Ссылка на исходный файл в Excel.

В заключительной части рассмотрим примеры подтверждения того, как документировать общение с максимально широким кругом заинтересованных сторон. Как и в разделе «Качество внутреннего аудита» (есть отдельно внутренние, отдельно внешние и отдельно внутренние и внешние оценки), здесь придется делать такую же классификацию: Совет директоров, Совет директоров и высший менеджмент, а также просто высший менеджмент. И два простых раздела – заинтересованные стороны и раскрытие информации.

Совет директоров.

Примеры подтверждения при взаимоотношениях с СД можно разделить на три части: (1) протоколы; (2) результаты обсуждений; (3) представленные материалы.

  1. В части протоколов будут нужны следующие:
  • Протоколы заседаний Совета, на которых обсуждались факторы, отрицательно воздействующие на объективность (Стандарт 2.2 Сохранение объективности, буллит №7).
  • Протоколы заседаний Совета, на которых обсуждалась компетенция внутреннего аудита; такое обсуждение может происходить в более широких рамках утверждения Положения о внутреннем аудите (Стандарт 6.1 Компетенция внутреннего аудита, буллит №1).
  • Протоколы заседаний Совета, на которых обсуждались и были приняты изменения в Положение о внутреннем аудите (Стандарт 6.1 Компетенция внутреннего аудита, буллит №2).
  • Протоколы заседаний Совета, на которых обсуждалось и было принято Положение о внутреннем аудите (Стандарт 6.2 Положение о внутреннем аудите, буллит №1).
  • Протоколы заседаний Совета, подтверждающие периодический пересмотр Положения о внутреннем аудите руководителем внутреннего аудита совместно с Советом и высшим исполнительным руководством (Стандарт 6.2 Положение о внутреннем аудите, буллит №3).
  • Протоколы заседаний Совета, свидетельствующие о рассмотрении и принятии Советом плана работы, бюджета и ресурсного плана внутреннего аудита (Стандарт 6.3 Поддержка со стороны Совета и высшего исполнительного руководства, буллит №1).
  • Протоколы заседаний или другая документация, подтверждающая обсуждение Советом и высшим исполнительным руководством вопросов, касающихся прав неограниченного доступа функции внутреннего аудита (Стандарт 6.3 Поддержка со стороны Совета и высшего исполнительного руководства, буллит №2).
  • Протоколы заседаний Совета или другая документация, показывающая, что руководитель внутреннего аудита подтвердил Совету, что функция внутреннего аудита остается независимой или обсудил случаи отрицательного воздействия на способность функции внутреннего аудита реализовать свою компетенцию, а также принимаемые защитные меры (Стандарт 7.1 Организационная независимость, буллит №3).
  • Протоколы или иная документация, подтверждающая одобрение Советом назначения или освобождения от занимаемой должности руководителя внутреннего аудита (Стандарт 7.1 Организационная независимость, буллит №8).
  • Документально оформленное одобрение Советом должностной инструкции и (или) назначения руководителя внутреннего аудита или иное свидетельство того, что Совет проанализировал, какие квалификация и компетенции необходимы и для выполнения роли руководителя внутреннего аудита (Стандарт 7.2 Квалификация руководителя внутреннего аудита, буллит №1).
  • Повестки дня и протоколы заседаний Совета, в которых отражены характер, тематика и частота обсуждений с руководителем внутреннего аудита (Стандарт 8.1 Взаимодействие с Советом, буллит №1).
  • Повестки и протоколы заседаний Совета, подтверждающие обсуждение программы обеспечения и повышения качества функции внутреннего аудита с руководителем внутреннего аудита (Стандарт 8.3 Качество, буллит №1).
  • Протоколы заседаний Совета, на которых Совет обсудил и принял подготовленный руководителем внутреннего аудита план проведения внешней оценки качества (Стандарт 8.4 Внешняя оценка качества, буллит №1).
  • Анализ повесток дня и протоколов заседаний Совета, документально подтверждающих обсуждение процессов руководства организацией, управления рисками и внутреннего контроля, включая стратегии, подходы и надзор за осуществлением каждого процесса (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №2).
  • Протокол заседания Совета, на котором обсуждался и был утвержден бюджет функции внутреннего аудита (Стандарт 10.1 Управление финансовыми ресурсами, буллит №3).

В разумной корпоративной культуре (при наличии комитета по аудиту и функционирующего Совета) ничего страшного не вижу. Единственное, что напрягает – слово «протоколы» употреблено во множественном числе, то есть их должно быть как минимум два по каждому вопросу. Надеюсь, что достаточно не в течение одного календарного года.

  1. На встречах нужно обсудить следующее:
  • Согласованная матрица или аналогичная документация, показывающая, какую информацию руководителю внутреннего аудита следует доводить до сведения Совета и высшего исполнительного руководства и периодичность ее предоставления (Стандарт 6.3 Поддержка со стороны Совета и высшего исполнительного руководства, буллит №3).
  • Протоколы встреч или другие доказательства наличия прямого обмена информацией между руководителем внутреннего аудитора и Советом, а также высшим исполнительным руководством в отношении потенциальных отрицательных воздействий на независимость и планируемых защитных мер (Стандарт 7.1 Организационная независимость, буллит №2).
  • Согласованные с Советом критерии, используемые руководителем внутреннего аудита для определения уровня существенности (Стандарт 11.4 Ошибки и упущения, буллит №2).
  • Документация по обсуждению и согласованию с Советом процедуры информирования о проблемных вопросах с рисками (Стандарт 11.5 Информирование о принятых рисках, буллит №1).
  • Документация со встреч с Советом, в том числе закрытых заседаний, в ходе которых проблемный вопрос был передан для рассмотрения на уровне Совета (Стандарт 11.5 Информирование о принятых рисках, буллит №4).

Проблема может возникнуть, если Совет директоров не поймет, зачем всё это обсуждать. Он и с протоколами то не со всеми будет согласен (см. количество протоколов)…

  1. Заключительная часть примеров подтверждения – обычные материалы:
  • Презентации, сделанные руководителем внутреннего аудита для Совета (Стандарт 8.1 Взаимодействие с Советом, буллит №2).
  • Сообщения внутреннего аудита для членов Совета (Стандарт 8.1 Взаимодействие с Советом, буллит №3).
  • Презентации руководителя внутреннего аудита и другие коммуникации о результатах оценки качества и статусе планов мероприятий по использованию возможностей для улучшения (Стандарт 8.3 Качество, буллит №2).
  • Презентации результатов внешней оценки и планов мероприятий (при необходимости), сделанные для Совета руководителем внутреннего аудита (Стандарт 8.4 Внешняя оценка качества, буллит №4).
  • Презентации для Совета и руководства, а также протоколы встреч по результатам внутренних оценок (Стандарт 12.1 Внутренняя оценка качества, буллит №3).

Как понимаю, желательно не просто передать, а направить хотя бы электронной почтой. Чтобы следы остались.

Совет директоров и высшее руководство.

Примеры подтверждения:

  • Документы, подтверждающие обсуждение планов преемственности с Советом, высшим исполнительным руководством и (или) функцией по работе с кадровыми ресурсами (Стандарт 7.2 Квалификация руководителя внутреннего аудита, буллит №4).
  • Повестки и протоколы встреч, переписка, подтверждающие, что вопрос достаточности ресурсов внутреннего аудита обсуждался руководителем внутреннего аудита с Советом и (или) высшим исполнительным руководством (Стандарт 8.2 Ресурсы, буллит №1).
  • Протоколы или переписка по итогам встреч с Советом, высшим исполнительным руководством и (или) другими заинтересованными сторонами, на которых обсуждались ожидания (Стандарт 9.2 Стратегия внутреннего аудита, буллит №2).
  • Протоколы встреч, на которых руководитель внутреннего аудита обсуждал с Советом и высшим исполнительным руководством вселенную аудита, оценку рисков организации, план работы внутреннего аудита, а также критерии и порядок внесения существенных изменений в план (Стандарт 9.4 План внутреннего аудита, буллит №3).
  • Коммуникация по вопросу определения ролей и ответственности в области услуг по обеспечению уверенности и консультационных услуг – может быть в виде рабочих записей по итогам встреч с отдельными поставщиками услуг по обеспечению уверенности и консультационных услуг или в виде протоколов встреч с Советом и высшим исполнительным руководством (Стандарт 9.5 Координирование деятельности с другими сторонами, обеспечивающими уверенность, и возможность полагаться на результаты их работы, буллит №1).
  • Протоколы встреч, на которых руководитель внутреннего аудита обсуждал бюджет внутреннего аудита с Советом и высшим исполнительным руководством (Стандарт 10.1 Управление финансовыми ресурсами, буллит №2).
  • Протоколы встреч, в которых зафиксировано обсуждение бюджета внутреннего аудита (Стандарт 10.2 Управление кадровыми ресурсами, буллит №7).
  • Конспект руководителя внутреннего аудита, протоколы встреч, тезисы докладов, слайды или документы, подтверждающие осуществление коммуникации с Советом и высшим исполнительным руководством (Стандарт 11.3 Информирование о результатах, буллит №2).
  • Документация, такая как протоколы встреч, меморандум по планированию или электронные письма, свидетельствующая об обсуждении внутренними аудиторами критериев с руководством объекта аудита и (или) Советом (Стандарт 13.4 Критерии оценки, буллит №2).

Здесь придется пописАть протокольчики в немалых количествах. А потом побегать, чтобы их подписали участники. Таков путь…

Высшее руководство.

Непосредственно с высшим руководством можно подписать протоколы по двум аспектам:

  • Протоколы встреч или рабочие записи по итогам обсуждений между руководителем внутреннего аудита и лицами, участвующими в руководстве организацией и управлении рисками (Стандарт 9.1 Понимание процессов руководства организацией, управления рисками и внутреннего контроля, буллит №3).
  • Документация по обсуждению рисков и мероприятий, рекомендованных операционному и высшему исполнительному руководству, включая протоколы встреч (Стандарт 11.5 Информирование о принятых рисках, буллит №2).

Здесь всё понятно и без подвохов, но новые стандарты почему-то рекомендуют нам проводить еще и опросы:

  • Документированная обратная связь от руководства объекта аудита (полученная, например, посредством опросов) (Стандарт 13.1 Коммуникация в рамках аудиторского задания, буллит №2).
  • Опрос руководства объекта аудита после выполнения задания относительно своевременности его выполнения и достаточности ресурсов (Стандарт 13.5 Ресурсы для выполнения аудиторского задания, буллит №3).

Вот против чего всегда возражал – так это против опросов руководства объектов аудита. Вот что думает обо мне Совет директоров – лично мне важно. Что думает обо мне какой-нибудь директор – если честно, то ниже уровня генерального – вообще не интересует. И самое главное – как интерпретировать результаты опроса? Ответьте себе на вопрос: хорошие оценки могут ли быть связаны с тем, что внутренние аудиторы чего-то не заметили? А плохие – наоборот, с тем, что что-то заметили? Мне кажется вполне. Даже подтверждение видел: подразделение безопасности было оценено на оценку 1 (из 5) руководителем, у которого зама выгнали за воровство. И что дают эти опросы? А оценщик (см. описание во введении) реально начнет интерпретировать их, указывая, что «вот здесь вы недоработали»…

Заинтересованные стороны.

Примеры подтверждения:

  • Отзывы ключевых заинтересованных сторон в отношении честности и смелости внутренних аудиторов (Стандарт 1.1 Честность и профессиональная смелость, буллит №4).
  • Источники обратной связи по вопросу восприятия объективности внутренних аудиторов, такие как опросы заинтересованных сторон функции внутреннего аудита (Стандарт 2.2 Сохранение объективности, буллит №4).
  • Обратная связь от заинтересованных сторон, полученная с помощью опросов или других инструментов (Стандарт 4.2 Должная профессиональная осмотрительность, буллит №8).
  • Повестки дня или протоколы встреч между сотрудниками функции внутреннего аудита и заинтересованными сторонами (Стандарт 11.1 Выстраивание отношений и коммуникация с заинтересованными сторонами, буллит №2).
  • Результаты опросов заинтересованных сторон о качестве сообщений внутреннего аудита (Стандарт 11.2 Эффективная коммуникация, буллит №8).

Здесь тоже речь идет об опросах. Но заинтересованные стороны – это не руководство объекта аудита, а, например, члены комитета по аудиту и единоличный исполнительный орган. Вот их мнение интересно, поэтому такие опросы поддерживаю.

Раскрытие информации.

В отдельный раздел выношу следующие примеры подтверждения:

  • Документация, демонстрирующая, что проблемные вопросы в области этики были доведены до сведения Совета, высшего исполнительного руководства и регулирующих органов в соответствии с политикой организации и соответствующими законодательными и (или) нормативными актами (Стандарт 1.2 Ожидания организации в вопросах этики, буллит №4).
  • Документация, содержащая разрешения на раскрытие и распространении информации (Стандарт 5.2 Защита информации, буллит №6).
  • Документация о раскрытии информации в соответствии с требованиями законодательства или по согласованию с юристом, если применимо, и (или) с Советом и высшим исполнительным руководством (Стандарт 5.2 Защита информации, буллит №7).

Два из примеров документов, вошедших в этот раздел, касаются самого странного Стандарта 5.2 Защита информации. Почему он странный – в следующих статьях. А вот документация про этику – это, скорее, бумажки с подписями того, что человек соблюдает этику.

На этом вроде все. Наибольшая полезность всего этого материала – не текст, а файл в Excel. Но, прочитав этот набор статей, Вы можете оценить качество предлагаемого продукта под названием «Международные стандарты внутреннего аудита». И, если имеете возможность – сделать что-то для их изменения, а если не имеете – смириться и жить дальше. С 09.01.25.

Назад к введению.

Часть 1.

Часть 2.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.