Основная, на мой взгляд, новизна новых стандартов – появление под каждым стандартом раздела «Примеры подтверждения соответствия». Лично мое мнение – данное изменение сделано в интересах консультантов, которые будут подтверждать соответствие, то есть проводить внешнюю оценку. Если раньше подтверждение, в целом, основывалось на профессиональном суждении и получить оценку соответствия можно было с минимальным количеством документов, то теперь у подтверждающих появилась дополнительная возможность «выписать несоответствие», если какой-либо документ будет отсутствовать. Ну и заодно продать услуги по разработке.
Конечно, кто-то скажет, что это подтверждение нужно и самому руководителю внутреннего аудита. Однако не всем руководителям хочется потратить месяц-другой для написания объемных трудов, которые осилит редкий подчиненный. Еще один аргумент в пользу моей гипотезы – если к предыдущим стандартам все уже привыкли и подтверждение соответствия им могло проходить даже в виде самооценки с независимым подтверждением, то теперь вряд ли кто-то рискнет попытаться пройти внешнюю оценку даже в один этап. Лично я бы не рискнул, особенно в первый год действия новых Стандартов. То есть выручка по направлению «услуги в области внутреннего аудита» благодаря принятию стандартов у консультантов увеличится в пару раз (а то и больше).
Поэтому требования примеров я буду рассматривать именно с точки зрения прохождения внешней оценки функции внутреннего аудита на соответствие стандартам максимально недружественным оценщиком. Под максимально недружественным оценщиком я буду понимать менеджера проекта от внешнего консультанта, которому очень не хочется слушать, думать и оценивать, поэтому он может начать докапываться как к мужику, который кидал уголь (в особенности отмечу апдейт 2021 года внизу страницы). Личный опыт говорит, что готовиться нужно именно к этому, а лучшей практикой в ближайшие пару лет объявят гору малопригодной в жизни консультационной макулатуры.
Для подготовки к потенциальной проверке из итоговой версии стандартов были скопированы в файл Excel все возможные подтверждающие документы. Затем они были классифицированы на усмотрение автора. Если предложенная классификация Вам чем-то не понравится – можете ее удалить и сделать свою. Разделил все написанное на несколько частей:
- Часть 1. Документы по организации внутреннего аудита:
- документы внутреннего аудита;
- требования по обучению;
- в отдельную классификацию выделил то, с чем необходимо ознакомить сотрудников.
- Часть 2. Регулярно исполняемые функции внутреннего аудита:
- формирование плана работы;
- проведение проверок;
- обеспечение качества.
- Часть 3. Всё, что связано со взаимоотношениями (СД, высший менеджмент, заинтересованные стороны) и раскрытием информации.
Достаточно приличную часть требуемых документов (почти 15%) я не смог классифицировать. Не хватает то ли опыта, то ли фантазии. Глумиться не буду, поэтому давайте считать понимание 85% документов уже хорошим результатом. Примеры таких документов (полностью – в файле Excel):
- План работы внутреннего аудита, программа или рабочая документация аудиторского задания, показывающие, что цели, риски и механизмы контроля в области этики были учтены (Стандарт 1.2 Ожидания организации в вопросах этики, буллит №3). С одной стороны, в каждой программе проверки можно сделать столбец «Учет вопросов этики» и ставить плюсики по умолчанию, но зачем?
- Интернет-сайты или веб-страницы, информационные бюллетени, презентации и другие средства, с помощью которых функция внутреннего аудита осуществляет коммуникацию с заинтересованными сторонами организации (Стандарт 11.1 Выстраивание отношений и коммуникация с заинтересованными сторонами, буллит №4). Отчет в виде презентации подготовить можно. Но он только на предпоследнем месте (перед «другими средствами»), не факт, что вообще примут как подтверждение;
- Подтверждение понимания матрица рисков и контролей организации (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №8). Нужна расписка о том, что «Я, Макеев Р.В., заместитель руководителя СВКА ООО «УК «***», подтверждаю понимание матрицы рисков и контролей организации»? Или что-то другое?
Отмечу, что в этих статьях не будет сомнений в предлагаемой структуре стандартов (например, а почему бы не объединить стандарты 3.1. «Компетентность» и 10.2 «Управление кадровыми ресурсами»), фундаментального анализа необходимости каких-либо подтверждений (например, нужна ли вообще «Документированная обратная связь от руководства объекта аудита (полученная, например, посредством опросов)» и нужно ли интерпретировать как эффективные коммуникации положительные оценки), попытки разделить пример подтверждения на несколько (см. буллит 1 к стандарту 13.2), критики перевода (но схему обеспечения уверенности буду всё-таки называть картой гарантий) etc.