Ссылка на исходный файл в Excel.
Формирование плана работы внутреннего аудита.
Вот что радует в этих стандартах, о необходимых вещах все-таки не забывают. Аж 2 из 18 документов, оказались (не поверите!) «Утвержденным планом работы внутреннего аудита (Стандарт 9.4 План внутреннего аудита, буллит №1)» и «Планом работы внутреннего аудита с указанием предполагаемого календарного графика выполнения заданий и выделенных ресурсов» (Стандарт 10.2 Управление кадровыми ресурсами, буллит №6). Заметьте, что второй план (который с календарным графиком и трудоемкостью) можно как бы и не утверждать. Но я бы утвердил бы соответствующим образом оба.
Но есть и другие 16 примеров подтверждения соответствия:
- Документация, содержащая информацию о соответствующих компетенциях, необходимых для выполнения плана работы внутреннего аудита, результатах анализа того, каких ресурсов не хватает, потребности в обучении и бюджете, чтобы покрыть нехватку ресурсов (Стандарт 3.1 Компетентность, буллит №7).
- Рабочие записи по планированию, в которых отражены стратегия и цели организации и объекта аудита (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №1).
- Документально оформленные оценки процессов руководства организацией, управления рисками и внутреннего контроля (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №2).
- Рабочие записи, подтверждающие проведенную оценку рисков, включая риски ошибок, несоответствия нормативно-правовым требованиям и мошенничества (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №3).
- Рабочие записи со встреч или обсуждений по вопросу потенциальных затрат и выгод от услуг внутреннего аудита, а также объема и сроков выполнения аудиторского задания (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №4).
- Ресурсные планы внутреннего аудита, подтверждающие достаточность ресурсов, необходимых для выполнения плана работы внутреннего аудита (Стандарт 8.2 Ресурсы, буллит №2).
- Бюджетные заявки на выделение средств для внутреннего аудита (Стандарт 8.2 Ресурсы, буллит №3).
- Документация по анализу различий между ресурсами, которые необходимы для выполнения плана работы внутреннего аудита и имеющимися в наличии ресурсами (Стандарт 8.2 Ресурсы, буллит №4).
- Документация по анализу затрат и выгод (Стандарт 8.2 Ресурсы, буллит №5).
- Документация по планированию руководителем внутреннего аудита ресурсного обеспечения (Стандарт 8.2 Ресурсы, буллит №6).
- Документированные запросы, сбор, анализ и изучение информации руководителем внутреннего аудита о концепциях и процессах руководства организацией, управления рисками и внутреннего контроля, используемыми в организации, включая:
- Положение о Совете и его комитетах, устанавливающие ожидания в части руководства организацией.
- Оценки нормативно-правовых и прочих требований к процессам руководства организацией, управления рисками и внутреннего контроля (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №1).
- Анализ декларации о риск-аппетите организации или коммуникации между Советом и высшим исполнительным руководством в отношении риск-аппетита и толерантности организации к риску (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №4).
- Анализ бизнес-стратегий и бизнес-планов (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №6).
- Анализ сообщений, полученных от регуляторов (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №7).
- Документально оформленная оценка и приоритизация рисков, включающая информацию, на которой основан план (Стандарт 9.4 План внутреннего аудита, буллит №2).
- Документация по сопоставлению плана работы внутреннего аудита с бюджетом, прогнозом и фактическими расходами (Стандарт 10.1 Управление финансовыми ресурсами, буллит №1).
Единственное, что лично я извлек из этого перечня – документировать в ходе планирования нужно все шаги. Представленные документы предполагают, как мне кажется, три направления:
- анализ всей стратегической документации компании (стратегия, цели, бизнес-планы, концепции, риски, …)
- анализ всей операционной документации компании (риски, контрольные процедуры, система управления, нормативные требования, сообщения от регуляторов, …)
- подготовка бюджета подразделения внутреннего аудита (компетенции, потребность в персонале и других ресурсах, расчеты на предмет хватает / не хватает, бюджетные заявки, встречи с потенциальной оценкой эффективности, внутренние оценки эффективности, …).
Подчеркну, что нужно не просто собрать перечисленные документы, нужно задокументировать, как внутренние аудиторы исходя из них спланировали свою работу на год. И отвечать на каверзные вопросы типа «какие выводы вы сделали из концепции руководства организацией?» (особенно если о таком документе до этого вопроса никто не слышал). Поэтому пожелаем себе удачи в части убеждения подтверждающих соответствие стандартам тому, что всё у нас хорошо и все аспекты учтены.
Проведение проверок.
Для подтверждающих документов по проведению проверок выделил четыре раздела: планирование, документирование и контроль (сами понимаете, что результаты самой проверки никто не будет оценивать), итоговый отчет и мониторинг.
- Планирование.
На этапе планирования есть три понятных и три менее понятных возможных примера подтверждения соответствия. К понятным отнесу следующие документы:
- Утвержденная программа аудиторского задания, показывающая использование подходящих и достаточных ресурсы (Стандарт 13.5 Ресурсы для выполнения аудиторского задания, буллит №1).
- Программа аудиторского задания, включающая процедуры сбора данных, относящихся к целям задания (Стандарт 14.1 Сбор информации для проведения анализа и оценки, буллит №1).
- Документация по планированию, содержащая анализ потребностей в ресурсах для выполнения задания и информацию о распределении ресурсов (Стандарт 13.5 Ресурсы для выполнения аудиторского задания, буллит №2).
Комментировать наличие отдельно программы и отдельно утвержденной программы не буду. Документация по планированию – это, условно, проставление рядом с каждым пунктом условной трудоемкости и инициалов исполнителя. В общем, в том или ином виде есть у всех.
Оставшиеся три документа – это рабочая документация. Переписывать полный перечень не буду, просто укажу на три ссылки:
- Стандарт 13.2 Оценка рисков в рамках аудиторского задания, буллит №1
- Стандарт 13.3 Цели и объем аудиторского задания, буллит №2;
- Стандарт 13.6 Программа задания, буллит №1.
Кое-что из этих списков делают все. Но лично я не делаю пока достаточно многого: не каждый раз собираю всю возможную макулатуру (например, не люблю анализировать должностные инструкции), не документирую интервью и обсуждения, не оцениваю существенность каждого риска и адекватность дизайна контроля, не протоколирую встречи с заинтересованными сторонами, не формирую отдельные планы дополнительного тестирования и не оформляю согласование изменений в программу. Придется учиться (если доживу до внешней оценки).
- Документирование и контроль.
Сами понимаете, что на этапе исполнения проверки внешних оценщиков будет интересовать как можно большее количество бумаг. Поэтому, как и при планировании, документируем всё. Примеры подтверждения (аж 26 штук, рекомендую не вчитываться и перейти к разделу 3:
- Подтверждение проверки рабочей документации аудиторского задания (Стандарт 1.3 Правовые вопросы и этическое поведение, буллит №5).
- Рабочие записи непосредственного руководителя в рамках контроля качества работы и в порядке наставничества (Стандарт 2.1 Индивидуальная объективность, буллит №6).
- Рабочие записи непосредственного руководителя в рамках контроля качества работы (Стандарт 2.2 Сохранение объективности, буллит №5).
- Документально оформленные результаты контроля качества выполнения аудиторских заданий, опросы заинтересованных сторон после выполнения аудиторских заданий и другие формы обратной связи, содержащие информацию о компетенциях, продемонстрированных отдельными внутренними аудиторами и функцией внутреннего аудита в целом (Стандарт 3.1 Компетентность, буллит №5).
- Рабочая документация, подтверждающая осуществление надзора за выполнением аудиторских заданий (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №5).
- Рабочая документация и коммуникация в рамках аудиторского задания, изученные и подписанные или завизированные руководителем задания (Стандарт 4.3 Профессиональный скептицизм, буллит №4).
- Протоколы встреч, на которых обсуждался вопрос надлежащего использование информации (Стандарт 5.1 Использование информации, буллит №3).
- Сравнение запланированного количества рабочего времени с фактическим после выполнения задания (Стандарт 10.2 Управление кадровыми ресурсами, буллит №8).
- Рабочая документация аудиторского задания и документальные подтверждения осуществления надзора в рамках задания (Стандарт 12.3 Надзор и повышение эффективности выполнения аудиторских заданий, буллит №1).
- Заполненные чек-листы, подтверждающие, что рабочая документация была изучены (Стандарт 12.3 Надзор и повышение эффективности выполнения аудиторских заданий, буллит №2).
- Результаты интервью и опросов, включающие в себя обратную связь об опыте взаимодействия в ходе аудиторского задания с внутренними аудиторами и другими лицами, непосредственно участвовавшими в выполнении задания (Стандарт 12.3 Надзор и повышение эффективности выполнения аудиторских заданий, буллит №3).
- Документация по обмену информацией о выполнении задания между руководителем аудиторского задания и внутренними аудиторами (Стандарт 12.3 Надзор и повышение эффективности выполнения аудиторских заданий, буллит №4).
- Документация (сообщения электронной почты, протоколы встреч, рабочие записи или пояснительные записки), подтверждающие обмен информацией в ходе выполнения аудиторского задания (Стандарт 13.1 Коммуникация в рамках аудиторского задания, буллит №1).
- Описание собранной информации с указанием ее источника, даты получения и периода, к которому она относится (Стандарт 14.1 Сбор информации для проведения анализа и оценки, буллит №2).
- Рабочая документация, отражающая результаты проведенного анализа (включая используемые программы или программное обеспечение для анализа данных, тестируемые совокупности, процессы и методы выборки) (Стандарт 14.2 Анализ и потенциальные наблюдения по результатам аудиторского задания, буллит №1).
- Рабочая документация, на которую содержатся перекрестные ссылки в программе задания и (или) итоговом сообщении о результатах (Стандарт 14.2 Анализ и потенциальные наблюдения по результатам аудиторского задания, буллит №2).
- Документация, относящаяся к итоговому сообщению о результатах задания (Стандарт 14.2 Анализ и потенциальные наблюдения по результатам аудиторского задания, буллит №3).
- Рабочая документация, содержащая пояснения к критериям, которые были использованы для оценки наблюдений (Стандарт 14.3 Оценка наблюдений, буллит №1).
- Рабочая документация, в которой содержатся критерии, текущее состояние, первопричина (при возможности), последствия (риск или потенциальное воздействие) и приоритизация каждого наблюдения (Стандарт 14.3 Оценка наблюдений, буллит №2).
- Документация, относящаяся к итоговому сообщению о результатах аудиторского задания (Стандарт 14.3 Оценка наблюдений, буллит №5).
- Рабочая документация по каждому наблюдению с указанием критерия, текущего состояния, первопричины (при возможности), последствий (риска или потенциального воздействия) и рекомендации(й) и (или) планов мероприятий (Стандарт 14.4 Рекомендации и планы действий, буллит №1).
- Документация, относящаяся к итоговому сообщению о результатах задания (Стандарт 14.4 Рекомендации и планы действий, буллит №3).
- Рабочий документ, показывающий, что является основой для общего заключение по итогам аудиторского задания (Стандарт 14.5 Заключение по итогам аудиторского задания, буллит №1).
- Рабочая документация, подтверждающая выполнение работы в соответствии с установленной процедурой (Стандарт 14.6 Документация аудиторского задания, буллит №1).
- Документация, свидетельствующая о том, что итоговое сообщение было проверено и утверждено (Стандарт 15.1 Итоговое сообщение о результатах аудиторского задания, буллит №3).
- Документация, подтверждающая соблюдение требований в отношении обмена информацией с объектом аудита (Стандарт 15.1 Итоговое сообщение о результатах аудиторского задания, буллит №4).
Единственный раздел, где либо no comments, либо нужно написать страниц 50-100 с возможной интерпретацией, что можно рассматривать под этими пунктами. Выбираю первый вариант.
- Итоговый отчет.
Примеры подтверждения:
- Итоговое сообщение о результатах аудиторского задания, если применимо (Стандарт 1.3 Правовые вопросы и этическое поведение, буллит №6).
- Итоговые сообщения о результатах аудиторского задания, направляемые Совету и высшему исполнительному руководству, в которых раскрывается информация о несоответствии (если применимо) (Стандарт 4.1 Соответствие Международным стандартам внутреннего аудита, буллит №2).
- Документация, подтверждающая, что получение ложной или вводящей в заблуждение информации в ходе аудиторского задания было оформлено как соответствующее аудиторское замечание (Стандарт 4.3 Профессиональный скептицизм, буллит №3).
- Итоговые сообщения о результатах заданий и другие документы, утвержденные руководителем внутреннего аудита, а также документы, подтверждающие соответствие характеристикам эффективной коммуникации (Стандарт 11.2 Эффективная коммуникация, буллит №3).
- Итоговые сообщения по результатам аудиторских заданий, включающие наблюдения, рекомендации и заключения по итогам задания (Стандарт 11.3 Информирование о результатах, буллит №1).
- Аналитические материалы, включая сводки данных, диаграммы и графики, отражающие тенденции (Стандарт 11.3 Информирование о результатах, буллит №3).
- Первоначальные и скорректированные итоговые сообщения (Стандарт 11.4 Ошибки и упущения, буллит №5).
- Рабочие записи, рабочая документация или другая документация, подтверждающая, что наблюдения, а также обоснованность рекомендаций и (или) планов мероприятий обсуждались с менеджментом (Стандарт 14.4 Рекомендации и планы действий, буллит №2).
- Заключение в итоговом сообщении о результатах (Стандарт 14.5 Заключение по итогам аудиторского задания, буллит №2).
- Итоговые сообщения о результатах в письменной форме (Стандарт 15.1 Итоговое сообщение о результатах аудиторского задания, буллит №1).
- Слайды презентации и (или) рабочие записи со встреч, если итоговое сообщение было представлено в устной форме (Стандарт 15.1 Итоговое сообщение о результатах аудиторского задания, буллит №2).
Повторения одного и того же разными словами – это стиль, но абсолютно всё представляется разумным.
- Мониторинг.
Здесь только два пункта – таблица мониторинга и отчет об исполнении. Буквальные цитаты:
- Регулярно обновляемая система мониторинга (например, электронная таблица, база данных или другой инструмент), которая содержит наблюдения, соответствующий план корректирующих мероприятий, статус выполнения и подтверждение внутреннего аудита» (Стандарт 15.2 Подтверждение выполнения рекомендаций или планов мероприятий, буллит №1).
- Отчеты о статусе корректирующих мероприятий, подготовленные для Совета и высшего исполнительного руководства (Стандарт 15.2 Подтверждение выполнения рекомендаций или планов мероприятий, буллит №2).
Должно быть у всех, новизны никакой.
Качество внутреннего аудита.
- Внутренняя оценка.
Почему-то этот раздел оказался самым большим. Скорее всего, не доверяют внешней оценке качества, поэтому примеров подтверждения получилось много:
- Оценки качества работы внутренних аудиторов, демонстрирующие, что вопросы честности и профессиональной смелости стоят на первом месте (Стандарт 1.1 Честность и профессиональная смелость, буллит №3).
- Документально оформленные результаты анализа качества работы внутренних аудиторов (Стандарт 3.1 Компетентность, буллит №4).
- Оценки качества работы внутренних аудиторов (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №6).
- Оценки качества работы, демонстрирующие соблюдение соответствующих законодательных и нормативных актов, процедур и политики (Стандарт 5.1 Использование информации, буллит №6).
- Оценки качества работы, демонстрирующие соблюдение политики и процедур, связанных с защитой и раскрытием информации (Стандарт 5.2 Защита информации, буллит №9).
- Результаты периодических самооценок или других оценок хода выполнения инициатив (Стандарт 9.2 Стратегия внутреннего аудита, буллит №5).
- Документация по контролю качества работы внутреннего аудита, подтверждающая соблюдение методологии (Стандарт 9.3 Методология, буллит №3).
- Оценки деятельности функции внутреннего аудита и отдельных внутренних аудиторов (Стандарт 10.2 Управление кадровыми ресурсами, буллит №9).
- Заполненные чек-листы по контролю качества рабочих документов, результаты опросов и показатели эффективности, используемые для оценки эффективности и результативности деятельности функции внутреннего аудита (Стандарт 12.1 Внутренняя оценка качества, буллит №1).
- Документация по выполненным регулярным оценкам, включая план, рабочие документы, а также обмен информацией (Стандарт 12.1 Внутренняя оценка качества, буллит №2).
- Документально оформленные результаты текущего мониторинга и периодических самооценок, включая планы корректирующих мероприятий (Стандарт 12.1 Внутренняя оценка качества, буллит №4).
- Действия, предпринятые с целью повышения уровня эффективности, результативности и соответствия Стандартам функции внутреннего аудита (Стандарт 12.1 Внутренняя оценка качества, буллит №5).
- Документация по контролю качества выполнения аудиторского задания (Стандарт 14.2 Анализ и потенциальные наблюдения по результатам аудиторского задания, буллит №4).
- Результаты внутренней оценки качества, подтверждающие соблюдение политики в отношении подготовки рабочей документации и осуществления надзора (Стандарт 14.6 Документация аудиторского задания, буллит №2).
Если честно, то внутреннюю оценку качества я провожу не через контроль документации, а контроль результатов. Теперь придется придумывать кучу макулатуры. Если получится – впоследствии поделюсь, но явно нужен чек-лист, который учтет все аспекты.
- Внешняя оценка.
Здесь, по мнению авторов новых стандартов, вполне достаточно буквально трех документов:
- Результаты внешней оценки качества, проведенной независимым оценщиком (Стандарт 2.2 Сохранение объективности, буллит №9).
- Официальный отчет о внешней оценке качества, подготовленный и удостоверенный квалифицированным независимым оценщиком (Стандарт 8.4 Внешняя оценка качества, буллит №2).
- Презентации результатов внешней оценки качества, сделанные для Совета внешними оценщиками (Стандарт 8.4 Внешняя оценка качества, буллит №3).
Безусловно, интересно, почему результаты внешней оценки качества, проведенной независимым оценщиком, достаточно для подтверждения только стандарта 2.2 Сохранение объективности и еще двух (см. далее). На нехватку возможных материалов не похоже, далеко не для каждого стандарта есть 9 вариантов подтверждающих документов. Но оставшиеся два абсолютно разумны.
- Внутренняя и внешняя оценка.
В продолжение предыдущего наблюдения, внешняя (а также внутренняя) оценка качества может подтверждать следующие стандарты:
- Результаты внутренней и внешней оценок качества (Стандарт 3.1 Компетентность, буллит №6).
- Внутренние и внешние оценки, проведенные в рамках программы обеспечения и повышения качества внутреннего аудита (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №9).
Как понимаете, принципиально новых документов возникнуть не должно.
- Программа обеспечения и повышения качества.
Примеры подтверждения:
- Результаты выполнения программы обеспечения и повышения качества (Стандарт 4.1 Соответствие Международным стандартам внутреннего аудита, буллит №5).
- Рабочие документы по программе обеспечения и повышения качества или иные подтверждения выполнения соответствующих действий (Стандарт 8.3 Качество, буллит №3).
- Результаты выполнения программы обеспечения и повышения качества (Стандарт 11.2 Эффективная коммуникация, буллит №9).
Здесь отмечу безусловное достижение авторов, а именно то, что результаты выполнения программы обеспечения и повышения качества названы одинаков для разных стандартов. Если без глума – то всё понятно.