Основная, на мой взгляд, новизна новых стандартов – появление под каждым стандартом раздела «Примеры подтверждения соответствия». Лично мое мнение – данное изменение сделано в интересах консультантов, которые будут подтверждать соответствие, то есть проводить внешнюю оценку. Если раньше подтверждение, в целом, основывалось на профессиональном суждении и получить оценку соответствия можно было с минимальным количеством документов, то теперь у подтверждающих появилась дополнительная возможность «выписать несоответствие», если какой-либо документ будет отсутствовать. Ну и заодно продать услуги по разработке.

Конечно, кто-то скажет, что это подтверждение нужно и самому руководителю внутреннего аудита. Однако не всем руководителям хочется потратить месяц-другой для написания объемных трудов, которые осилит редкий подчиненный. Еще один аргумент в пользу моей гипотезы – если к предыдущим стандартам все уже привыкли и подтверждение соответствия им могло проходить даже в виде самооценки с независимым подтверждением, то теперь вряд ли кто-то рискнет попытаться пройти внешнюю оценку даже в один этап. Лично я бы не рискнул, особенно в первый год действия новых Стандартов. То есть выручка по направлению «услуги в области внутреннего аудита» благодаря принятию стандартов у консультантов увеличится в пару раз (а то и больше).

Поэтому требования примеров я буду рассматривать именно с точки зрения прохождения внешней оценки функции внутреннего аудита на соответствие стандартам максимально недружественным оценщиком. Под максимально недружественным оценщиком я буду понимать менеджера проекта от внешнего консультанта, которому очень не хочется слушать, думать и оценивать, поэтому он может начать докапываться как к мужику, который кидал уголь (в особенности отмечу апдейт 2021 года внизу страницы). Личный опыт говорит, что готовиться нужно именно к этому, а лучшей практикой в ближайшие пару лет объявят гору малопригодной в жизни консультационной макулатуры.

Для подготовки к потенциальной проверке из итоговой версии стандартов были скопированы в файл Excel все возможные подтверждающие документы. Затем они были классифицированы на усмотрение автора. Если предложенная классификация Вам чем-то не понравится – можете ее удалить и сделать свою. Разделил все написанное на несколько частей:

  • Часть 1. Документы по организации внутреннего аудита:
    • документы внутреннего аудита;
    • требования по обучению;
    • в отдельную классификацию выделил то, с чем необходимо ознакомить сотрудников.
  • Часть 2. Регулярно исполняемые функции внутреннего аудита:
    • формирование плана работы;
    • проведение проверок;
    • обеспечение качества.
  • Часть 3. Всё, что связано со взаимоотношениями (СД, высший менеджмент, заинтересованные стороны) и раскрытием информации.

Достаточно приличную часть требуемых документов (почти 15%) я не смог классифицировать. Не хватает то ли опыта, то ли фантазии. Глумиться не буду, поэтому давайте считать понимание 85% документов уже хорошим результатом. Примеры таких документов (полностью – в файле Excel):

  • План работы внутреннего аудита, программа или рабочая документация аудиторского задания, показывающие, что цели, риски и механизмы контроля в области этики были учтены (Стандарт 1.2 Ожидания организации в вопросах этики, буллит №3). С одной стороны, в каждой программе проверки можно сделать столбец «Учет вопросов этики» и ставить плюсики по умолчанию, но зачем?
  • Интернет-сайты или веб-страницы, информационные бюллетени, презентации и другие средства, с помощью которых функция внутреннего аудита осуществляет коммуникацию с заинтересованными сторонами организации (Стандарт 11.1 Выстраивание отношений и коммуникация с заинтересованными сторонами, буллит №4). Отчет в виде презентации подготовить можно. Но он только на предпоследнем месте (перед «другими средствами»), не факт, что вообще примут как подтверждение;
  • Подтверждение понимания матрица рисков и контролей организации (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №8). Нужна расписка о том, что «Я, Макеев Р.В., заместитель руководителя СВКА ООО «УК «***», подтверждаю понимание матрицы рисков и контролей организации»? Или что-то другое?

Отмечу, что в этих статьях не будет сомнений в предлагаемой структуре стандартов (например, а почему бы не объединить стандарты 3.1. «Компетентность» и 10.2 «Управление кадровыми ресурсами»), фундаментального анализа необходимости каких-либо подтверждений (например, нужна ли вообще «Документированная обратная связь от руководства объекта аудита (полученная, например, посредством опросов)» и нужно ли интерпретировать как эффективные коммуникации положительные оценки), попытки разделить пример подтверждения на несколько (см. буллит 1 к стандарту 13.2), критики перевода (но схему обеспечения уверенности буду всё-таки называть картой гарантий) etc.

Часть 1. 

Часть 2. 

Часть 3. 

Прочитать мнение о стандартах

Прочитать мнение о рекомендациях

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.