Текст книги "Управление рисками, аудит и внутренний контроль"

Внутренние аудиторы информируют руководителя внутреннего аудита о любых ограничениях их полномочий и возникающих конфликтах интересов. Руководитель внутреннего аудита информирует совет директоров (комитет по аудиту) о соответствующих ограничениях и возможных последствиях таких ограничений.

3. Место внутреннего аудита в организационной структуре компании

Решение об организации внутреннего аудита принимается советом директоров, который также несет ответственность за контроль качества работы внутреннего аудита компании.

Функция внутреннего аудита может реализоваться посредством создания отдельного подразделения или с привлечением (полным или частичным) сторонней организации (аутсорсинг / косорсинг), если это не противоречит требованиям законодательства1212
  Для кредитных организаций Положением об организации внутреннего контроля в кредитных организациях и банковских группах № 242-П аутсорсинг функции внутреннего аудита не допускается


[Закрыть]. Предпочтительным способом организации проведения внутреннего аудита является создание подразделения внутреннего аудита. Если совет директоров принимает решение не создавать подразделение внутреннего аудита, это решение периодически им пересматривается (как правило, на ежегодной основе).

Совет директоров одобряет кандидатуру руководителя подразделения внутреннего аудита, который отвечает за организацию работы внутреннего аудита.

Подотчетность внутреннего аудита

Для обеспечения независимости внутреннего аудита его функциональная и административная подотчетность должны быть разграничены.

Функциональная подотчетность совету директоров) означает, что к компетенции совета директоров отнесены следующие вопросы:

– утверждение положения о внутреннем аудите (или иного документа с учетом особенностей системы организации внутренней документации компании), определяющего цели, задачи, полномочия и ограничения внутреннего аудита;

– утверждение плана деятельности внутреннего аудита и одобрение бюджета подразделения внутреннего аудита;

– получение информации от руководителя внутреннего аудита о ходе выполнения плана деятельности внутреннего аудита и об осуществлении внутреннего аудита (включая результаты отдельных проверок (в т. ч. результаты мониторинга выполнения планов мероприятий, разработанных руководителями объектов аудита по результатам проверок), существенные недостатки СУР, СВК и КУ, отчет о деятельности внутреннего аудита за период, результаты внутренней и внешней оценки функции внутреннего аудита и утверждение плана мероприятий по совершенствованию внутреннего аудита); одобрение решения о назначении и освобождении от должности, а также вознаграждении руководителя внутреннего аудита;

– рассмотрение существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита;

Если в совете директоров компании сформирован комитет по аудиту, то все вопросы, связанные с деятельностью внутреннего аудита, до предоставления их на утверждение и рассмотрение совету директоров предварительно рассматриваются комитетом по аудиту. Роли и обязанности комитета по аудиту, осуществляемые в рамках функционального взаимодействия с внутренним аудитом, определены в «Методических рекомендациях по организации работы комитетов по аудиту советов директоров акционерных обществ»1313
  Приказ Росимущества от 20.03.2014 № 86 «Об утверждении Методических рекомендаций по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации»


[Закрыть].

Административная подотчетность – подотчетность лицу, способному обеспечить реализацию полномочий внутреннего аудита, предусмотренных внутренними документами компании (как правило, единоличному исполнительному органу) – включает:

– выделение необходимых средств в рамках утвержденного бюджета подразделения внутреннего аудита;

– получение отчетов о деятельности подразделения внутреннего аудита;

– оказание поддержки во взаимодействии с подразделениями компании, (в том числе при осуществлении мониторинга выполнения плана мероприятий по результатам проверок);

– администрирование политик и процедур деятельности внутреннего аудита.

Рекомендуется, чтобы совет директоров, в рамках регулярного подтверждения независимости внутреннего аудита, рассматривал вопрос об административной подотчетности внутреннего аудита.

Аутсорсинг / косорсинг функции внутреннего аудита

В случае принятия решения советом директоров компании о вынесении функции внутреннего аудита на аутсорсинг, ответственность за качество осуществления функции внутреннего аудита компании несет совет директоров.

В случае передачи на аутсорсинг отдельных проверок и других задач внутреннего аудита, ответственность за их выполнение остается за руководителем внутреннего аудита компании.

В некоторых случаях решение об аутсорсинге / косорсинге функции внутреннего аудита может быть признано целесообразным, с учетом особенностей деятельности компании и сравнительной оценки затрат, например, когда:

– особенность деятельности и структуры компании не требует постоянных проверок и ограничивается разовыми периодическими проверками;

– необходимо провести значительный объем проверок в ограниченные сроки;

– в компании отсутствуют специалисты, которые могут качественно осуществить специфические аудиторские задания (например, проверка процессов, связанных с актуарным оцениванием; проведением инженерных, геологических или строительных работ; процессов, связанных с функционированием ИТ-систем, организацией информационной безопасности и т. д.);

– необходимо проводить проверки в географически удаленных подразделениях компании.

Внутренний аудит в сложных холдинговых структурах

Вопрос об организации внутреннего аудита в компаниях, которые представляют собой холдинговые структуры, и входящих в холдинговую структуру дочерних и зависимых компаний (далее – ДЗО), рассматривается органами управления ДЗО в соответствии с Уставом ДЗО и другими документами, определяющими особенности работы холдинговой структуры.

Рекомендуется, чтобы внутренний аудит головной организации компании холдингового типа осуществлял функциональное руководство деятельностью внутреннего аудита в ДЗО в соответствии с подходами, изложенными в настоящих Методических рекомендациях, координировал работу внутреннего аудита во всех ДЗО компании, с учетом особенностей организации управления головной компании и ДЗО.

Для выполнения поставленных задач внутренние аудиторы головной компании могут принимать участие в работе комитета по аудиту и/или ревизионной комиссии ДЗО.

4. Взаимодействие внутреннего аудита с внешним аудитором и другими субъектами системы внутреннего контроля компании
Взаимодействие с внешним аудитором

Руководитель внутреннего аудита координирует взаимодействие внутреннего аудита с внешним аудитором компании.

Внутренний аудит и внешний аудитор могут взаимодействовать в рамках:

– обмена информацией о результатах оценки эффективности СВК компании, в том числе за подготовкой бухгалтерской (финансовой) отчетности;

– обсуждения планов деятельности внутреннего аудита и внешнего аудитора с целью их координации и минимизации двойной работы;

– анализа эффективности внедрения корректирующих мероприятий, направленных на устранение недостатков СВК компании за подготовкой бухгалтерской (финансовой) отчетности.

Результаты работы внутреннего аудита могут быть использованы внешним аудитором в рамках проведения процедур внешнего аудита. В этом случае внешний аудитор проводит предварительную оценку результатов работ внутреннего аудита согласно требованиям применимых стандартов аудита. Руководителю внутреннего аудита рекомендуется оказывать содействие внешнему аудитору в проведении такой оценки.

Руководитель внутреннего аудита на ежегодной основе обсуждает с советом директоров (комитетом по аудиту) эффективность процесса внешнего аудита (включая эффективность координации деятельности внутреннего и внешнего аудита).

Взаимодействие с другими субъектами системы внутреннего контроля

Внутренний аудит может использовать в своей деятельности результаты работы других субъектов СВК и иных заинтересованных сторон, которые в силу своего функционала так же, как и внутренний аудит, осуществляют мониторинг и оценку системы внутреннего контроля по отдельным направлениям деятельности (в том числе комплаенс-служба, подразделение по управлению рисками, служба безопасности и другие специализированные подразделения, а также ревизионная комиссия, далее – «субъекты СВК и иные заинтересованные стороны»). В целях выявления рисков с недостаточным или дублирующим покрытием субъектами СВК и/или заинтересованными сторонами руководитель внутреннего аудита1414
  Формирование схемы (карты) предоставления гарантий также могут инициировать и координировать выполнять другие субъекты СВК (включая службу управления рисками и владельцев бизнес-процессов, владельцев рисков).


[Закрыть] разрабатывает схему (карту) взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности («карта гарантий») – документ, определяющий сферы ответственности субъектов СВК и иных заинтересованных сторон в отношении отдельных рисков компании. Схема (Карта) взаимодействия субъектов СВК и иных заинтересованных сторон может включать следующую информацию:

– перечень бизнес-процессов компании;

– перечень рисков компании;

– лиц, ответственных за управление рисками компании (владельцев риска);

– субъекты СВК и иные заинтересованные стороны, осуществляющие мониторинг/оценку в отношении каждого из рисков.

При разработке схемы (карты) руководитель может использовать имеющиеся в компании классификатор рисков и процессов, карту рисков, другие внутренние документы компании, определяющие схемы взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности.

В случае если внутренний аудит полагается на результаты работы других субъектов СВК и иных заинтересованных сторон, руководителю внутреннего аудита рекомендуется предварительно оценить качество и надежность результатов работ (в т. ч. применяемую методологию, процедуры и техники, используемые при оценке, объем и характер работ и проч.).

Взаимодействие с государственными надзорными органами

Внутренний аудит в рамках своей деятельности взаимодействует с государственными надзорными органами в порядке, предусмотренном законодательством и соответствующими внутренними нормативными документами компании, в том числе со Счетной палатой Российской Федерации, а также другими государственными надзорными органами по вопросам, относящимся к компетенции внутреннего аудита.

5. Порядок планирования деятельности внутреннего аудита

Руководитель внутреннего аудита разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе.

План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.

Руководитель внутреннего аудита предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, штатное расписание подразделения, ресурсный план и финансовый бюджет внутреннего аудита.

План деятельности внутреннего аудита разрабатывается на основе модели аудита, с использованием информации и запросов, полученных от исполнительных органов и совета директоров компании, результатов оценки рисков компании (подготовленными, например, службой управления рисками компании, если такая служба имеется в компании).

Планирование деятельности внутреннего аудита состоит из следующих этапов:

– формирование/актуализация модели аудита компании;

– проведение/использование результатов оценки рисков;

– ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;

– формирование риск-ориентированного плана внутренних аудиторских проверок;

– формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;

– формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.

План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.

Модель аудита компании включает перечень объектов аудита, например, бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.

Перечень объектов аудита корректируется с учетом изменений в деятельности компании (например, появление новых проектов, формирование новых подразделений и т. д.). С этой целью модель аудита пересматривается как минимум один раз в год.

Для целей разработки плана деятельности внутреннего аудита используются результаты оценки рисков компании, проведенной исполнительными органами (службой управления рисками) компании в рамках СУР.

Принимая решение об использовании результатов оценки рисков компании, руководитель внутреннего аудита может, с учетом имеющихся ресурсов, предусмотреть проведение дополнительного анализа возможности полагаться на такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых исполнительными органами компании для мониторинга и отчетности по рискам и проч.).

Если полученной от исполнительных органов компании информации о рисках недостаточно/информация не предоставлена (например, в случае отсутствия формализованных процессов выявления и оценки рисков) – внутренний аудит осуществляет анализ рисков объектов аудита самостоятельно. Подход к выявлению и оценке рисков объектов аудита определяется внутренним аудитом самостоятельно, исходя из особенностей компании.

На основании результатов оценки рисков осуществляется соотнесение выявленных рисков и объектов аудита. Объекты аудита ранжируются по уровню риска. Методики ранжирования и перечень дополнительных факторов, используемых для ранжирования, определяются внутренним аудитом самостоятельно, исходя из специфики компании.

При ранжировании объектов аудита рекомендуется рассмотреть несколько дополнительных факторов, в т. ч.: материальность (существенность влияния на результаты деятельности компании) объекта аудита; численность сотрудников; текучесть руководителей высшего и среднего звена; изменения в деятельности объекта; время, прошедшее с последней проверки; результаты предыдущей проверки данного объекта аудита и проч.

По итогам ранжирования формируются группы объектов аудитов с высоким, средним и низким уровнем риска.

Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита. Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:

– консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;

– разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);

– осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок

– разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита;

– подготовка отчета по результатам деятельности внутреннего аудита;

– содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц;

– взаимодействие с внешним аудитором, подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;

– повышение профессиональной квалификации внутренних аудиторов и прочее.

На основании данных об общем количестве времени на выполнение плановых проверок и прочих мероприятий внутреннего аудита и данных об общем доступном фонде времени на реализацию плана, руководитель внутреннего аудита определяет достаточность (дефицит) внутренних ресурсов.

В случае если внутренние ресурсы не позволяют реализовать все плановые проверки и прочие мероприятия, указанные в плане, руководитель внутреннего аудита информирует совет директоров (комитет по аудиту) о необходимости принятия соответствующего решения (например, выделения дополнительных ресурсов для выполнения плана посредством увеличения численности внутренних аудиторов, привлечения сторонних организаций (аутсорсинг/косорсинг) или сокращения объема задач).

6. Организация проверки, проводимой внутренним аудитом

Этапы организации проверки

Проверки проводятся внутренним аудитом на основании утвержденного плана деятельности внутреннего аудита. Как правило, проверки осуществляются в три этапа и включают:

– планирование и подготовку к проведению проверки;

– проведение проверки;

– подготовку отчета по результатам проверки.

Для проведения каждой проверки назначается руководитель проверки и формируется рабочая группа, состав которой утверждается руководителем внутреннего аудита или уполномоченным им работником.

На каждом из этапов проверки участники рабочей группы имеют право запрашивать любую необходимую информацию от проверяемых объектов аудита.

Подготовительный этап

На подготовительном этапе осуществляется формирование программы проверки. Программа проверки формируется до начала проведения каждой проверки и включает следующую информацию:

– цели проверки;

– объем и содержание проверки;

– сроки и распределение трудовых ресурсов;

– характер и объем аудиторских процедур, используемых для достижения целей проверки (процедуры тестирования, аналитические процедуры).

Программа проверки утверждается руководителем внутреннего аудита или уполномоченным им работником. Программа проверки может корректироваться в процессе выполнения проверки по согласованию с руководителем внутреннего аудита или с иным уполномоченным работником.

С целью более точного определения целей проверки и идентификации областей, подлежащих проверке, в рамках планирования проверок учитываются результаты оценки рисков и анализа контрольных процедур, относящихся к объекту аудита.

При подготовке программы проверки руководитель внутреннего аудита определяет такой уровень формализации и документирования (в частности, итогов совещаний по планированию, процедур оценки рисков, степени детализации программы проверки и т. п.), который является приемлемым для компании.

Руководитель проверки информирует руководителей объекта аудита о планируемой проверке, в том числе:

– целях планируемой проверки, объеме и содержании работы;

– участниках рабочей группы и времени на выполнение проверки.

Также руководитель проверки запрашивает у руководителя объекта аудита вводную информацию об объекте аудита с целью:

– получения общего понимания о деятельности объекта аудита;

– определения работников, ответственных за выполнение контрольных процедур и мероприятий по управлению рисками объекта аудита (в том числе ответственных работников подразделения);

– определения общего уровня автоматизации объекта аудита и ИТ-систем, критичных для функционирования объекта;

– анализа рисков и контрольных процедур объекта аудита;

– уточнения программы проверки и определения целей и объема работ.

Перечень информации, запрашиваемый у руководителя объекта аудита, зависит от особенностей и характера проверки.

В рамках планирования проверки руководитель внутреннего аудита определяет, каким образом, когда и кому (далее – уполномоченные представители) будут сообщаться результаты выполнения проверки и информирует об этом решении руководителя объекта аудитаи в той степени, в которой он сочтет нужным.

Цели проверки и оценка рисков при планировании проверки

Для каждой проверки устанавливаются ее цели – утверждения, определяющие, что в результате проверки должно быть достигнуто.

Цели проверки определяются на основании результатов предварительной оценки рисков, относящихся к объекту аудита, и детализируют цели, изначально установленные в рамках планирования деятельности внутреннего аудита на период.

Цели внеплановых проверок определяются до начала проверки и направлены на решение специфических проблем, ставших причиной проверки.

Оценка рисков на стадии планирования проверки используется для следующих целей:

– более точного определения целей проверки и идентификации существенных областей для включения в объем проверки;

– разработки аудиторских процедур и определения их содержания (характера, времени осуществления и объема).

В рамках оценки рисков объекта аудита используются результаты оценки рисков исполнительными органами компании, относящиеся к проверяемому объекту (в том числе, полученные в рамках годового планирования деятельности внутреннего аудита). При использовании результатов такой оценки рекомендуется проанализировать возможность полагаться и использовать такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых руководством для мониторинга и отчетности по рискам и проч.).

Если полученной от исполнительных органов информации о рисках недостаточно/информация не предоставлена – рекомендуется осуществлять анализ рисков для целей внутреннего аудита самостоятельно.

При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.

Для более точного определения объема работ по проверке осуществляется анализ контрольных процедур объекта аудита, в т. ч.:

– оценивается степень покрытия всех выявленных рисков объекта аудита существующими контрольными процедурами;

– оценивается эффективность дизайна контрольных процедур.

При проведении внеплановой проверки детальный анализ контрольных процедур объекта аудита может осуществляться в ходе ее выполнения.

Объем и содержание проверки

Объем и содержание проверки должны быть достаточными для достижения целей проверки и должны учитывать результаты оценки рисков и анализа контрольных процедур. В объем и содержание проверки как минимум включаются:

– критичные риски объекта аудита, не покрытые контрольными процедурами;

– ключевые контрольные процедуры объекта аудита (необходимый и достаточный набор контрольных процедур, который обеспечивает снижение рисков объекта аудита до приемлемого уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);

– операции/виды деятельности, контрольные процедуры, подлежащие проверке согласно запросам исполнительных органов и совета директоров (вне зависимости от уровня риска).

Если объем и содержание проверки охватывают некоторые, но не все ключевые контрольные процедуры (при этом контрольные процедуры также не включены в другие проверки), соответствующие ограничения отражаются в аудиторской документации.

В зависимости от целей проверки определяется конкретный характер и объем аудиторских процедур (в том числе алгоритм выполнения аудиторских процедур, метод выборки), которые необходимо выполнить для достижения целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур (аналитические процедуры и процедуры тестирования).

При разработке аудиторских процедур определяется объем выборки и метод ее формирования В ходе проведения проверки объем выборки может быть уточнен.

Объем трудовых ресурсов, необходимый для достижения целей проверки, определяется исходя из характера и степени сложности каждой проверки, ограничений по срокам и доступных ресурсов.

Проведение проверки

В рамках данного этапа осуществляется сбор, анализ, оценка и документирование информации в объеме, достаточном для достижения целей проверки.

Проведение проверки осуществляется в соответствии с утвержденной программой проверки. В ходе проверки по итогам выполнения аудиторских процедур формируются наблюдения, выявляются недостатки системы управления рисками и внутреннего контроля, формируется независимое аудиторское мнение или выводы (заключения), разрабатываются рекомендации, а также выполняются другие мероприятия в соответствии с целями и программой задания.

Наблюдения по итогам проверки

В ходе выполнения аудиторских процедур формируются наблюдения путем сопоставления текущего состояния объекта аудита («как есть») в части процедур внутреннего контроля и мероприятий по управлению рисками с ожидаемым (целевым) состоянием («как должно быть») с учетом установленных критериев:

– сопоставляются текущее и целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками;

– определяются расхождения целевого и текущего состояния;

– формулируются выводы, которые указывают на соответствие или расхождение целевого и текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками (недостатки);

– выявляются недостатки и нарушения, допущенные в ходе осуществления деятельности объекта аудита.

Рабочая группа проверяет на предмет актуальности и эффективности установленные критерии, которые определяют целевое состояние объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками.

Для подтверждения текущего состояния объекта аудита в части процедур внутреннего контроля и мероприятий по управлению рисками рабочая группа собирает достаточное количество надежных аудиторских доказательств. К аудиторским доказательствам могут относиться:

– копии подтверждающих документов, в том числе первичные учетные документы, электронная переписка, договоры, протоколы встреч, расчеты/сверки;

– выгрузки из ИТ-систем;

– протоколы рабочих встреч, письменные разъяснения и объяснения;

– документация, сформированная в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров и т. п.);

– прочие документы/информация.

Выводы (заключения) и рекомендации по итогам проверки

На основе выявленных недостатков и нарушений формулируются выводы. При формулировании выводов рабочая группа основывается на своем профессиональном суждении, сформированном на основе анализа аудиторских доказательств. В отчет включаются только те выводы, которые подтверждены надежными аудиторскими доказательствами.

Выводы могут касаться задания проверки в целом или его отдельных аспектов. Выводы могут включать, но не ограничиваться, указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам компании, достигаются ли цели и задачи компании и функционирует ли проверяемый объект так, как запланировано.

Заключение (мнение) рабочей группы может включать совокупную оценку системы управления рисками и внутреннего контроля объекта аудита или может быть ограничено отдельными видами контроля или аспектами проверки, в частности, могут быть сформулированы заключения относительно:

– эффективности дизайна ключевых контрольных процедур;

– эффективности выполнения ключевых контрольных процедур (операционной эффективности контрольных процедур);

– эффективности управления критичными рисками объекта аудита; эффективности СУР и СВК объекта аудита.

На основе проведенных наблюдений и выводов формулируются рекомендации по совершенствованию системы управления рисками и внутреннего контроля объекта аудита. Рекомендации могут быть направлены на принятие мер для корректировки существующих условий или совершенствования деятельности и могут предлагать подходы к изменению или улучшению деятельности в качестве руководства для исполнительных органов по достижению желаемых результатов.

Рекомендации могут быть общими или конкретными. Например, в некоторых случаях могут быть предложены рекомендации общего характера, в других – конкретные меры по совершенствованию. В некоторых случаях исполнительным органам компании может быть предложено проведение дополнительного расследования (например, в случае выявления индикаторов недобросовестных/противоправных действий работников и третьих лиц).

Контроль над выполнением проверки

Для достижения поставленных целей, обеспечения качества работы и повышения квалификации внутренних аудиторов осуществляется контроль над выполнением проверки. Требуемая степень контроля зависит от уровня профессионализма и опыта участников рабочей группы, а также сложности проверки.

Контроль начинается на этапе планирования и продолжается в процессе выполнения проверки. К процедурам контроля относятся:

– обеспечение наличия у участников рабочей группы необходимых знаний, навыков и других компетенций, необходимых для выполнения проверки;

– предоставление необходимых инструкций в процессе планирования и утверждения программы проверки;

– обеспечение выполнения утвержденной программы проверки;

– определение того, поддерживают (подтверждают) ли аудиторские рабочие документы наблюдения, выводы и рекомендации по проверке;

– обеспечение точности, объективности, ясности, краткости, конструктивности и своевременности передачи информации, относящейся к проверке;

– обеспечение достижения целей проверки;

– предоставление возможностей для развития знаний, навыков и других компетенций внутренних аудиторов.

Руководитель внутреннего аудита несет общую ответственность за осуществление контроля над выполнением проверки, но может поручить/делегировать соответствующие функции другим внутренним аудиторам, обладающим надлежащим опытом работы во внутреннем аудите.

Все рабочие документы, относящиеся к проверке, проверяются в установленном порядке, чтобы убедиться в том, что они подтверждают информацию по проверке, и что необходимые аудиторские процедуры выполнены (способы доказательств осуществления контроля определяются внутренними документами компании, определяющими порядок документирования результатов работы внутреннего аудита, и могут включать заполнение проверочной таблицы (чек-листа) по комплекту аудиторской рабочей документации, подготовку отчета, описывающего характер, объем, содержание и результаты проверки, или оценку и проведение проверок с помощью программного обеспечения для подготовки рабочей документации).

Свидетельства осуществления контроля документируются и хранятся в установленном в компании порядке.

Внутренние аудиторы, проводящие проверку («проверяющие»), могут записывать вопросы (замечания по проверке), возникающие в процессе её проведения. При разборе вопросов (замечаний) по проверке необходимо позаботиться о том, чтобы обеспечить представление в документах, относящихся к проверке, адекватных доказательств существования вопросов (замечаний), возникших в процессе проверки.