего аудита в целях организации контроля за эффективностью и целесообразностью расходования бюджетных средств. При этом оно руководствуется моделью COSO. Конечно, при этом она интерпретируется в своих, локальных, целях, на основе Стандартов (издаются приказы Минфина, Казначейства, как делать ту или иную процедуру).
- Понятие внутреннего аудита и различие между внешним и внутренним аудитом
Конечно, нет необходимости делать Стандарты обязательными. Достаточно, чтобы соответствующие документы содержали ссылки или прямо рекомендовали использовать Стандарты. Институт внутренних аудиторов постепенно эту задачу решает: уже есть профессиональный стандарт «Внутренний аудитор», утвержденный Министерством труда, Кодекс корпоративного управления, одобренный Правительством, с разделом по управлению рисками и системам внутреннего контроля и отсылкой на Международные профессиональные стандарты внутреннего аудита (Письмо ЦБ РФ от 10.04.2014 N 06-52/2463 "О Кодексе корпоративного управления" (одобрен Правительством РФ 13.02.2014, Советом директоров ЦБ РФ 21.03.2014)). Есть даже модельный закон стран СНГ о внутреннем аудите
Модельный закон «О внутреннем аудите в организациях государственного сектора» |
Принят Межпарламентской Ассамблей государств – участников Содружества Независимых Государств, Постановление от 16.04.2015 г. № 42-13 |
С 2013 по 2016 год Росимущество выпустило ряд документов, которые довольно детально описывают требования о том, как должен работать внутренний аудит в госкомпаниях. Наиболее важные из них:
|
|
Методические рекомендации по организации работы комитетов по аудиту советов директоров акционерных обществ |
Утверждены приказом Росимущества от 20.03.2014 № 86 |
Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с госучастием |
Утверждены приказом Росимущества от 04.07.2014 № 249 |
Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с госучастием |
Утверждены приказом Росимущества от 03.09.2014 № 330 |
Методические указания Росимущества по подготовке положения о внутреннем аудите |
Разработаны в соответствии с поручением Президента РФ от 09.12.2014 № Пр-3013, поручением Правительства РФ от 23.03.2015 № ИШ-П13-1818 |
* Международные профессиональные стандарты внутреннего аудита (МПСВА, Стандарты) являются одной из составных частей Международных основ профессиональной практики (МОПП, (IPPF)). Стандарты изложены как принципы и предоставляют собой основу для организации работы внутреннего аудита. Весь свод Стандартов состоит из двух частей: стандарты качественных характеристик и стандарты деятельности. В Стандартах используются термины, значение которых поясняется в Словаре терминов (Глоссарии). Для правильного понимания и применения Стандартов необходимо рассматривать в совокупности положения Стандартов, их интерпретации и конкретные значения терминов, приводимые в Глоссарии.
Институт внутренних аудиторов обладает эксклюзивными правами на перевод документов МОПП. Члены Института внутренних аудиторов имеют доступ к переведенным на русский язык Стандартам, практическим руководствам и другим материалам.
** Экспертный совет по корпоративному управлению создан в целях содействия улучшению практики корпоративного управления в российских компаниях и подготовки рекомендаций по совершенствованию законодательства в области корпоративного управления. Его основными задачами являются создание необходимых предпосылок и условий для повышения качества корпоративного управления в российских компаниях, содействие совершенствованию нормативно-правового регулирования в сфере корпоративного управления, доведение до широкого круга лиц наилучших практик корпоративного управления с целью их внедрения (https://new.daturum.ru/StaticHtml/File/11379/prov_adv_council.pdf , https://new.daturum.ru/StaticHtml/File/11379/expert_council.pdf )
Раздел Законодательство на сайте Некоммерческого партнерства «Институт внутренних аудиторов»: https://www.iia-ru.ru/inner_auditor/legislation/