6. Организация проверки, проводимой внутренним аудитом
6. Организация проверки, проводимой внутренним аудитом
Этапы организации проверки
Проверки проводятся внутренним аудитом на основании утвержденного плана деятельности внутреннего аудита. Как правило, проверки осуществляются в три этапа и включают:
– планирование и подготовку к проведению проверки;
– проведение проверки;
– подготовку отчета по результатам проверки.
Для проведения каждой проверки назначается руководитель проверки и формируется рабочая группа, состав которой утверждается руководителем внутреннего аудита или уполномоченным им работником.
На каждом из этапов проверки участники рабочей группы имеют право запрашивать любую необходимую информацию от проверяемых объектов аудита.
Подготовительный этап
На подготовительном этапе осуществляется формирование программы проверки. Программа проверки формируется до начала проведения каждой проверки и включает следующую информацию:
– цели проверки;
– объем и содержание проверки;
– сроки и распределение трудовых ресурсов;
– характер и объем аудиторских процедур, используемых для достижения целей проверки (процедуры тестирования, аналитические процедуры).
Программа проверки утверждается руководителем внутреннего аудита или уполномоченным им работником. Программа проверки может корректироваться в процессе выполнения проверки по согласованию с руководителем внутреннего аудита или с иным уполномоченным работником.
С целью более точного определения целей проверки и идентификации областей, подлежащих проверке, в рамках планирования проверок учитываются результаты оценки рисков и анализа контрольных процедур, относящихся к объекту аудита.
При подготовке программы проверки руководитель внутреннего аудита определяет такой уровень формализации и документирования (в частности, итогов совещаний по планированию, процедур оценки рисков, степени детализации программы проверки и т. п.), который является приемлемым для компании.
Руководитель проверки информирует руководителей объекта аудита о планируемой проверке, в том числе:
– целях планируемой проверки, объеме и содержании работы;
– участниках рабочей группы и времени на выполнение проверки.
Также руководитель проверки запрашивает у руководителя объекта аудита вводную информацию об объекте аудита с целью:
– получения общего понимания о деятельности объекта аудита;
– определения работников, ответственных за выполнение контрольных процедур и мероприятий по управлению рисками объекта аудита (в том числе ответственных работников подразделения);
– определения общего уровня автоматизации объекта аудита и ИТ-систем, критичных для функционирования объекта;
– анализа рисков и контрольных процедур объекта аудита;
– уточнения программы проверки и определения целей и объема работ.
Перечень информации, запрашиваемый у руководителя объекта аудита, зависит от особенностей и характера проверки.
В рамках планирования проверки руководитель внутреннего аудита определяет, каким образом, когда и кому (далее – уполномоченные представители) будут сообщаться результаты выполнения проверки и информирует об этом решении руководителя объекта аудитаи в той степени, в которой он сочтет нужным.
Цели проверки и оценка рисков при планировании проверки
Для каждой проверки устанавливаются ее цели – утверждения, определяющие, что в результате проверки должно быть достигнуто.
Цели проверки определяются на основании результатов предварительной оценки рисков, относящихся к объекту аудита, и детализируют цели, изначально установленные в рамках планирования деятельности внутреннего аудита на период.
Цели внеплановых проверок определяются до начала проверки и направлены на решение специфических проблем, ставших причиной проверки.
Оценка рисков на стадии планирования проверки используется для следующих целей:
– более точного определения целей проверки и идентификации существенных областей для включения в объем проверки;
– разработки аудиторских процедур и определения их содержания (характера, времени осуществления и объема).
В рамках оценки рисков объекта аудита используются результаты оценки рисков исполнительными органами компании, относящиеся к проверяемому объекту (в том числе, полученные в рамках годового планирования деятельности внутреннего аудита). При использовании результатов такой оценки рекомендуется проанализировать возможность полагаться и использовать такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых руководством для мониторинга и отчетности по рискам и проч.).
Если полученной от исполнительных органов информации о рисках недостаточно/информация не предоставлена – рекомендуется осуществлять анализ рисков для целей внутреннего аудита самостоятельно.
При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.
Для более точного определения объема работ по проверке осуществляется анализ контрольных процедур объекта аудита, в т. ч.:
– оценивается степень покрытия всех выявленных рисков объекта аудита существующими контрольными процедурами;
– оценивается эффективность дизайна контрольных процедур.
При проведении внеплановой проверки детальный анализ контрольных процедур объекта аудита может осуществляться в ходе ее выполнения.
Объем и содержание проверки
Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур. В объем и содержание проверки как минимум включаются:
– критичные риски объекта аудита, не покрытые контрольными процедурами;
– ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
– операции/виды деятельности, контрольные процедуры, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).
Если объем и содержание проверки охватывают некоторые, но не все ключевые контрольные процедуры (при этом контрольные процедуры также не включены в другие проверки), соответствующие ограничения отражаются в аудиторской документации.
В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур (в том числе алгоритм выполнения аудиторских процедур, метод выборки), которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур (аналитические процедуры и процедуры тестирования).
При разработке аудиторских процедур определяется объем выборки и метод ее формирования В ходе проведения проверки объем выборки может быть уточнен.
Объем трудовых ресурсов, необходимый для достижения целей проверки, определяется исходя из характера и степени сложности каждой проверки, ограничений по срокам и доступных ресурсов.
Проведение проверки
В рамках данного этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки.
Проведение проверки осуществляется в соответствии с утвержденной программой проверки. В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.
Наблюдения по итогам проверки
В ходе выполнения аудиторских процедур формируются наблюдения путем сопоставления текущего состояния объекта аудита («как есть») в части процедур внутреннего контроля и мероприятий по управлению рисками с ожидаемым (целевым) состоянием («как должно быть») с учетом установленных критериев:
– сопоставляются текущее и целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками;
– определяются расхождения целевого и текущего состояния;
– формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками (недостатки);
– выявляются недостатки и нарушения, допущенные в ходе осуществления деятельности объекта аудита.
Рабочая группа проверяет на предмет актуальности и эффективности установленные критерии, которые определяют целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками.
Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств. К аудиторским доказательствам могут относиться:
– копии подтверждающих документов, в том числе первичные учетные документы, электронная переписка, договоры, протоколы встреч, расчеты/сверки;
– выгрузки из ИТ-систем;
– протоколы рабочих встреч, письменные разъяснения и объяснения;
– документация, сформированная в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров и т. п.);
– прочие документы/информация.
Выводы (заключения) и рекомендации по итогам проверки
На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств. В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами.
Выводы могут касаться задания проверки в целом или его отдельных аспектов. Выводы могут включать, но не ограничиваться, указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам компании, достигаются ли цели и задачи компании и функционирует ли проверяемый объект так, как запланировано.
Заключение (мнение) рабочей группы может включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно:
– эффективности дизайна ключевых контрольных процедур;
– эффективности выполнения ключевых контрольных процедур (операционной эффективности контрольных процедур);
– эффективности управления критичными рисками объекта аудита; эффективности СУР и СВК объекта аудита.
На основе проведенных наблюдений и выводов формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита. Рекомендации могут быть направлены на принятие мер для корректировки существующих условий или совершенствования деятельности и могут предлагать подходы к изменению или улучшению деятельности в качестве руководства для исполнительных органов по достижению желаемых результатов.
Рекомендации могут быть общими или конкретными. Например, в некоторых случаях могут быть предложены рекомендации общего характера, в других – конкретные меры по совершенствованию. В некоторых случаях исполнительным органам компании может быть предложено проведение дополнительного расследования (например, в случае выявления индикаторов недобросовестных/противоправных действий работников и третьих лиц).
Контроль над выполнением проверки
Для достижения поставленных целей, обеспечения качества работы и повышения квалификации внутренних аудиторов осуществляется контроль над выполнением проверки. Требуемая степень контроля зависит от уровня профессионализма и опыта участников рабочей группы, а также сложности проверки.
Контроль начинается на этапе планирования и продолжается в процессе выполнения проверки. К процедурам контроля относятся:
– обеспечение наличия у участников рабочей группы необходимых знаний, навыков и других компетенций, необходимых для выполнения проверки;
– предоставление необходимых инструкций в процессе планирования и утверждения программы проверки;
– обеспечение выполнения утвержденной программы проверки;
– определение того, поддерживают (подтверждают) ли аудиторские рабочие документы наблюдения, выводы и рекомендации по проверке;
– обеспечение точности, объективности, ясности, краткости, конструктивности и своевременности передачи информации, относящейся к проверке;
– обеспечение достижения целей проверки;
– предоставление возможностей для развития знаний, навыков и других компетенций внутренних аудиторов.
Руководитель внутреннего аудита несет общую ответственность за осуществление контроля над выполнением проверки, но может поручить/делегировать соответствующие функции другим внутренним аудиторам, обладающим надлежащим опытом работы во внутреннем аудите.
Все рабочие документы, относящиеся к проверке, проверяются в установленном порядке, чтобы убедиться в том, что они подтверждают информацию по проверке, и что необходимые аудиторские процедуры выполнены (способы доказательств осуществления контроля определяются внутренними документами компании, определяющими порядок документирования результатов работы внутреннего аудита, и могут включать заполнение проверочной таблицы (чек-листа) по комплекту аудиторской рабочей документации, подготовку отчета, описывающего характер, объем, содержание и результаты проверки, или оценку и проведение проверок с помощью программного обеспечения для подготовки рабочей документации).
Свидетельства осуществления контроля документируются и хранятся в установленном в компании порядке.
Внутренние аудиторы, проводящие проверку («проверяющие»), могут записывать вопросы (замечания по проверке), возникающие в процессе её проведения. При разборе вопросов (замечаний) по проверке необходимо позаботиться о том, чтобы обеспечить представление в документах, относящихся к проверке, адекватных доказательств существования вопросов (замечаний), возникших в процессе проверки.
Альтернативными способами работы с замечаниями по проверке являются:
– хранение замечаний по проверке в виде перечня вопросов, поднятых проверяющим, действий, предпринятых для их решения, и результатов этих действий;
– удаление замечания по проверке после решения возникших вопросов и замена соответствующими документами, относящимися к заданию, предоставляющими требуемую информацию.
Формирование рабочей документации по проверке
В ходе выполнения проверки участники группы проверки формируют рабочую документацию. Рабочая документация включает все аспекты процесса выполнения проверки – от планирования до предоставления отчета по результатам проверки.
Документирование информации необходимо в целях обоснования выводов и результатов проверки, документального подтверждения достижения целей проверки, подтверждения точности и полноты выполненных работ, обеспечения условий для реализации контроля за качеством работы внутреннего аудита.
Руководитель внутреннего аудита разрабатывает правила хранения, получения и передачи внешним и внутренним заинтересованным сторонам документов, относящихся к проверке, руководствуясь требованиями внутренних организационно-распорядительных документов (в том числе, документов компании, устанавливающих порядок работы с конфиденциальной информацией) и требований законодательства.
Руководитель внутреннего аудита осуществляет контроль за доступом к документам, относящимся к проверке. Передача любых документов внешней стороне осуществляется в соответствии с установленными в компании процедурами и правилами.
Если в ходе проверки используется конфиденциальная информация (информация, составляющая коммерческую тайну, персональные данные работников и/или иная информация, отнесенная к категории конфиденциальной), участники рабочей группы руководствуются требованиями установленных правил хранения, получения и передачи документов.
Подготовка отчета по результатам проведения проверки
По завершению проверки рабочая группа подготавливает итоговый отчет.
Формат и содержание отчета определяются компанией самостоятельно. Рекомендуется включать в отчет, как минимум, следующие разделы:
– цели проверки – в этот раздел включаются цели, указанные в программе проверки;
– объем и содержание – в этом разделе указываются бизнес-процессы/проекты операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительная информация, определяющая границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);
– результаты проверки – в этот раздел включаются наблюдения (включая выявленные недостатки), выводы (заключения) и рекомендации.
В отчет может включаться информация об улучшениях, сделанных объектом аудита с момента выполнения предыдущей проверки. Данная информация может быть использована для [лучшего] понимания текущего состояния деятельности объекта аудита и обоснования результатов проведения проверки.
В ходе проверки рабочая группа может подготавливать промежуточные отчеты в целях информирования уполномоченных лиц о фактах, требующих незамедлительных действий (внимания), изменениях объема и содержания проверки, ходе выполнения проверки, если проверка выполняется длительное время. Использование промежуточных отчетов не уменьшает и не отменяет необходимости подготовки и предоставления итогового отчета.
До выпуска итогового отчета, рабочая группа обсуждает с уполномоченными представителями объекта аудита результаты проверки. Подобное обсуждение может осуществляться в процессе проверки, на заключительных (итоговых) совещаниях и/или в форме предоставления проекта итогового отчета на рассмотрение уполномоченным представителям объекта аудита.
В итоговый отчет может включаться мнение уполномоченных представителей объекта аудита о результатах проверки. В случае несогласия представителей объекта аудита с результатами проверки, в отчете документируются причины несогласия.
Итоговый отчет подписывается руководителем рабочей группы (или другим уполномоченным внутренним аудитором). Руководитель внутреннего аудита направляет подписанный итоговый отчет руководителю объекта аудита и тем работникам, руководителям, другим уполномоченным лицам компании, которые могут обеспечить должное рассмотрение результатов проверки и принять корректирующие меры.
Если это предусмотрено положением о внутреннем аудите (или иным нормативным документом, регламентирующим деятельность внутреннего аудита), руководитель внутреннего аудита может направлять отчет другим заинтересованным сторонам. При этом руководитель внутреннего аудита, прежде чем передать итоговый отчет заинтересованным сторонам, должен:
– оценить возможные риски для компании;
– при необходимости проконсультироваться в установленном порядке с исполнительными органами и/или юридическим подразделением;
– контролировать распространение информации, устанавливая ограничения на ее использование.
Если в отчете, после его предоставления кругу заинтересованных лиц, будут выявлены существенные ошибки и упущения, руководитель внутреннего аудита оперативно доводит исправленную информацию до сведения всех лиц, получивших итоговый отчет.
По итогам проверки на основании выявленных недостатков и подготовленных внутренним аудитом рекомендаций руководитель объекта аудита разрабатывает и согласовывает с руководителем проверки план мероприятий по результатам проверки (совокупность действий менеджмента, направленных на совершенствование деятельности компании путем устранения выявленных недостатков, реализации рекомендаций внутреннего аудита и совершенствования системы управления рисками и внутреннего контроля).
План мероприятий утверждается руководителем объекта аудита или иным уполномоченным органом.
Руководитель объекта аудита может принять аргументированное решение не предпринимать действий в отношении какого-либо из выявленных недостатков. В этом случае руководитель объекта аудита должен довести аргументы в пользу решения о непринятии мер до руководителя проверки и руководителя внутреннего аудита.
Руководитель внутреннего аудита рассматривает план мероприятий и аргументы менеджмента (руководителя объекта аудита) о непринятии мер. В случае если, по мнению внутреннего аудита, менеджмент компании принимает недопустимый для компании риск, руководитель внутреннего аудита должен своевременно сообщить об этом исполнительным органам компании, и, при необходимости, совету директоров (комитету по аудиту).
Руководители объектов аудита обеспечивают своевременное и надлежащее выполнение согласованных планов мероприятий, разработанных по результатам проверок.
Мониторинг выполнения плана мероприятий, разработанного по результатам проверки
Руководитель внутреннего аудита разрабатывает систему мониторинга выполнения планов мероприятий, разработанных по результатам проверок, с целью подтверждения адекватности, эффективности и своевременности действий, предпринятых руководителями объектов аудита с целью устранения недостатков, реализации рекомендаций и совершенствования системы внутреннего контроля компании.
Мониторинг выполнения планов мероприятий включает, но не ограничивается следующими процедурами:
– получение и анализ информации, полученной от руководителей объектов аудита о результатах выполнения планов мероприятий;
– проведение последующего мониторинга с целью подтверждения эффективности действий руководителей объектов аудита в части устранения выявленных недостатков и совершенствования СВК;
– подготовка отчетности для единоличного исполнительного органа (или другого лица, в административном подчинении у которого находится внутренний аудит) и совета директоров (комитета по аудиту) о результатах мониторинга выполнения планов мероприятий.
При определении характера, сроков и объема процедур мониторинга учитываются следующие факторы:
– степень значимости недостатков и нарушений, выявленных во время проверки;
– уровень усилий и затрат, необходимых для устранения выявленных недостатков и нарушений;
– возможные последствия, которые могут стать результатом того, что корректирующие мероприятия не будут выполнены;
– сложность мероприятий;
– период времени, необходимый для внедрения мероприятий.
Данный текст является ознакомительным фрагментом.