• Об Институте
  • Общая информация
  • Устав института
  • Совет
  • Исполнительное руководство
  • Комитеты и рабочие группы
  • Проекты
    • Исследования
    • Законодательные инициативы
  • Региональные центры
    • Региональный центр в Санкт-Петербурге
    • Региональный центр в Тюмени
    • Региональный центр в Краснодаре
    • Региональный центр в Нижнем Новгороде
  • Протоколы встреч
    • Общие
    • Финансовая секция
• Членство
  • Выгоды членства
  • Положение о членстве
  • Порядок вступления
  • Членские взносы
  • Форма-заявление на вступление
• Внутреннему аудитору
  • Определение внутреннего аудита
  • Стандарты
  • Кодекс этики
  • Законодательство
  • О профессии
  • Типовые положения
  • Публикации
  • Журнал Internal Auditor
  • Полезные материалы
• Сертификация
  • О сертификации
  • Certified Internal Auditor (CIA)
  • Специализированные квалификации
    • CFSA
    • CGAP
    • CCSA
  • Поддержание квалификации (CPE)
  • Учебные пособия
• Повышение квалификации
  • Семинары
  • Конференции
  • Курсы подготовки к экзаменам
  • Библиотека
• Партнеры
• Вакансии

ВСТУПИТЬ СЕЙЧАС!

Стандарты

Международные профессиональные стандарты внутреннего аудита (Стандарты)

СТАНДАРТЫ КАЧЕСТВЕННЫХ ХАРАКТЕРИСТИК (ATTRIBUTE STANDARDS)

 

1000 — Цели, полномочия и ответственность
Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите), соответствующем Определению внутреннего аудита, Кодексу этики и Стандартам. Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлять Положение на одобрение высшему исполнительному руководству и Совету.

Интерпретация:
Положение о внутреннем аудите является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В Положении о внутреннем аудите определяются статус внутреннего аудита в организации, объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий. Решение об окончательном одобрении Положения о внутреннем аудите принимает Совет.

1000.А1 — Характер услуг по предоставлению гарантий, оказываемых организации, должен быть определен Положением о внутреннем аудите. Если гарантии предоставляются третьим сторонам вне организации, характер таких гарантий также должен быть определен Положением о внутреннем аудите.

1000.С1 — Характер консультационных услуг должен быть определен Положением о внутреннем аудите.

1010 — Признание Определения внутреннего аудита, Кодекса этики и Стандартов в Положении о внутреннем аудите
В Положении о внутреннем аудите должно содержаться указание на обязательность применения Определения внутреннего аудита, Кодекса этики и Стандартов. Руководителю внутреннего аудита следует обсудить Определение внутреннего аудита, Кодекс этики и Стандарты с высшим исполнительным руководством и Советом.

1100 — Независимость и объективность
Внутренний аудит должен быть независимым, а внутренние аудиторы должны быть объективными при выполнении своих обязанностей.

Интерпретация:
Независимость — это свобода от условий, которые создают угрозу способности подразделения внутреннего аудита или руководителя внутреннего аудита беспристрастно выполнять свои обязанности. Для того чтобы достичь степени независимости, необходимой для эффективного выполнения подразделением внутреннего аудита своих обязанностей, руководитель внутреннего аудита должен иметь прямой и свободный доступ к высшему исполнительному руководству и Совету. Этого можно достичь путем установления подотчетности двум сторонам. Проблемы независимости необходимо решать на уровнях индивидуального аудитора, аудиторского задания, функциональном и организационном уровнях.
Объективность — это мысленная установка, которая позволяет внутренним аудиторам выполнять задания беспристрастно, таким образом чтобы они сами испытывали доверие к результатам своей работы и не допускали компромиссов в отношении ее качества. Объективность требует, чтобы внутренний аудитор не подчинял свое мнение по вопросам аудита мнению других лиц. Угрозы объективности должны рассматриваться на уровнях индивидуального аудитора, аудиторского задания, функциональном и организационном уровнях.

1110 — Организационная независимость
Руководитель внутреннего аудита должен отчитываться органу управления такого уровня, который позволил бы подразделению внутреннего аудита выполнять свои обязанности. Руководитель внутреннего аудита должен подтверждать Совету факт организационной независимости внутреннего аудита, по крайней мере, один раз в год.

1110.А1 — Внутренний аудит должен быть свободен от вмешательства третьих лиц в процесс определения объема внутреннего аудита, проведения работ и представления отчетности о результатах.

1111 — Прямое взаимодействие с Советом
Руководитель внутреннего аудита должен поддерживать отношения и напрямую взаимодействовать с Советом.

1120 — Индивидуальная объективность
Внутренние аудиторы должны быть беспристрастны и непредвзяты в своей работе и избегать конфликта интересов любого рода.

Интерпретация:
Конфликт интересов — это ситуация, когда внутренний аудитор, являющийся лицом, облеченным доверием, имеет конкурирующий профессиональный или личный интерес. Наличие таких конкурирующих интересов может помешать внутреннему аудитору выполнять свои обязанности беспристрастно. Конфликт интересов может существовать даже в тех случаях, когда он не приводит к неэтичным или неправильным действиям. Конфликт интересов может привести к возникновению видимости ненадлежащего поведения, что может подорвать доверие к внутреннему аудитору, подразделению внутреннего аудита и к профессии в целом. Конфликт интересов может повредить способности аудитора объективно выполнять свои функции и обязанности.

1130 — Факторы, отрицательно влияющие на независимость и объективность
Если независимость или объективность подвергаются или воспринимаются как подвергающиеся отрицательному воздействию, информация об этом должна быть раскрыта соответствующим сторонам. Метод раскрытия информации зависит от характера отрицательного воздействия.

Интерпретация:
Отрицательное воздействие на организационную независимость и индивидуальную объективность может быть связано с личным конфликтом интересов, ограничениями объема аудита, права доступа к документации, сотрудникам, активам и ограничениями в ресурсах, в том числе финансировании, но не ограничивается этим.
Стороны, которым должна быть раскрыта информация об отрицательном воздействии на организационную независимость и индивидуальную объективность, определяются, исходя из ожиданий в отношении обязанностей подразделения внутреннего аудита и его руководителя перед высшим исполнительным руководством и Советом, как это определено в Положении о внутреннем аудите, а также из характера данного воздействия.

1130.А1 — Внутренние аудиторы должны воздерживаться от проведения оценки тех областей, за которые они раньше несли ответственность. Считается, что объективность подвергается отрицательному воздействию, если внутренний аудитор предоставляет гарантии в той области, за которую он отвечал в течение предшествующего года.

1130.А2 — Выполнение аудиторских заданий по предоставлению гарантий в тех областях, за которые отвечает руководитель внутреннего аудита, должно осуществляться под надзором стороны, независимой по отношению к внутреннему аудиту.

1130.С1 — Внутренние аудиторы могут предоставлять консультационные услуги в тех областях, за которые они ранее несли ответственность.

1130.С2 — Если независимость и объективность внутренних аудиторов могут подвергнуться отрицательному воздействию в связи с предполагаемым заданием по консультированию, информация об этом должна быть раскрыта клиенту до принятия задания к исполнению.

1200 — Профессионализм и профессиональное отношение к работе
Внутренние аудиторы должны выполнять аудиторские задания на должном профессиональном уровне.

1210 — Профессионализм
Внутренние аудиторы должны обладать знаниями, навыками и другими компетенциями, необходимыми для выполнения своих должностных обязанностей. Для выполнения стоящих перед подразделением внутреннего аудита задач, сотрудники подразделения должны коллективно обладать необходимыми знаниями, навыками и другими компетенциями или получить их.

Интерпретация:
Знания, навыки и другие компетенции — это общий термин, относящийся к профессиональной грамотности, которая требуется от внутренних аудиторов для эффективного выполнения своих профессиональных обязанностей. Внутренним аудиторам рекомендуется демонстрировать свой профессионализм путем получения соответствующих профессиональных сертификатов и квалификаций, таких как Дипломированный внутренний аудитор (Certified Internal Auditor, CIA) и другие сертификаты, предлагаемые международным Институтом внутренних аудиторов и другими профессиональными организациями.

1210.А1 — Руководитель внутреннего аудита должен обратиться за советом и содействием в случае, если сотрудники внутреннего аудита не имеют достаточных знаний, навыков или других компетенций для выполнения аудиторского задания или его части.

1210.А2 — Внутренние аудиторы должны обладать достаточными знаниями, чтобы оценить риск мошенничества и то, каким образом организация управляет этим риском. В то же время не предполагается, что внутренние аудиторы обладают компетенцией специалиста, чья основная функция заключается в выявлении и расследовании фактов мошенничества.

1210.А3 — Внутренние аудиторы должны обладать достаточными знаниями о ключевых рисках и процедурах контроля, связанных с информационными технологиями, и уметь использовать автоматизированные методы аудита в объеме, достаточном для выполнения порученных заданий. В то же время не предполагается, что все внутренние аудиторы обладают компетенцией внутреннего аудитора, чья основная функция заключается в аудите информационных технологий.

1210.С1 — Руководитель внутреннего аудита должен отказаться от задания по оказанию консультационных услуг или обратиться за советом и содействием в случае, если сотрудники внутреннего аудита не обладают достаточными знаниями, навыками и другими компетенциями для выполнения аудиторского задания или его части.

1220 — Профессиональное отношение к работе
Внутренние аудиторы должны быть добросовестны и применять свои навыки и умения, как это ожидается от здравомыслящего и компетентного внутреннего аудитора. Профессиональное отношение к работе не означает, что аудитор не имеет права на ошибку.

1220.А1 — Внутренние аудиторы должны проявлять профессиональное отношение к работе, принимая во внимание:
• объем работы, необходимый для достижения целей аудиторского задания;
• относительную сложность, существенность или значимость вопросов, в отношении которых предоставляются гарантии;
• адекватность и эффективность процессов корпоративного управления, управления рисками и контроля;
• вероятность существенных ошибок, мошенничества или несоблюдения процедур;
• затраты на предоставление аудиторских гарантий в сравнении с потенциальными выгодами.

1220.А2 — Проявляя профессиональное отношение к работе, внутренний аудитор должен рассмотреть возможность применения автоматизированных методов аудита и других методов анализа данных.

1220.А3 — Внутренние аудиторы должны быть готовы выявлять существенные риски, способные оказать воздействие на цели, деятельность или ресурсы организации. Тем не менее, процедуры, осуществляемые при предоставлении аудиторских гарантий, даже если они проведены на должном профессиональном уровне, сами по себе не гарантируют выявления всех существенных рисков.

1220.С1 — Внутренние аудиторы должны проявлять профессиональное отношение к работе в ходе оказания консультационных услуг, принимая во внимание:
• потребности и ожидания клиентов, включая характер и сроки выполнения задания, а также форму отчетности о результатах;
• относительную сложность и объем работы, необходимой для достижения целей аудиторского задания;
• затраты на предоставление консультационных услуг в сравнении с потенциальными выгодами.

1230 — Непрерывное профессиональное развитие
Внутренние аудиторы должны совершенствовать свои знания, навыки и другие компетенции путем непрерывного профессионального развития.

1300 — Программа гарантии и повышения качества внутреннего аудита
Руководитель внутреннего аудита должен разработать и поддерживать программу гарантии и повышения качества, охватывающую все виды деятельности внутреннего аудита.

Интерпретация:
Программа гарантии и повышения качества разрабатывается для того, чтобы провести оценку соответствия деятельности внутреннего аудита Определению внутреннего аудита и Стандартам и оценку соответствия деятельности внутренних аудиторов Кодексу этики. Программа также предусматривает оценку эффективности и результативности внутреннего аудита и выявление возможностей для совершенствования деятельности.

1310 — Требования программы гарантии и повышения качества
Программа гарантии и повышения качества должна включать как внутренние, так и внешние оценки.

1311 — Внутренние оценки
Внутренние оценки должны включать:

• текущий мониторинг деятельности внутреннего аудита;
• периодические проверки, проводимые внутренними аудиторами путем самооценки или другими сотрудниками организации, обладающими достаточными знаниями в области внутреннего аудита.

Интерпретация:
Текущий мониторинг является неотъемлемой частью ежедневного анализа и оценки деятельности внутреннего аудита. Текущий мониторинг включается в политики и процедуры по управлению внутренним аудитом; при этом используются процессы, инструменты и информация, которые считаются необходимыми для оценки соответствия Определению внутреннего аудита, Кодексу этики и Стандартам.
Периодические проверки — это проверки, проводимые для оценки соответствия Определению внутреннего аудита, Кодексу этики и Стандартам.
Достаточные знания в области внутреннего аудита требуют, по крайней мере, понимания всех элементов Международных основ профессиональной практики.

1312 — Внешние оценки
Внешние оценки должны проводиться, как минимум, один раз в пять лет квалифицированным и независимым экспертом или группой экспертов, не являющихся сотрудниками организации. Руководитель внутреннего аудита должен обсудить с Советом:

• необходимость проведения более частых внешних оценок;
• квалификацию и независимость внешнего эксперта или группы экспертов, включая любой возможный конфликт интересов.

Интерпретация:
Квалифицированный и независимый внешний эксперт или группа экспертов — это люди, компетентные в профессиональных вопросах внутреннего аудита и проведения внешней оценки. Оценка компетентности внешнего эксперта или группы экспертов является профессиональным суждением, которое учитывает профессиональный опыт в области внутреннего аудита и свидетельства профессиональной квалификации лиц, выбранных для проведения проверки. Оценка квалификации также учитывает размер и сложность организаций, с которыми эксперты имели отношения ранее, в сравнении с проверяемой организацией, а также необходимость наличия знаний о конкретном секторе, отрасли или технических знаний.
Независимость эксперта или группы экспертов предполагает отсутствие фактического или видимого конфликта интересов. Независимые эксперты не могут быть работниками или находиться под контролем организации, функцию внутреннего аудита которой они проверяют.

1320 — Отчетность по программе гарантии и повышения качества
Руководитель внутреннего аудита должен информировать высшее исполнительное руководство и Совет о результатах программы гарантии и повышения качества.

Интерпретация:
Форма, содержание и частота информирования о результатах программы гарантии и повышения качества устанавливаются в ходе обсуждений с высшим исполнительным руководством и Советом с учетом обязанностей подразделения внутреннего аудита и его руководителя, определенных в Положении о внутреннем аудите. С целью продемонстрировать соответствие Определению внутреннего аудита, Кодексу этики и Стандартам, результаты внешних и периодических внутренних оценок сообщаются по завершении таких оценок, а результаты текущего мониторинга - по крайней мере, ежегодно. Результаты включают данную экспертом или группой экспертов оценку степени соответствия.

1321 — Использование фразы «соответствует Международным профессиональным стандартам внутреннего аудита»
Руководитель внутреннего аудита может утверждать, что деятельность внутреннего аудита осуществляется в соответствии с Международными профессиональными стандартами внутреннего аудита, только в том случае, если результаты программы гарантии и повышения качества подтверждают это.

1322 — Раскрытие информации о несоответствии
Если несоответствие Определению внутреннего аудита, Кодексу этики и Стандартам влияет на общие объем и содержание или деятельность внутреннего аудита, руководитель внутреннего аудита должен сообщить о факте несоответствия и его последствиях высшему исполнительному руководству и Совету.

CТАНДАРТЫ ДЕЯТЕЛЬНОСТИ (PERFORMANCE STANDARDS)

 

2000 — Управление внутренним аудитом
Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита таким образом, чтобы обеспечить его полезность для организации.

Интерпретация:
Эффективным считается такое управление подразделением внутреннего аудита, когда:

• результаты, достигнутые в ходе работы внутреннего аудита, соответствуют целям и обязанностям, содержащимся в Положении о внутреннем аудите;
• деятельность внутреннего аудита соответствует Определению внутреннего аудита и Стандартам;
• лица, работающие в подразделении внутреннего аудита, демонстрируют соответствие требованиям Кодекса этики и Стандартов.

2010 — Планирование
Руководитель внутреннего аудита должен составить риск-ориентированный план, определяющий приоритеты внутреннего аудита в соответствии с целями организации.

Интерпретация:
Руководитель внутреннего аудита отвечает за разработку риск-ориентированного плана. Руководитель внутреннего аудита принимает во внимание концепцию управления рисками, принятую в организации, включая использование определенных исполнительным руководством уровней риск-аппетита для различных видов деятельности или подразделений организации. Если такой концепции в организации нет, руководитель службы внутреннего аудита применяет собственное суждение о рисках, сформированное после консультаций с высшим исполнительным руководством и Советом.

2010.А1 — План работы внутреннего аудита должен основываться на формализованной оценке рисков, проводимой, по крайней мере, один раз в год. При составлении плана должно учитываться мнение высшего исполнительного руководства и Совета.

2010.С1 — Руководитель внутреннего аудита должен оценить предложенные задания по консультированию с точки зрения возможностей улучшения процесса управления рисками и совершенствования деятельности организации при выполнении заданий. Принятые к исполнению задания должны быть включены в план.

2020 — Представление и утверждение планов
Руководитель внутреннего аудита должен представить на рассмотрение и утверждение высшему исполнительному руководству и Совету планы работы внутреннего аудита с указанием ресурсов, необходимых для их выполнения, а также информацию о существенных изменениях планов в течение отчетного периода. Руководитель внутреннего аудита также должен сообщать о влиянии ограничений в ресурсах на деятельность внутреннего аудита.

2030 — Управление ресурсами
Руководитель внутреннего аудита должен обеспечивать наличие соответствующих и достаточных ресурсов, а также их эффективное использование для выполнения утвержденного плана.

Интерпретация:
Термин «соответствующий» предполагает сочетание знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный» относится к количеству ресурсов, необходимых для выполнения плана. Ресурсы используются эффективно, если выполнение утвержденного плана достигается оптимальным образом.

2040 — Политики и процедуры
Руководитель внутреннего аудита должен внедрить внутренние политики и процедуры, регулирующие деятельность подразделения внутреннего аудита.

Интерпретация:
Форма и содержание политик и процедур зависят от размера и структуры подразделения внутреннего аудита и сложности выполняемой им работы.

2050 — Координация деятельности
В целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениваться информацией и координировать деятельность с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.

2060 — Отчетность перед высшим исполнительным руководством и Советом
Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным руководством и Советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие сведения, необходимые высшему исполнительному руководству и Совету.

Интерпретация:
Частота представления отчетности и ее содержание определяются в ходе обсуждений с высшим исполнительным руководством и Советом и зависят от важности сообщаемой информации и срочности действий, требуемых со стороны высшего исполнительного руководства и Совета.

2100 — Сущность работы внутреннего аудита
Внутренний аудит должен проводить оценку и способствовать совершенствованию процессов корпоративного управления, управления рисками и контроля, используя систематизированный и последовательный подход.

2110 — Корпоративное управление
Внутренний аудит должен давать оценку и соответствующие рекомендации по совершенствованию корпоративного управления применительно к следующим задачам:

• популяризация этических норм и ценностей внутри организации;
• обеспечение эффективного управления деятельностью организации и ответственного отношения к работе;
• передача соответствующей информации по вопросам рисков и контроля внутри организации;
• координация деятельности и обмен информацией между Советом, внешними и внутренними аудиторами и исполнительным руководством организации.

2110.А1 — Внутренний аудит должен оценивать дизайн, реализацию и эффективность целей, программ и деятельности организации в вопросах, связанных с этикой.

2110.А2 — Внутренний аудит должен оценить, соответствует ли система управления информационными технологиями стратегии и целям организации.

2110.С1 — Цели заданий по консультированию должны соответствовать общим ценностям и целям организации.

2120 — Управление рисками
Внутренний аудит должен оценивать эффективность и способствовать совершенствованию процессов управления рисками.

Интерпретация:
Определение эффективности процессов управления рисками основывается на суждении внутреннего аудитора, сформированном по результатам оценки следующих категорий:

• цели организации соответствуют ее миссии;
• существенные риски выявляются и оцениваются;
• выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках риск-аппетита организации;
• информация, касающаяся рисков, своевременно фиксируется и передается внутри организации, что дает возможность персоналу, исполнительному руководству и Совету выполнять свои обязанности.

Мониторинг процессов управления рисками осуществляется в рамках текущей деятельности, с помощью специальных оценок или же того и другого.

2120.А1 — Внутренний аудит должен оценивать риски, связанные с корпоративным управлением, операционной деятельностью организации и ее информационными системами, в части:
• достоверности и целостности информации о финансово-хозяйственной деятельности;
• эффективности и результативности деятельности;
• сохранности активов;
• соответствия требованиям законов, нормативных актов и договорных обязательств.

2120.А2 — Внутренний аудит должен оценивать возможность совершения мошенничества и то, как организация управляет риском мошенничества.

2120.С1 — В ходе выполнения заданий по консультированию внутренние аудиторы должны учитывать риски в соответствии с целями задания, а также быть готовыми к наличию других существенных рисков.

2120.С2 — Внутренние аудиторы должны использовать знания о рисках, полученные в ходе выполнения заданий по консультированию, в процессе оценки процессов управления рисками организации.

2120.С3 — Помогая руководству в организации или улучшении процессов управления рисками, внутренние аудиторы должны воздерживаться от непосредственного участия в управлении рисками, что является ответственностью исполнительного руководства

2130 — Контроль
Внутренний аудит должен помогать организации в поддержании эффективной системы внутреннего контроля, оценивая ее эффективность и результативность и содействуя постоянному совершенствованию системы.

2130.А1 — Внутренний аудит должен оценивать адекватность и эффективность контроля над рисками в сфере корпоративного управления, операционной деятельности организации и ее информационных систем, в части:
• достоверности и целостности информации о финансово-хозяйственной деятельности;
• эффективности и результативности деятельности;
• сохранности активов;
• соответствия требованиям законов, нормативных актов и договорных обязательств.

2130.А2 — Внутренним аудиторам следует определить, были ли разработаны текущие и проектные цели и задачи подразделений, и оценить, насколько они соответствуют целям и задачам всей организации.

2130.А3 — Внутренним аудиторам следует провести анализ операционной деятельности подразделений и анализ проектов на соответствие фактических результатов поставленным целям и задачам с целью определить, ведется ли работа в соответствии с намеченными планами.

2130.С1 — В ходе выполнения заданий по консультированию внутренние аудиторы должны уделить внимание вопросам контроля в соответствии с целями задания, а также быть готовыми к наличию существенных недостатков контроля.

2130.С2 — Внутренние аудиторы должны использовать знания о контроле, полученные в ходе выполнения заданий по консультированию, при оценке процессов внутреннего контроля в организации.

2200 — Планирование аудиторского задания
Внутренние аудиторы должны составлять и документировать план выполнения каждого аудиторского задания, включающий цели, объем задания, его сроки и распределение ресурсов.

2201 — Что необходимо учитывать при планировании
В ходе планирования аудиторского задания внутренние аудиторы должны учитывать:

• задачи объекта аудиторского задания, а также средства, с помощью которых объект контролирует свою деятельность;
• существенные риски, относящиеся к объекту аудиторского задания, его целям, ресурсам и хозяйственной деятельности, а также методы удержания рисков на приемлемых уровнях;
• адекватность и эффективность процессов управления рисками и контроля объекта аудита в сравнении с соответствующей моделью контроля;
• возможности значительного совершенствования процессов управления рисками и внутреннего контроля.

2201.A1 — При планировании аудиторских заданий, пользователями результатов которых будут внешние стороны, внутренние аудиторы должны в письменной форме согласовать цели, содержание, соответствующие обязанности и другие ожидания, включая ограничения на распространение результатов выполнения задания и доступ к аудиторской документации.

2201.С1 — Внутренние аудиторы должны согласовать со стороной, получающей консультации, цели, содержание задания по консультированию, вопросы ответственности и другие ожидания. Для наиболее важных заданий согласование должно проводиться в письменном виде.

2210 — Цели аудиторского задания
Для каждого аудиторского задания должны быть определены его цели.

2210.А1 — Внутренний аудитор должен провести предварительную оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать результатам этой оценки.

2210.А2 — Определяя цели аудиторского задания, внутренние аудиторы должны учитывать вероятность существенных ошибок, мошенничества, несоблюдения процедур и другие риски.

2210.А3 — При оценке процедур контроля должны использоваться адекватные критерии оценки. Внутренние аудиторы должны убедиться в том, что исполнительное руководство установило адекватные критерии оценки достижения целей и выполнения задач. Если критерии адекватны, внутренние аудиторы должны руководствоваться ими. В обратном случае, внутренние аудиторы должны совместно с исполнительным руководством выработать надлежащие критерии оценки.

2210.С1 — Цели заданий по консультированию должны включать рассмотрение процессов корпоративного управления, управления рисками и контроля в оговоренных с клиентом пределах.

2220 — Объем и содержание аудиторского задания
Объем и содержание аудиторского задания должны быть достаточными для достижения целей задания.

2220.А1 — В объем и содержание задания должно включаться изучение соответствующих систем, документации, персонала и материальных активов, включая те, что находятся под контролем третьих лиц.

2220.А2 — Если в ходе выполнения услуг по предоставлению гарантий возникает возможность оказания консультационных услуг в существенном объеме, следует согласовать с клиентом в письменной форме цели, содержание, соответствующие обязанности и другие вопросы; результаты консультационного задания должны быть доведены до сведения клиента в соответствии со стандартами, относящимися к консультационным услугам.

2220.С1 — Выполняя консультационное задание внутренние аудиторы, должны убедиться, что его объем и содержание достаточны для достижения согласованных целей. Если внутренние аудиторы в процессе выполнения задания испытывают сомнения в отношении объема и содержания задания, эти сомнения должны быть обсуждены с клиентом, чтобы решить, продолжать ли выполнение задания.

2230 — Распределение ресурсов на выполнение аудиторского задания
Внутренние аудиторы должны определить объем ресурсов, необходимых для достижения целей аудиторского задания, исходя из характера и степени сложности каждого аудиторского задания, ограничений по срокам и доступных ресурсов.

2240 — Программа аудиторского задания
Внутренние аудиторы должны разрабатывать и документировать программы работ, позволяющие достичь цели задания.

2240.А1 — В программах должны определяться процедуры сбора, анализа, оценки и документирования информации в процессе выполнения задания. Программа должна быть утверждена до начала ее выполнения. Любые изменения программы также должны быть своевременно утверждены.

2240.С1 — Программы заданий по консультированию могут различаться по форме и содержанию в зависимости от характера задания.

2300 — Выполнение задания
Внутренние аудиторы должны собрать, проанализировать, оценить и оформить документально информацию в объеме, достаточном для достижения целей задания.

2310 — Сбор информации
Внутренние аудиторы должны собрать достаточный объем надежной, уместной и полезной информации для достижения целей задания.

Интерпретация:
Достаточная информация – информация, которая основывается на фактах и убедительна настолько, что здравомыслящий и информированный пользователь на ее основании придет к тем же выводам, что и аудитор. Надежная информация — это наиболее полная и заслуживающая доверия информация, которую возможно получить, применяя надлежащие аудиторские процедуры. Уместная информация – информация, которая подтверждает наблюдения и рекомендации и соответствует целям задания. Полезная информация – информация, которая помогает организации достигать своих целей.

2320 — Анализ и оценка
Внутренние аудиторы должны формулировать выводы и представлять результаты задания на основе соответствующего анализа и оценки информации.

2330 — Документирование информации
Внутренние аудиторы должны документировать соответствующую информацию в целях обоснования выводов и результатов аудиторского задания.

2330.А1 — Руководитель внутреннего аудита должен контролировать доступ к документам, относящимся к заданию. Перед тем как передавать документы внешней стороне, руководитель внутреннего аудита должен в соответствующем порядке получить одобрение высшего исполнительного руководства и/или юридического подразделения организации.

2330.А2 — Руководитель внутреннего аудита должен разработать правила хранения документов, относящихся к заданию, независимо от формы носителя информации. Эти правила должны соответствовать внутренним организационно-распорядительным документам организации и нормам законодательства.

2330.С1 — Руководитель внутреннего аудита должен разработать политику получения, хранения и передачи внутренним и внешним сторонам документов, относящихся к аудиторскому заданию по консультированию. Эта политика должна соответствовать внутренним организационно-распорядительным документам организации и нормам законодательства.

2340 — Контроль над выполнением задания
Для достижения поставленных целей, обеспечения качества работы и повышения квалификации сотрудников подразделения внутреннего аудита необходим должный контроль над выполнением задания.

Интерпретация:
Требуемая степень контроля будет зависеть от уровня профессионализма и опыта внутренних аудиторов, а также сложности задания. Руководитель внутреннего аудита несет общую ответственность за контроль над выполнением задания, которое делается самим внутренним аудитом или для внутреннего аудита, но может поручить осуществлять контроль сотрудникам, обладающим надлежащим опытом работы во внутреннем аудите. Надлежащие свидетельства осуществления контроля должны документироваться и храниться.

2400 — Информирование о результатах
Внутренние аудиторы должны сообщать о результатах выполнения задания.

2410 — Критерии информирования
Сообщения о результатах должны содержать определения целей, объема и содержания задания, а также соответствующие заключения, рекомендации и планы действий.

2410.А1 — В окончательном варианте отчетности о результатах задания должно, содержаться общее мнение и/или заключение внутреннего аудитора, в случае, если это необходимо.

2410.А2 — Внутренним аудиторам рекомендуется включать положительные оценки деятельности объекта аудита в сообщение по результатам задания.

2410.А3 — При направлении результатов задания внешним сторонам сообщение должно содержать информацию об ограничениях в их распространении и использовании.

2410.С1 — Сообщения о ходе выполнения и результатах заданий по консультированию могут различаться по форме и содержанию в зависимости от характера задания и потребности клиента.

2420 — Качество сообщений
Сообщения должны быть точными, объективными, ясными, краткими, конструктивными, полными и своевременными.

Интерпретация:
Точными являются сообщения, которые не содержат ошибок и искажений и правдиво описывают соответствующие факты. Объективными являются достоверные и беспристрастные сообщения, которые появляются в результате справедливой и сбалансированной оценки всех относящихся к делу фактов и обстоятельств. Ясными являются сообщения, которые легко воспринимаемы и логичны, не используют ненужные технические термины и обеспечивают пользователей всей существенной и относящейся к делу информацией. Краткими являются сообщения, которые относятся к рассматриваемому вопросу и не содержат ненужных отступлений, избыточной детализации и многословности. Конструктивными являются сообщения, которые помогают клиенту и организации и предлагают необходимые улучшения, если необходимо. Полными являются сообщения, которые для целевой аудитории содержат всю важную, существенную и относящуюся к делу информацию и наблюдения, необходимые для обоснования выводов и рекомендаций. Своевременными являются сообщения, которые сделаны в необходимые сроки в зависимости от важности вопроса, чтобы дать возможность исполнительному руководству принять соответствующие меры по исправлению ситуации.

2421 — Ошибки и упущения
Если в окончательном варианте отчетности содержится существенная ошибка или упущение, руководитель внутреннего аудита должен довести исправленную информацию до сведения всех лиц, получивших первоначальный вариант отчетности.

2430 — Использование фразы «выполнено в соответствии с Международными профессиональными стандартами внутреннего аудита»
Внутренние аудиторы могут сообщать в отчетах, что их задания «выполнены в соответствии с Международными профессиональными стандартами внутреннего аудита», только в том случае, если это подтверждается результатами программы гарантии и повышения качества внутреннего аудита.

2431 — Раскрытие информации о несоответствии в рамках задания
Если в рамках отдельного задания имело место несоответствие Определению внутреннего аудита, положениям Кодекса этики или Стандартов, отчет должен содержать следующее:

• принцип или статью Кодекса этики или Стандартов, соответствие которому (которой) не было обеспечено полностью или частично;
• причину(ы) несоответствия;
• влияние несоответствия на выполнение задания и его результаты.

2440 — Сообщение результатов
Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих лиц.

Интерпретация:
Руководитель внутреннего аудита или назначенное им лицо проверяет и утверждает окончательную отчетность по результатам задания перед ее выпуском и решает, кому и каким образом она представляется.

2440.А1 — Руководитель внутреннего аудита доводит результаты задания до сведения лиц, которые могут обеспечить их должное рассмотрение.

2440.А2 — Если иное не определено законодательными и нормативными актами, руководитель внутреннего аудита, прежде чем передать результаты сторонним организациям, должен:
• оценить возможные риски для организации;
• при необходимости проконсультироваться в установленном порядке с высшим исполнительным руководством и/или юридическим подразделением;
• контролировать распространение информации, устанавливая ограничения на ее использование.

2440.С1 — Руководитель внутреннего аудита должен довести до клиентов окончательные результаты задания по консультированию.

2440.С2 — В ходе выполнения заданий по консультированию могут быть обнаружены проблемы в области корпоративного управления, управления рисками и внутреннего контроля. В случае если эти проблемы являются существенные, они должны быть доведены до сведения высшего исполнительного руководства и Совета.

2500 — Мониторинг действий по результатам задания
Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга действий исполнительного руководства, предпринимаемых по результатам задания.

2500.А1 — Руководитель внутреннего аудита должен разработать процесс последующего мониторинга, цель которого — убедиться, что предпринятые исполнительным руководством действия были эффективными или что высшее исполнительное руководство приняло риск, решив не предпринимать никаких действий.

2500.С1 — Внутренний аудит должен осуществлять мониторинг результатов задания по консультированию в согласованных с клиентом пределах.

2600 — Рассмотрение риска, принятого высшим исполнительным руководством
Если, по мнению руководителя внутреннего аудита, уровень остаточного риска, принятого высшим исполнительным руководством, не может быть приемлемым для организации, руководитель внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если проблема, связанная с остаточным риском, по-прежнему осталась нерешенной, руководитель внутреннего аудита должен передать вопрос на рассмотрение Совету.

СЛОВАРЬ ТЕРМИНОВ

 

Приносить пользу (Add Value) — оказание услуг по предоставлению гарантий и консультационных услуг приносит пользу в виде расширения возможностей организации достигать поставленных целей, выявления возможностей совершенствования операционных процессов и/или снижения риска.

Адекватный контроль (Adequate Control) — контроль является адекватным, когда исполнительное руководство спланировало и организовало (спроектировало) контроль таким образом, чтобы обеспечить разумную уверенность в том, что управление рисками осуществляется эффективно, а цели и задачи организации будут выполнены наиболее эффективным и экономически оправданным способом.

Предоставление гарантий (Assurance Services) — объективный анализ имеющихся аудиторских доказательств в целях представления независимой оценки процессов корпоративного управления, управления рисками и контроля в организации. В качестве примеров можно привести задания по финансовому аудиту, аудиту эффективности, аудиту на соответствие требованиям, аудиту безопасности систем и всестороннему анализу хозяйственной деятельности (due diligence engagements).

Совет (Board) — орган управления организации, такой как Совет директоров, Наблюдательный совет, руководитель исполнительного или законодательного органа власти, совет управляющих или попечителей некоммерческой организации или другой уполномоченный орган управления организации, включая комитет по аудиту, которому может функционально подчиняться руководитель внутреннего аудита.

Положение, устав (Charter) — Положение о внутреннем аудите является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В Положении о внутреннем аудите определяются статус внутреннего аудита в организации, объем и содержание деятельности внутреннего аудита закрепляется право доступа к документации, сотрудникам и материальным активам при выполнении соответствующих заданий.

Руководитель внутреннего аудита (Chief Audit Executive) — высшее должностное лицо, ответственное за внутренний аудит в организации. Обычно таким лицом является директор подразделения (службы) внутреннего аудита. В случае если услуги внутреннего аудита предоставляются внешней организацией, руководителем внутреннего аудита является лицо, ответственное за обеспечение соблюдения контракта и качественного выполнения услуг, отчитывающееся перед высшим руководством и Советом по результатам работы внутреннего аудита и контроля действий по результатам заданий. Этим термином также могут обозначаться такие должности, как главный аудитор, глава внутреннего аудита, главный внутренний аудитор и главный ревизор.

Кодекс этики (Code of Ethics) — Кодекс этики международного Института внутренних аудиторов (IIA) включает Принципы, относящиеся к профессии и практике внутреннего аудита, и Правила поведения, описывающие поведение, ожидаемое от внутренних аудиторов. Кодекс этики распространяется как на физических, так и на юридических лиц, оказывающих услуги по внутреннему аудиту. Целью Кодекса этики является распространение высоких этических норм в глобальном сообществе профессиональных внутренних аудиторов.

Соответствие (Compliance) — соответствие требованиям политик, планов, процедур, законов, нормативных актов, договорных обязательств и другим требованиям.

Конфликт интересов (Conflict of Interest) — любые отношения, которые фактически являются или могут быть восприняты как не отвечающие интересам организации. Конфликт интересов может нанести ущерб способности лица объективно выполнять свои обязанности.

Консультационные услуги (Consulting Services) — деятельность по предоставлению клиенту советов, рекомендаций и т.д., характер и содержание которой согласовываются с клиентом, нацеленная на оказание помощи и совершенствование процессов корпоративного управления, управления рисками и контроля, исключающая принятие внутренними аудиторами ответственности за управленческие решения. В качестве примера можно привести предоставление советов и рекомендаций, оказание практической помощи и обучение персонала.

Контроль (Control) — любые действия руководства, Совета и других сторон по управлению рисками и повышению вероятности достижения поставленных целей и выполнения задач. Исполнительное руководство осуществляет планирование, организацию и руководство действиями, обеспечивающими разумную уверенность в том, что цели и задачи организации будут выполнены.

Контрольная среда (Control Environment) — общее отношение Совета и исполнительного руководства к необходимости осуществления контроля в организации и предпринимаемые в этой связи действия. Контрольная среда позволяет обеспечить необходимую структуру и предпосылки для достижения главных задач системы внутреннего контроля. Контрольная среда включает следующие элементы:

• этические ценности и честность;
• философия и стиль управления;
• организационная структура;
• распределение полномочий и ответственности;
• политики и процедуры в области управления персоналом;
• компетентность персонала.

Процессы контроля (Control Processes) — политики, процедуры и действия, являющиеся частью системы контроля и призванные обеспечить уровень рисков в допустимых пределах, установленных в рамках процесса управления рисками.

Задание (Engagement) — деятельность внутреннего аудита по выполнению конкретного поручения или задачи или по проведению проверки, такая как внутренняя аудиторская проверка, мониторинг самооценки системы контроля, расследование фактов мошенничества, проведение консультаций. Задание может предусматривать выполнение нескольких задач, направленных на достижение целого ряда взаимосвязанных целей.

Цели задания (Engagement Objectives) — разработанные внутренними аудиторами положения, определяющие ожидаемые результаты задания.

Программа аудиторского задания (Engagement Work Program) — документ, описывающий процедуры, которые подлежат выполнению в рамках задания в целях выполнения плана задания.

Сторонняя организация по оказанию услуг (External Service Provider) — внешнее для организации физическое или юридическое лицо, имеющее специальные знания, навыки и опыт в конкретной области.

Мошенничество (Fraud) — любые незаконные действия, характеризующиеся обманом, сокрытием или злоупотреблением доверием. К мошенническим не относятся те действия, которые производятся под воздействием силы или угрозы применения силы. Мошенничество совершается физическими и юридическими лицами в целях получения денег, собственности или услуг, уклонения от выплаты денежных средств или оказания услуг или в целях личной или коммерческой наживы.

Корпоративное управление (Governance) — совокупность процессов и организационных структур, создаваемая Советом для информирования, управления и мониторинга деятельности организации в целях достижения поставленных целей.

Отрицательные факторы (Impairments) — к факторам, отрицательно влияющим на индивидуальную объективность и организационную независимость, относятся конфликт интересов физического лица, ограничение полномочий аудита, ограничение доступа к документации, персоналу и активам, а также ограничения в ресурсах (финансирование).

Независимость (Independence) — свобода от обстоятельств, которые угрожают объективности или воспринимаются как угрожающие объективности. Проблемы независимости необходимо решать на уровнях индивидуального аудитора, аудиторского задания, функциональном и организационном уровнях.

Контрольные процедуры в информационных технологиях (Information Technology Controls) — контрольные процедуры, которые поддерживают руководство и управление деятельностью, а также обеспечивают общие и технические процедуры контроля в отношении элементов информационно-технологической инфраструктуры, таких как программные приложения, информация, инфраструктура и персонал.

Система управления информационными технологиями (Information Technology Governance) — включает в себя руководство, организационные структуры и процессы, которые обеспечивают то, что информационные технологии организации соответствуют и поддерживают стратегии и цели организации.

Деятельность (подразделение) внутреннего аудита (Internal Audit Activity) — отдел, подразделение, группа консультантов или других специалистов, предоставляющая независимые и объективные гарантии и консультации, направленные на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов корпоративного управления, управления рисками и контроля.

Международные основы профессиональной практики (МОПП, International Professional Practices Framework) — концептуальная основа, руководство обязательного характера, разработанное и опубликованное международным Институтом внутренних аудиторов (IIA). Опубликованное руководство состоит из двух частей: (1) обязательной для использования и (2) настоятельно рекомендуемой для использования.

Должен (Must) — Стандарты используют слово «должен» в тех случаях, когда подразумевается обязательное (безусловное) выполнение соответствующих положений.

Объективность (Objectivity) — мысленная установка, которая позволяет внутренним аудиторам беспристрастно выполнять задания таким образом, чтобы они сами испытывали доверие к результатам своей работы и не допускали компромиссов в отношении ее качества. Объективность требует, чтобы внутренний аудитор не подчинял свое мнение по вопросам аудита мнению других лиц.

Остаточные риски (Residual Risks) — риски, остающиеся после предпринятых руководством действий по уменьшению воздействия и вероятности наступления негативных событий, в том числе после осуществления контрольных процедур в отношении рисков.

Риск (Risk) — возможность наступления какого-либо события, которое может оказать влияние на достижение целей. Риск измеряется путем оценки последствий и вероятности наступления события.

Риск-аппетит (Risk Appetite) — уровень риска, принимаемый организацией как приемлемый.

Управление рисками (Risk Management) — процесс выявления, оценки, управления и контроля возможных событий или ситуаций для обеспечения разумных гарантий достижения организацией своих целей.

Следует (Should) — Стандарты используют слово «следует», когда ожидается следование Стандартам во всех случаях, кроме исключительных, обоснованных обстоятельствами или профессиональным суждением.

Существенность (Significance) — относительная значимость вопроса в рассматриваемом контексте, включая количественные и качественные факторы, такие как величина, характер, эффект, уместность и последствия. Профессиональное суждение помогает внутренним аудиторам в оценке важности вопросов в контексте стоящих перед ними целей.

Стандарт (Standard) — официальное профессиональное положение, опубликованное международным Институтом внутренних аудиторов, которое устанавливает требования к внутреннему аудиту по широкому спектру вопросов, а также к оценке деятельности внутреннего аудита.

Автоматизированные методы аудита (Technology-based Audit Techniques) — любые автоматизированные методы аудита, такие как общее программное обеспечение, относящееся к аудиту, генераторы тестовых данных, компьютерные программы для аудита, специальные программные приложения для аудита и компьютеризированные аудиторские процедуры (CAAT).

---

Перевод на русский язык Определения внутреннего аудита, Кодекса этики, Международных профессиональных стандартов внутреннего аудита и Практических указаний осуществлен Некоммерческим партнерством «Институт внутренних аудиторов» (НП «ИВА»), во всех существенных аспектах идентичен оригинальному тексту на английском языке и публикуется с разрешения владельца авторских прав The Institute of Internal Auditors Inc., 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.