Ссылка на исходный файл в Excel.
Документы внутреннего аудита.
Документов внутреннего аудита должно быть много. Ниже моя классификация для того, чтобы ничего не забыть.
- Стратегия с обоснованием.
Примеры подтверждения:
- Документально оформленная стратегия внутреннего аудита, включающая видение, стратегические цели и соответствующие инициативы (Стандарт 9.2 Стратегия внутреннего аудита, буллит №1).
- Рабочие записи, содержащие сведения и результаты анализа, которые легли в основу стратегии (Стандарт 9.2 Стратегия внутреннего аудита, буллит №3).
- Методология внутреннего аудита по разработке и пересмотру стратегии внутреннего аудита и мониторингу ее реализации (Стандарт 9.2 Стратегия внутреннего аудита, буллит №4).
- Разделы стратегии внутреннего аудита, описывающие имеющиеся и планируемые мероприятия по применению технологических решений для достижения целей функции внутреннего аудита (Стандарт 10.3 Технологические ресурсы, буллит №1).
Как видно даже из анализа возможных примеров подтверждающих документов, у внутреннего аудита должна быть разработана стратегия. Однако примеры этим не исчерпываются, потому что должна быть еще и методология по разработке и пересмотру стратегии (!). Не отнес это к классификации «Непонятное», потому что видно, что основная идея – SWOT-анализ, так что документ написать можно. Примеры подтверждения также говорят нам о том, что разработку стратегии нужно задокументировать, а также включить в нее раздел с развитием технологических решений (то бишь, каким-то образом автоматизировать процессы внутреннего аудита в далеком будущем и закупить измерительные приборы).
- Положение о ВА.
В этом разделе собраны все ссылки на положение о внутреннем аудите. Примеры подтверждения:
- Ссылки в Положении о внутреннем аудите на обязанность внутренних аудиторов сохранять объективность (Стандарт 2.1 Индивидуальная объективность, буллит №1).
- Документация, содержащая ссылки на официальные требования, которых придерживается функция внутреннего аудита в дополнение к Стандартам (Стандарт 4.1 Соответствие Международным стандартам внутреннего аудита, буллит №4).
- Принятое Положение о внутреннем аудите и дата принятия решения (Стандарт 6.2 Положение о внутреннем аудите, буллит №2).
- Положение о внутреннем аудите, в котором зафиксированы отношения подотчетности функции внутреннего аудита (Стандарт 7.1 Организационная независимость, буллит №1).
- Положение о внутреннем аудите, в котором зафиксировано одобрение Советом долгосрочных ролей и обязанностей, не связанных с аудитом, и соответствующие защитные меры для сохранения независимости, включая предполагаемую продолжительность выполнения этих ролей, обязанностей и действия защитных мер, а также порядок проведения периодической оценки эффективности данных мер (Стандарт 7.1 Организационная независимость, буллит №4).
Чтобы соответствовать приведенным примерам, с высокой вероятностью положение о внутреннем аудите нужно будет пересмотреть почти всем. Причина – необходимо выделить отдельным пунктом, что внутренние аудиторы должны сохранять объективность (требования о соответствии Стандартам в целом теперь, как понимаю, теперь недостаточны). Дополнительная проблема – заключительный буллит из приведенных. Теперь, если что-то дополнительно возложено на внутренний аудит, нужно прописать еще кучу странных требований. Поэтому, на мой взгляд, всё дополнительное из положения лучше вообще будет убрать.
- Политики и процедуры.
Примеры подтверждения:
- Политика и процедуры, относящиеся к вопросу обеспечения объективности (Стандарт 2.1 Индивидуальная объективность, буллит №2).
- Политика и процедуры по выявлению факторов, потенциально оказывающих отрицательное воздействие на объективность, и принятию необходимых защитных мер (Стандарт 2.2 Сохранение объективности, буллит №1).
- Документация по соответствующим процедурам и политике, учебным мероприятиям, связанным с надлежащим использованием информации (Стандарт 5.1 Использование информации, буллит №2).
- Документация, касающаяся ограничений на распространение рабочей документации и итогового сообщения о результатах (Стандарт 5.2 Защита информации, буллит №5).
- Документально оформленная процедура, которой необходимо следовать в случае выявления или возникновения опасения в наличии отрицательного воздействия на независимость (Стандарт 7.1 Организационная независимость, буллит №5).
- Документированные критерии, по которым определяются вопросы, подлежащих передаче на рассмотрение Совету, и процедура направления таких вопросов Совету или передачи их для рассмотрения на уровне Совета (Стандарт 8.1 Взаимодействие с Советом, буллит №4).
- Политики и процедуры в области информационной безопасности, управления документооборотом и другие политики и процедуры, связанные с использованием технологических ресурсов функцией внутреннего аудита (Стандарт 10.3 Технологические ресурсы, буллит №5).
К политикам и процедурам я отнес 7 документов. По Стандарту 5.1, который мне показался наиболее странным – судя по всему, к политикам и процедурам нужно отнести буллит №1, «Эффективно разработанные и функционирующие средства контроля доступа к информации и ее использования», который я в своей классификации отнес к непонятным, потому что средство – это все-таки не документ. Но ссылка на такие процедуры и политики все-таки есть в виде буллита №2.
- Методология.
Чем методология отличается от политик и процедур в моей интерпретации – только ключевыми словами. В представленных ниже примерах подтверждения встречается слово именно методология (за исключением стандарта 11.3, где я просто признал вопрос методологическим):
- Документально оформленная методология решения вопросов, связанных с незаконными или дискредитирующими действиями со стороны внутренних аудиторов и нарушениями законодательных или регулятивных норм со стороны отдельных лиц в организации (Стандарт 1.3 Правовые вопросы и этическое поведение, буллит №3).
- Методология внутреннего аудита в отношении раскрытия информации о факторах, которые отрицательно воздействуют на объективность (Стандарт 2.3 Раскрытие информации о факторах, оказывающих отрицательное воздействие на объективность, буллит №1).
- Методология функции внутреннего аудита с указанием времени последнего обновления (Стандарт 4.1 Соответствие Международным стандартам внутреннего аудита, буллит №1).
- Документация по программному обеспечению, в котором реализована методология (Стандарт 9.3 Методология, буллит №1).
- Примечания к методологии или руководству по внутреннему аудиту со ссылками на стандарты, к которым относится содержание (Стандарт 9.3 Методология, буллит №4).
- Документация по актуализации методологии (Стандарт 9.3 Методология, буллит №5).
- Соответствующие концепции управления рисками или контроля или другие критерии, используемые в качестве основы для общего заключения (Стандарт 11.3 Информирование о результатах, буллит №4).
- Методология внутреннего аудита по вопросу устранению ошибок и упущений (Стандарт 11.4 Ошибки и упущения, буллит №1).
- Соответствующие шаблоны, руководства и методология внутреннего аудита (Стандарт 14.3 Оценка наблюдений, буллит №4).
Самый главный документ здесь, обязательность которого раньше могла быть поставлена под сомнение – методология внутреннего аудита. Наполнение всех этих методологий в целом понятно после прочтения стандартов. Понятное дело, что теперь нужна не просто методология, но и примечания к методологии, и документация по актуализации методологии, а также отдельные методологии по этике, программному обеспечению и устранению ошибок и упущений. Отдельный методологический вопрос, который также касается политик и процедур – можно ли эти документы объединять, или же всё-таки журнал учета лопат и журнал выдачи лопат – это разные журналы. Заслуживает всестороннего анализа и многочасового обсуждения лучших умов.
- Регалии.
Примеры подтверждения:
- Документация, в которой перечислены сертификаты, образование, опыт, послужной список и другие сведения о квалификации внутренних аудиторов (Стандарт 3.1 Компетентность, буллит №1).
- Документы, подтверждающие членство в профессиональных ассоциациях (Стандарт 7.2 Квалификация руководителя внутреннего аудита, буллит №3).
- Резюме внутренних аудиторов, работающих в организации (Стандарт 10.2 Управление кадровыми ресурсами, буллит №3).
- Имена внутренних аудиторов — обладателей сертификатов и квалификаций, относящихся к технологиям (Стандарт 10.3 Технологические ресурсы, буллит №4).
Тут важно не перепутать: для стандарта 3.1 Компетентность нужна справка, для 10.2 Управление кадровыми ресурсами – резюме каждого аудитора, а документы, подтверждающие членство в профессиональных ассоциациях, нужны только для руководителя внутреннего аудита, остальным верят на слово.
- Карта гарантий.
Я к документам по карте гарантий отнес примеры, (1) непосредственно содержащие что-то похожее на карты гарантий:
- Документация, такая как схема (карта) обеспечения уверенности, в которой указаны компетенции других поставщиков услуг по обеспечению уверенности и консультационных услуг, на которых может полагаться функция внутреннего аудита (Стандарт 3.1 Компетентность, буллит №8).
- Документация по услугам, предоставляемым другими внутренними или внешними поставщиками, в качестве защитной меры для сохранения независимости (Стандарт 7.1 Организационная независимость, буллит №7).
- Карты сторон, обеспечивающих уверенность, и (или) планы по совместному обеспечению уверенности, в которых указано, какой поставщик отвечает за услуги по обеспечению уверенности в каждой области (Стандарт 9.5 Координирование деятельности с другими сторонами, обеспечивающими уверенность, и возможность полагаться на результаты их работы, буллит №2).
и (2) договоры с внешними поставщиками услуг:
- Договоры с внешним поставщиком услуг и резюме предоставленных ими внутренних аудиторов (Стандарт 10.2 Управление кадровыми ресурсами, буллит №5).
- Договоры и (или) договоренности с внешними поставщиками услуг (Стандарт 13.5 Ресурсы для выполнения аудиторского задания, буллит №4).
Всё достаточно понятно, единственная рекомендация – договоры и переписку сразу сохраняйте при привлечении подрядчиков, чтобы не искать.
- Прочее.
Оставшиеся примеры подтверждения оставил без классификации:
Пример подтверждения |
Комментарий автора |
---|---|
Схема вознаграждения (Стандарт 2.2 Сохранение объективности, буллит №6). |
Предлагаю под схемой вознаграждения (в предварительном переводе называлось планом вознаграждения) понимать положение о премировании сотрудников внутреннего аудита. |
Документально оформленный список лиц, которым был направлен план работы внутреннего аудита (Стандарт 9.4 План внутреннего аудита, буллит №5). |
Вот это интересно, однако. Еще бывает так, что этот список лиц дополняется в ходе исполнения плана, то есть его необходимо еще и поддерживать. |
Должностные инструкции (Стандарт 10.2 Управление кадровыми ресурсами, буллит №2). |
|
Документированный план управления взаимоотношениями функции внутреннего аудита с заинтересованными сторонами (Стандарт 11.1 Выстраивание отношений и коммуникация с заинтересованными сторонами, буллит №1). |
Интересный план, однако. Никогда не видел, но можно, например, написать про встречи с генеральными директорами раз в квартал… |
Руководства по стилевому оформлению, шаблоны документов и прочая документально оформленная методология для обеспечения эффективной коммуникации (Стандарт 11.2 Эффективная коммуникация, буллит №1). |
Думаю, что бренд-бук действительно нужен. Потому что отвратительно смотрится, когда отчет о 100+ страницах написан даже разным размером шрифта. Я бы сделал в электронной форме (заголовки, основной текст) и описал порядок наиболее часто встречающихся различий (таблицы, нумерация и буллиты, сокращения типа г.). |
Обучение.
В этом разделе предлагаемой мной классификации получилось достаточно интересно: часть примеров подтверждения требует только предоставить планы, часть – только отчетность, а часть – и планы, и отчетность. Поэтому классификация (а требований по обучению я насчитал 21) для упрощения понимания и содержит такие подразделы.
Примеры подтверждения (только планирование):
- План обучения, предусматривающий проведение обучения по вопросам этики (Стандарт 1.1 Честность и профессиональная смелость, буллит №1).
- Самооценки компетенций и планы профессионального развития внутренних аудиторов (Стандарт 3.1 Компетентность, буллит №2).
- Документально оформленные планы участия в учебных мероприятиях, профессиональных конференциях и других видах непрерывного профессионального образования (Стандарт 3.2 Непрерывное профессиональное развитие, буллит №1).
- Оценка качества работы и (или) планы профессионального развития внутренних аудиторов (Стандарт 3.2 Непрерывное профессиональное развитие, буллит №3).
- Документально оформленный анализ разрывов между компетенциями персонала внутреннего аудита и требующимися компетенциями (Стандарт 10.2 Управление кадровыми ресурсами, буллит №1).
Примеры подтверждения (планирование и отчетность):
- Документация о планируемых и проведенных обучающих мероприятиях по вопросу объективности, включая список участников (Стандарт 2.1 Индивидуальная объективность, буллит №3).
- Документация о запланированном и проведенном обучении по соответствующим вопросам, включая список участников (Стандарт 4.3 Профессиональный скептицизм, буллит №1).
- Планы профессионального развития руководителя внутреннего аудита и доказательства их выполнения (Стандарт 7.2 Квалификация руководителя внутреннего аудита, буллит №2).
- Повестки дня и протоколы встреч, электронные письма, подписанные подтверждения, планы-графики проведения обучения или аналогичная документация, подтверждающая ознакомление персонала внутреннего аудита с методологией внутреннего аудита (Стандарт 9.3 Методология, буллит №2).
Примеры подтверждения (только отчетность):
- Документы, подтверждающие участие внутренних аудиторов в обучении по вопросам этики (Стандарт 1.1 Честность и профессиональная смелость, буллит №2).
- Документация по участию внутренних аудиторов в семинарах, учебных мероприятиях или встречах, на которых обсуждались ожидания и проблемные вопросы в области этики (Стандарт 1.2 Ожидания организации в вопросах этики, буллит №1).
- Документация по участию внутренних аудиторов в обучении по вопросам соблюдения законодательных и нормативных требований, этического и профессионального поведения (Стандарт 1.3 Правовые вопросы и этическое поведение, буллит №1).
- Документация по обучению по теме объективности (Стандарт 2.2 Сохранение объективности, буллит №2).
- Документация по прохождению внутренними аудиторами непрерывного профессионального образования, такого как образовательные курсы, конференции, тренинги и семинары (Стандарт 3.1 Компетентность, буллит №3).
- Документация о пройденном внутренними аудиторами непрерывном профессиональном обучении и полученных свидетельствах (Стандарт 3.2 Непрерывное профессиональное развитие, буллит №2).
- Доказательства активного участия в деятельности Международного института внутренних аудиторов и других соответствующих профессиональных организаций (например, волонтерское участие) (Стандарт 3.2 Непрерывное профессиональное развитие, буллит №4).
- Рабочие записи со встреч, тренингов или других обсуждений, касающихся вопроса должной профессиональной осмотрительности (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №7).
- Документация по обучению по теме использования информации (Стандарт 5.1 Использование информации, буллит №4).
- Документация по посещению обучения по вопросам защиты информации (Стандарт 5.2 Защита информации, буллит №3).
- Документально оформленные планы обучения и подтверждение прохождения обучения (Стандарт 10.2 Управление кадровыми ресурсами, буллит №4).
- Записи об участии в обучении или встречах по вопросам навыков эффективной коммуникации (Стандарт 11.2 Эффективная коммуникация, буллит №2).
Заметьте, что требования к обучению содержатся аж в 15 разных стандартах. При этом если на написании стандарта 1.1 для обучения по вопросам этики еще разделяли необходимость отдельного плана и отдельной отчетности, то уже на стандарте 2.1 для обучения по вопросам объективности разделение пропало. Также, когда рядом поставишь, весело смотрится «Документация по прохождению внутренними аудиторами непрерывного профессионального образования» и «Документация о пройденном внутренними аудиторами непрерывном профессиональном обучении» как разные документы.
Если серьезно – требования к документированию обучения реально возросли. Темы важные, темы нужные. Однако личный опыт показывает, что обучаемые люди уже владеют всем необходимым, а необучаемым любое образование добавляет только каши в голове. В общем, поводов для размышления у руководителей внутреннего аудита, на мой взгляд, прибавилось.
Документы, с которыми необходимо ознакомить сотрудников.
Ну и по итогам обучений необходимо, чтобы сотрудники расписались. Расписываться нужно не за всё, примеры подтверждения из стандартов:
- Подписанные внутренними аудиторами формы, подтверждающие понимание и приверженность соблюдению политики и процедур организации в области этики (Стандарт 1.2 Ожидания организации в вопросах этики, буллит №2).
- Подтверждение внутренними аудиторами понимания и приверженности поведению, соответствующему правовым и профессиональным ожиданиям (Стандарт 1.3 Правовые вопросы и этическое поведение, буллит №2).
- Аттестационные формы, подтверждающие понимание внутренними аудиторами важности вопроса обеспечения объективности и принятие на себя обязательства по раскрытию информации о любых факторах, потенциально оказывающих отрицательное воздействие на объективность (Стандарт 2.1 Индивидуальная объективность, буллит №4).
- Документальное раскрытие информации о потенциальных конфликтах интересов или других факторах, отрицательно воздействующих на объективность (Стандарт 2.1 Индивидуальная объективность, буллит №5).
- Документация, подтверждающая отсутствие у внутренних аудиторов информации о факторах, отрицательно воздействующих на объективности, или раскрытие ими сведений о таковых (Стандарт 2.2 Сохранение объективности, буллит №3).
- Документация, раскрывающая сведения о наличии или подтверждающая отсутствие факторов, которые отрицательно воздействуют на объективность (Стандарт 2.3 Раскрытие информации о факторах, оказывающих отрицательное воздействие на объективность, буллит №2).
- Документация, которой внутренние аудиторы подтверждают понимание соответствующих законодательных и нормативных актов, процедур и политики (Стандарт 5.1 Использование информации, буллит №5).
- Документация, в которой содержится подтверждение внутренними аудиторами понимания соответствующих законодательных и нормативных актов, процедур и политики (Стандарт 5.2 Защита информации, буллит №4).
- Подписанные соглашения о конфиденциальности или неразглашении информации (Стандарт 5.2 Защита информации, буллит №8).
- Документация об инструктажах и обучении сотрудников внутреннего аудита в области процессов руководства организацией, управления рисками и внутреннего контроля (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №5).
Поговорку про что чище, когда больше бумаги, вспоминать не буду. Но факт остается фактом, количество бумаг возрастает. В общем, задумаешься о том, чтобы упростить процедуру путем разработки универсального штампа, как у тов. Полыхаева из «Золотого теленка».