Управление и стратегия
Особенные программы
Тренинги в регионе
Финансы
Академии
Отраслевые специализации
Финансы
Аудит и внутренний контроль
Управление проектами
Программы профессионального развития
Обучение и передача компетенций
Методология внутреннего аудита
Автор: Светлана Яковлева
Преподаватель-консультант
Преподаватель-консультант
12.08.2022
Миссия внутреннего аудита – сохранение и повышение стоимости организации посредством проведения объективных внутренних аудиторских проверок на основе риск-ориентированного подхода, предоставления рекомендаций и обмена знаниями. Для внутренних аудиторов особенно остро стоит вопрос «риск-ориентированного подхода» проведения аудита, как и каким образом этого достигнуть. Ответом на этот вопрос является разработка методологии внутреннего аудита.
«Методология внутреннего аудита (ВА), основанная на рисках» - этот термин прочно вошел в основу деятельности внутреннего аудитора. Но не для всех эта терминология соотносится с реальными действиями. В связи с этим, прежде всего эта связь должна быть четко прописана в методологии проведения аудита.
Методология дает ответ на вопрос «как». Как проводить аудит от начала до конца: планирование аудита, методы получения аудиторских доказательств, написание отчета и мониторинг выполнения плана действий руководства. Методология ВА – это систематический и обоснованный подход к набору аудиторских процессов, процедур, инструкций, подходов, используемых для оценки объекта аудита. Методология – это формальные шаги идеального процесса проведения аудита конкретного объекта (процессов, контрактов, соблюдений внешних требований, стратегии компании и любых других объектов аудита). Внутренний аудитор может проводить оценку различных аспектов деятельности компании как финансовых, так и операционных и комплаенс (законодательных требований); тактических решений и стратегических, поэтому методология может быть адаптирована под конкретный вид проверки. Но в целом этапы проведения аудиторской проверки будут неизменны.
Методология дает ответ на вопрос «как». Как проводить аудит от начала до конца: планирование аудита, методы получения аудиторских доказательств, написание отчета и мониторинг выполнения плана действий руководства. Методология ВА – это систематический и обоснованный подход к набору аудиторских процессов, процедур, инструкций, подходов, используемых для оценки объекта аудита. Методология – это формальные шаги идеального процесса проведения аудита конкретного объекта (процессов, контрактов, соблюдений внешних требований, стратегии компании и любых других объектов аудита). Внутренний аудитор может проводить оценку различных аспектов деятельности компании как финансовых, так и операционных и комплаенс (законодательных требований); тактических решений и стратегических, поэтому методология может быть адаптирована под конкретный вид проверки. Но в целом этапы проведения аудиторской проверки будут неизменны.
Основные характеристики аудита, основанного на рисках:
1
Согласованность плана внутреннего аудита со стратегическими целями организации.
2
Определение объема аудиторской работы на основе оценки рисков.
3
Понимание ключевых контролей, которые необходимо протестировать при оценке системы внутреннего контроля.
4
Совершенствование практики управления и непрерывной оценки рисков в организации.
5
Определение необходимых ресурсов для проведения аудита.
Текущее состояние рынка характеризуется постоянством изменений. Турбулентность, неопределенность, нестабильность приводят к тому, что вероятность и уровень воздействия риска на цели организации могут быстро и кардинально измениться. Естественно, что внутренний аудит должен своевременно как минимум - реагировать на такого рода изменения и как максимум - проактивно анализировать тренды, возникающие новые проблемы и возможности для компании. Все это может приводить к изменениям содержания планов, инструментов, которые используются для тестирования системы внутреннего контроля, но что останется неизменным - это этапы проведения аудита, которые зафиксированы в методологических документах службы внутреннего аудита.
В целом можно выделить 4 этапа: планирование, выполнение аудиторских процедур, передача результатов и мониторинг. В методологии полезно будет отразить как проводиться каждый этап.
В целом можно выделить 4 этапа: планирование, выполнение аудиторских процедур, передача результатов и мониторинг. В методологии полезно будет отразить как проводиться каждый этап.
1 этап:
Планирование
Планирование
- Разработать и утвердить аудиторское задание
- Информировать руководство аудируемого объекта о целях, масштабе и сроках проверки.
- Выделить необходимые ресурсы.
Риск-ориентированное планирование применяется и для подготовки годового плана, и для каждой аудиторской проверки. Проверить все невозможно, поэтому этот подход позволяет выявить основные зоны внимания и ключевые контроли.
Самое сложное на практике для этого этапа - это ответить на вопрос, «как» будет проводиться аудит для того, чтобы включить эти задачи (способы и методы тестирования) в аудиторское задание.
На этапе планирования аудита ВА знакомятся с каждой областью бизнеса, которую они будут проверять. Одним из инструментов, который на этом этапе очень полезен, - это чек-лист.
Самое сложное на практике для этого этапа - это ответить на вопрос, «как» будет проводиться аудит для того, чтобы включить эти задачи (способы и методы тестирования) в аудиторское задание.
На этапе планирования аудита ВА знакомятся с каждой областью бизнеса, которую они будут проверять. Одним из инструментов, который на этом этапе очень полезен, - это чек-лист.
Перечень обязательных шагов на этапе планирования
1. Цели и показатели эффективности проверяемого объекта
2. Изучение актуальности политик и процедур объекта аудита
3. Предварительная встреча с руководством объекта аудита
4. Актуальные блок-схемы бизнес-процессов
5. Оценка рисков и контролей руководством объекта аудита
6. Знакомство с базами данных и программным обеспечением, которые использует бизнес-процесс / объект аудита
1. Цели и показатели эффективности проверяемого объекта
2. Изучение актуальности политик и процедур объекта аудита
3. Предварительная встреча с руководством объекта аудита
4. Актуальные блок-схемы бизнес-процессов
5. Оценка рисков и контролей руководством объекта аудита
6. Знакомство с базами данных и программным обеспечением, которые использует бизнес-процесс / объект аудита
Да
Нет
2 этап:
«Полевые» работы
«Полевые» работы
Цель этапа - идентифицировать, протестировать, задокументировать информацию, достаточную для достижения целей аудиторского задания.
Внутренний аудитор получает доказательства эффективности системы контроля, экономичности операций, достижения целей и влияния рисков. Информация необходима для оценки эффективности существующего управления рисками и существующих процедур внутреннего контроля.
Перечень «ручных» инструментов, которые будут использованы на этом этапе, достаточно широкий, например:
Внутренний аудитор получает доказательства эффективности системы контроля, экономичности операций, достижения целей и влияния рисков. Информация необходима для оценки эффективности существующего управления рисками и существующих процедур внутреннего контроля.
Перечень «ручных» инструментов, которые будут использованы на этом этапе, достаточно широкий, например:
- Интервью
- Инспектирование
- Наблюдение
- Запросы
- Аналитические процедуры
- Выборки
Этот перечень не претендует на полноту, его можно и нужно расширять. Важно, чтобы все инструменты тестирования были описаны в методологии и то, как они могут быть использованы внутренними аудиторами. Поскольку каждый из перечисленных инструментов не дает аудитору 100% гарантии доказательства, наряду с «ручными» инструментами будут использоваться компьютеризированные методы аудита и инструментов анализа данных.
Типичные задачи для аудитора, которые позволяют решать системы анализа данных:
Анализ отклонений – выявление нехарактерных случаев, не укладывающихся в общие закономерности, например, слишком много «странных» операций по кассе - возврат
Классификация – отнесение объекта к одному из известных классов с помощью признаков, например, предсказание мошенничества, затраты в пределах определенной суммы.
Проверка на атрибут – например, наличие авторизации
Анализ связей – выявление отношений между объектами, например, одинаковые юридические адреса разных поставщиков.
Типичные задачи для аудитора, которые позволяют решать системы анализа данных:
Анализ отклонений – выявление нехарактерных случаев, не укладывающихся в общие закономерности, например, слишком много «странных» операций по кассе - возврат
Классификация – отнесение объекта к одному из известных классов с помощью признаков, например, предсказание мошенничества, затраты в пределах определенной суммы.
Проверка на атрибут – например, наличие авторизации
Анализ связей – выявление отношений между объектами, например, одинаковые юридические адреса разных поставщиков.
3 этап:
Передача результатов
Передача результатов
Цель этапа передачи результатов – представить заинтересованным сторонам аудиторские выводы и рекомендации. Отчет аудитора, с одной стороны, должен помочь компании совершенствоваться, достигать своих целей, с другой стороны, - показать результаты работы ВА и ценность для бизнеса.
На этом этапе обязательно проводится заключительная встреча с руководством аудируемого объекта, даже если встречи проводились в процессе тестирования. Идеальный продукт заключительной встречи - план действий руководства. На практике план действий руководства часто появляется через несколько дней после проведения заключительной встречи или после передачи окончательного отчета.
Важно понимать, что после передачи окончательного отчета заинтересованным сторонам, внутренний аудит не заканчивается, руководитель внутреннего аудита должен организовать процесс мониторинга.
Важно понимать, что после передачи окончательного отчета заинтересованным сторонам, внутренний аудит не заканчивается, руководитель внутреннего аудита должен организовать процесс мониторинга.
4 этап:
Мониторинг
Мониторинг
Цель этапа – убедиться, что согласованный план действий выполняется в обозначенное время. Пост-аудит или мониторинг - это процесс оценки внутренними аудиторами адекватности, эффективности и своевременности действий, предпринятых руководством в отношении информации об обнаружениях и рекомендациях. Этот процесс также включает в себя определение, принят ли руководством риск невыполнения корректирующих действий в отношении сообщенной информации и рекомендаций внутренних аудиторов.
Полученные ответы должны быть оценены СВА и при необходимости должны быть проведены проверки соответствия ответов действительности для того, чтобы определить, отвечают ли принимаемые объектом аудита меры замечаниям, отраженным в аудиторском отчете или других соответствующих документах.
Полученные ответы должны быть оценены СВА и при необходимости должны быть проведены проверки соответствия ответов действительности для того, чтобы определить, отвечают ли принимаемые объектом аудита меры замечаниям, отраженным в аудиторском отчете или других соответствующих документах.
Методы, способы и сроки предоставления информации по результатам мониторинга определяет руководитель службы внутреннего аудита по согласованию с высшим руководством компании и Советом директоров. С определенной периодичностью, например ежеквартально, по результатам мониторинга будут готовиться отчеты по следующим показателям:
- Наименование объекта аудита
- Ответственный исполнитель мероприятия
- Наименование аудиторского аудиторского отчета
- Содержание рекомендаций
- Установленный срок исполнения в случае его установления
- Оценка исполнения рекомендаций СВA
- Примечания
Подведем итоги
Методологическая поддержка крайне важна для внутреннего аудитора. Во-первых, это обеспечивает единообразие подходов на всех этапах аудита, во-вторых, позволяет в условиях сжатых сроков и ограниченных ресурсов своевременно и качественно проводить аудит. В качестве основы формирования методологии можно использовать Международные профессиональные стандарты внутреннего аудита, отраслевые требования внешних органов, лучшие практики крупного бизнеса – руководители служб ВА часто делятся своими наработками в профессиональном сообществе.
Узнайте подробнее по ссылке
Программа включает бизнес-игры и тимбилдинги
Статьи авторов по вашим интересам.
Получайте рассылку Академии бизнеса EY
Обучайтесь вместе с профессионалами
Нужна консультация?
Мы свяжемся с вами
Мы свяжемся с вами
Координатор
Надежда Киселева
Моб.: +7 702 737 9025
Моб.: +7 705 119 3837 (Whatsapp)
Email: Nadezhda.Kisseleva@kz.ey.com
Надежда Киселева
Моб.: +7 702 737 9025
Моб.: +7 705 119 3837 (Whatsapp)
Email: Nadezhda.Kisseleva@kz.ey.com
Астана:
Тел.: +7 717 258 0347
Адрес: ул. Достык, 16
Бизнес-центр «Talan Towers Offices»
Алматы:
Тел.: +7 (727) 259 6227
Адрес: пр. Аль-Фараби, 77/7
Бизнес-центр «Esentai Tower»
Тел.: +7 717 258 0347
Адрес: ул. Достык, 16
Бизнес-центр «Talan Towers Offices»
Алматы:
Тел.: +7 (727) 259 6227
Адрес: пр. Аль-Фараби, 77/7
Бизнес-центр «Esentai Tower»