5. Порядок планирования деятельности внутреннего аудита
Руководитель внутреннего аудита разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе.
План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель внутреннего аудита предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, штатное расписание подразделения, ресурсный план и финансовый бюджет внутреннего аудита.
План деятельности внутреннего аудита разрабатывается на основе модели аудита, с использованием информации и запросов, полученных от исполнительных органов и совета директоров компании, результатов оценки рисков компании (подготовленными, например, службой управления рисками компании, если такая служба имеется в компании).
Планирование деятельности внутреннего аудита состоит из следующих этапов:
– формирование/актуализация модели аудита компании;
– проведение/использование результатов оценки рисков;
– ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;
– формирование риск-ориентированного плана внутренних аудиторских проверок;
– формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;
– формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.
План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.
Модель аудита компании включает перечень объектов аудита, например, бизнес-процессы, бизнес-функции, проекты/инициативы компании, подразделения, бизнес-единицы и иное в зависимости от выбранного в компании подхода к структурированию объектов аудита.
Перечень объектов аудита корректируется с учетом изменений в деятельности компании (например, появление новых проектов, формирование новых подразделений и т. д.). С этой целью модель аудита пересматривается как минимум один раз в год.
Для целей разработки плана деятельности внутреннего аудита используются результаты оценки рисков компании, проведенной исполнительными органами (службой управления рисками) компании в рамках СУР.
Принимая решение об использовании результатов оценки рисков компании, руководитель внутреннего аудита может, с учетом имеющихся ресурсов, предусмотреть проведение дополнительного анализа возможности полагаться на такую информацию (в том числе, проанализировать полноту выявленных рисков, качество описания и оценки рисков, эффективность процессов, используемых исполнительными органами компании для мониторинга и отчетности по рискам и проч.).
Если полученной от исполнительных органов компании информации о рисках недостаточно/информация не предоставлена (например, в случае отсутствия формализованных процессов выявления и оценки рисков) – внутренний аудит осуществляет анализ рисков объектов аудита самостоятельно. Подход к выявлению и оценке рисков объектов аудита определяется внутренним аудитом самостоятельно, исходя из особенностей компании.
На основании результатов оценки рисков осуществляется соотнесение выявленных рисков и объектов аудита. Объекты аудита ранжируются по уровню риска. Методики ранжирования и перечень дополнительных факторов, используемых для ранжирования, определяются внутренним аудитом самостоятельно, исходя из специфики компании.
При ранжировании объектов аудита рекомендуется рассмотреть несколько дополнительных факторов, в т. ч.: материальность (существенность влияния на результаты деятельности компании) объекта аудита; численность сотрудников; текучесть руководителей высшего и среднего звена; изменения в деятельности объекта; время, прошедшее с последней проверки; результаты предыдущей проверки данного объекта аудита и проч.
По итогам ранжирования формируются группы объектов аудитов с высоким, средним и низким уровнем риска.
Объекты аудита включаются в план деятельности внутреннего аудита по результатам оценки рисков на выборочной основе. Проведение плановых проверок является основной деятельностью внутреннего аудита. Кроме того, необходимо предусмотреть бюджет времени и на выполнение следующих мероприятий:
– консультирование руководства компании по вопросам управления рисками, внутреннего контроля и корпоративного управления;
– разработка и актуализация внутренних нормативных документов, регламентирующих деятельность внутреннего аудита (методологии внутреннего аудита);
– осуществление мониторинга выполнения в компании планов мероприятий по устранению недостатков, нарушений и совершенствованию СВК, разработанных руководителями объектов аудита по результатам проверок
– разработка плана деятельности внутреннего аудита на период, определяющего приоритеты деятельности внутреннего аудита;
– подготовка отчета по результатам деятельности внутреннего аудита;
– содействие исполнительным органам компании в расследовании недобросовестных/противоправных действий работников и третьих лиц;
– взаимодействие с внешним аудитором, подразделениями компании по вопросам, относящимся к деятельности внутреннего аудита;
– повышение профессиональной квалификации внутренних аудиторов и прочее.
На основании данных об общем количестве времени на выполнение плановых проверок и прочих мероприятий внутреннего аудита и данных об общем доступном фонде времени на реализацию плана, руководитель внутреннего аудита определяет достаточность (дефицит) внутренних ресурсов.
В случае если внутренние ресурсы не позволяют реализовать все плановые проверки и прочие мероприятия, указанные в плане, руководитель внутреннего аудита информирует совет директоров (комитет по аудиту) о необходимости принятия соответствующего решения (например, выделения дополнительных ресурсов для выполнения плана посредством увеличения численности внутренних аудиторов, привлечения сторонних организаций (аутсорсинг/косорсинг) или сокращения объема задач).
Еще по теме 5. Порядок планирования деятельности внутреннего аудита:
- 15. Внутренний аудит деятельности банка
- Достоинства и недостатки внутреннего аудита в сравнении с внешним аудитом
- 28.5. ОСНОВНЫЕ МЕТОДЫ АУДИТА. ВНУТРЕННИЙ И ВНЕШНИЙ АУДИТ КРИЗИСНОГО ПРЕДПРИЯТИЯ
- Виды аудита. Внутренний и внешний аудит
- Раздел 2 Внутренняя организация деятельности по разработке стратегии, ПЛАНИРОВАНИЮ, КООРДИНАЦИИ, ВЫПОЛНЕНИЮ И КОНТРОЛЮ
- 13.2. Сущность аудита: аудит, аудиторская деятельность, аудитор
- Раздел 3. Внутренний аудит предприятия
- Особенности внутреннего аудита систем менеджмента
- Организационные принципы внутреннего аудита системы менеджмента
- 11. Система финансового контроля и внутренний аудит
- 7.5. Изучение и использование результатов внутреннего аудита
- 3.1. Внутренний аудит и его функции
- 14.3. Виды аудита: инициативный, обязательный, внутренний и внешний
- 3.2. Организация работы службы внутреннего аудита
- ВИДЫ АУДИТА: ВНУТРЕННИЙ И ВНЕШНИЙ, ОБЯЗАТЕЛЬНЫЙ И ИНИЦИАТИВНЫЙ
- 13. Внутренний аудит в системе управления организацией
- Аудит внутренней среды предприятия
- Александр Александрович Филатов Ольга Леонидовна Грачева (Трегубенко) Елена Александровна Егорова Елена Николаевна Тарасенко Эльдар Шамильевич Джураев Наталья Леонидовна Персод Михаил Евгеньевич Кузнецов Олег Сергеевич Зенков. Управление рисками, аудит и внутренний контроль, 2015