Стандарты внутреннего аудита и методические документы для внутреннего аудитора

Подготовила: Ирина Барыкина, член Ассоциации «Институт внутренних аудиторов»

Источник: https://global.theiia.org/standards-guidance

Читайте предыдущие статьи цикла «Введение во внутренний аудит»:

1. Понятие внутреннего аудита и различие между внешним и внутренним аудитом

2. Внутренний аудит: риски и контроли

3. Виды внутреннего аудита

4. Линии защиты компании. Гарта гарантий

Внутренний аудитор при осуществлении своей деятельности руководствуется Международными основами профессиональной практики.

Международные основы профессиональной практики внутреннего аудита (International Professional Practices Framework (IPPF)) (далее - Международные основы) – это концептуальная модель, объединяющая руководства, публикуемые международным Институтом внутренних аудиторов (The IIA).

Международные основы являются базой для межгосударственных и национальных законодательных и нормативных актов в области внутреннего аудита.

В настоящее время Международные основы включают в себя 7 компонентов:

1. Миссия

Обязательные для применения руководства (Mandatory Guidance):

2. Основные принципы

3. Определение внутреннего аудита

4. Кодекс этики

5. Стандарты

Рекомендуемые руководства (Recommended Guidance)

6. Руководства по применению (Implementation Guides)

7. Дополнительные руководства (Supplemental Guidance)

Миссия внутреннего аудита – это сохранение и повышение стоимости организации посредством проведения объективных внутренних аудиторских проверок на основе риск-ориентированного подхода, предоставления рекомендаций и обмена знаниями. 

Основные принципы формулируют критерии эффективности внутреннего аудита и характеризуют подход внутреннего аудитора к работе. Итак, внутренний аудитор:

• является образцом честности;

• проявляет компетентность и профессиональное отношение к работе;

• объективен и не подвержен ненадлежащему воздействию (независим);

• выстраивает свою работу в соответствии со стратегией, целями и рисками организации;

• обладает соответствующим статусом и необходимыми ресурсами;

• качественно выполняет работу и постоянно совершенствуется;

• выстраивает эффективные отношения с заинтересованными сторонами;

• основывает работу на риск-ориентированном подходе;

• проницателен, рассматривает вопросы в перспективе и нацелен на будущее;

• способствует развитию организации.

Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий (уверенности) и консультаций, направленной на повышение эффективности деятельности компании. Внутренний аудит помогает компании достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.

Кодекс этики устанавливает принципы и ожидания, определяющие поведение сотрудников и компаний при проведении внутреннего аудита. Кодекс этики не содержит описания конкретных действий, а формулирует минимальные требования к поведению и ожидания в отношении поведения в определенных ситуациях.

Стандарты основаны на принципах (см. выше Основные принципы) и представляют собой основу для проведения внутреннего аудита. Стандарты включают набор требований, сформулированных в виде принципов, и состоят из:

• Утверждений (Основного текста) - определения ключевых норм, используемых для организации профессиональной деятельности внутреннего аудита и для оценки ее эффективности, которые могут применяться на уровне компаний и уровне отдельных сотрудников;

• Интерпретаций, уточняющих термины или концептуальные подходы, используемые в Стандартах;

• Глоссария (Словарь терминов).

Руководства по применению (Implementation Guides) включают 52 руководства и описывают подходы и методологию внутреннего аудита, но не содержат детального описания процессов и процедур.

Дополнительные руководства (Supplemental Guidance) содержат подробные руководства по проведению мероприятий внутреннего аудита (тематические области, отраслевые вопросы, процессы и процедуры, инструменты и техники, программы, пошаговые методики и примеры результатов) и состоят из:

• 26 Практических руководств (Practice Guides - General)

• 2 Практических руководства для гос. сектора (Practice Guides - Public Sector)

• 20 Глобальных руководств по аудиту технологий (Global Technology Audit Guides (GTAGs))

• 3 Руководства по оценке рисков ИТ (Guides to the Assessment of IT Risks (GAIT))

Целями Стандартов являются:

• Предоставление руководства по соблюдению обязательных для применения элементов Международных основ профессиональной практики внутреннего аудита;

• Предоставление методической основы для выполнения и продвижения широкого спектра услуг внутреннего аудита, приносящих пользу организации;

• Определение принципов оценки эффективности деятельности внутреннего аудита;

• Содействие совершенствованию процессов и операций, осуществляемых организацией.

Стандарты применяются и к работникам внутреннего аудита индивидуально, и к подразделениям внутреннего аудита. Все внутренние аудиторы несут ответственность за соблюдение Стандартов, а руководитель внутреннего аудита дополнительно несет ответственность за соблюдение Стандартов всем подразделением внутреннего аудита.

Профессиональные Стандарты состоят из двух типов:

1. Стандарты качественных характеристик (Attribute Standards);

2. Стандарты деятельности (Performance Standards).

Стандарты качественных характеристик относятся к характеристикам организации и лиц, осуществляющих аудиторскую деятельность.

Основные тезисы данных Стандартов:

• Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите), соответствующем Миссии внутреннего аудита и обязательным для применения элементам Международных основ профессиональной практики (Основные принципы внутреннего аудита, Кодекс этики, Стандарты и Определение внутреннего аудита). Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету директоров.

• Независимость и объективность: Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.

• Профессионализм и профессиональное отношение к работе: Внутренние аудиторы должны выполнять аудиторские задания на должном профессиональном уровне.

• Программа гарантии и повышения качества внутреннего аудита: Руководитель внутреннего аудита должен разработать и поддерживать программу гарантии и повышения качества, охватывающую все виды деятельности внутреннего аудита и направленной на оценку эффективности и результативности внутреннего аудита. Программа гарантии и повышения качества должна включать как внутренние, так и внешние оценки, а также текущий мониторинг деятельности внутреннего аудита. Каждый компонент программы должен быть нацелен на то, чтобы помогать внутреннему аудиту приносить пользу организации и повышать эффективность ее процессов. Программа должна предоставлять гарантии того, что деятельность внутреннего аудита соответствует Международным основам профессиональной практики.

Стандарты деятельности определяют деятельность функции внутреннего аудита и критерии, по которым оценивается ее эффективность.

Основные компоненты данных стандартов включают:

• Управление внутренним аудитом: Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита таким образом, чтобы обеспечить его полезность для компании.

• Сущность работы внутреннего аудита: Внутренний аудит должен проводить оценку и способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля, используя систематизированный и последовательный подход.

• Планирование аудиторского задания: Внутренние аудиторы должны составлять и документировать план выполнения каждого аудиторского задания, включающий цели, объем задания, его сроки и распределение ресурсов. В плане должны учитываться стратегия, задачи организации и риски, присущие заданию.

• Выполнение задания: Внутренние аудиторы должны собирать, анализировать, оценивать и оформлять документально информацию в объеме, достаточном для достижения целей задания.

• Информирование о результатах: Внутренние аудиторы должны сообщать о результатах выполнения задания.

• Мониторинг действий по результатам задания: Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга решения проблемных вопросов, выявленных по итогам выполнения задания, после ознакомления менеджмента с результатами задания.

Информирование о принятых рисках: Если руководитель внутреннего аудита приходит к выводу о том, что уровень риска, принятого менеджментом, не может быть приемлемым для организации, руководитель внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если руководитель внутреннего аудита приходит к выводу, что проблема по-прежнему осталась нерешенной, он должен проинформировать Совет директоров по данному вопросу.