пост фактум эту оценку ИВА не будет ее признавать...
Почему нет, если выполнены условия о наличии опыта работы, CIA, тренинге и т.д, приведенные в Стандартах? Кроме того, разве существует процедура признания или непризнания ИВА проведенной оценки?
пост фактум эту оценку ИВА не будет ее признавать...
Почему нет, если выполнены условия о наличии опыта работы, CIA, тренинге и т.д, приведенные в Стандартах? Кроме того, разве существует процедура признания или непризнания ИВА проведенной оценки?
А где сказано что должны быть вообще какие то условия (CIA, опыт, компетенции)? О них тоже в стандартах ничего не говорится. Это мы сами себе придумываем...или считаем как нам удобно.
В науке нет широкой столбовой дороги, и только тот может достигнуть ее сияющих вершин, кто, не страшась усталости, карабкается по ее каменистым тропам.
А где сказано что должны быть вообще какие то условия (CIA, опыт, компетенции)?
Я понимаю, что здесь: ПУ 1312-1 Внешняя оценка: 7. Проведение и составление отчета о результатах внешней оценки требуют выражения профессионального суждения. Поэтому специалисту, оказывающему услуги внешнего эксперта, следует: • быть компетентным, дипломированным (в оригинале certified internal audit professional) профессионалом во внутреннем аудите, обладающим современными и глубокими знаниями Стандартов; • быть хорошо знакомым с лучшими профессиональными практиками; • иметь опыт практической работы на руководящих должностях во внутреннем аудите или соответствующих областях консалтинга как минимум в течение трех последних лет. Руководители групп независимых экспертов и внешние эксперты, которые осуществляют независимое подтверждение результатов самооценки, должны дополнительно иметь компетенции и опыт внешней оценки качества в составе группы экспертов, успешно закончить обучение в международном Институте внутренних аудиторов по оценке качества или другие подобные учебные курсы и иметь опыт работы руководителем внутреннего аудита или на аналогичных руководящих позициях в сфере внутреннего аудита.
Коллеги, у меня практический вопрос на соответствие стандартам ИВА. Есть стандарт 2320 — Анализ и оценка "Внутренние аудиторы должны формулировать выводы и представлять результаты задания на основе соответствующего анализа и оценки информации". Предположим, Я описываю бизнес-процесса, например, прием товаров на склад, и проверяю наличие и оценку внутренних контролей в этом процессе Ситуация 1. Я в полной мере применяю методологию к анализу информации, как это изложено в настоятельно рекомендуемом Практическом указаний к Стандарту (величина выборки, риск необнаружения и т.д.). Ясно, что здесь моя деятельность Стандарту соответствует. Ситуация 2. Я делаю вывод с потолка - "Вот чувствую, нет разделения контрольной функции пересчета товара и функции внесения информации в учет. Это катастрофа!" Здесь я стандарт нарушаю. Делаю вывод без ссылки на анализ и оценку информации. Ситуация 3. Я произвольным образом выбрала из стопки актов приема в количестве 3000 штук , собранных в течение полного месяца, 10 штук и обнаружила ,что акты о приеме товара подписаны тем же сотрудником, который делает учетную запись. В отчете я пишу: Аудитором произвольно выбраны 10 актов приема из 3000 шт за октябрь и проверены на предмет разделения функции приема товара и учета товара. В трех случая прием товара и запись о приходе сделаны одним человеком, что говорит о нарушении требования о разделении функций приема тмц и их учета , как предписывает п.2 регламента.... Вопрос. Можно ли считать, что в ситуации 3 моя деятельность не соответствует стандарту 2320? ( не в полной мере использована методология оценки из практического указания) Или все же я не нарушила стандарт, так как произвела анализ и оценку информации в подтверждение вывода? [b]
Целесообразно разделить два процесса: процесс сбора аудиторских доказательств и процесс оценки результатов от сбора доказательств.
1. В процессе сбора аудиторских доказательств можно применять статистические выборки, можно и не применять. Главное, чтобы метод сбора доказательств был адекватен и разумен тому, что Вы тестируете. Доказательства должны быть настолько объективны, чтобы посторонний человек ознакомившись с ними не пришел бы к выводу о их недостаточности.
Исходя из этого, в любой из трех ситуаций, если Вы сформировали разумные и достаточные аудиторские доказательства это хорошо (соответствует стандартам), не сформировали - плохо (не соответствует стандартам).
2. В процессе оценки результатов сбора доказательств (фактически оценки выявленного риска) Вы должны использовать собранные аудиторские доказательства и сделать соответствующий расчет вероятности и суммы риска на их основе (в идеале). Анализ и оценка риска должны быть сделаны таким образом, чтобы посторонний человек, ознакомившись с Вашими выводами на основе анализа и оценки рисков пришел бы к тем же выводам, что и Вы.
Исходя из этого, в любой из трех ситуаций, если Вы подвели разумные и достаточные итоги (интерпретировали) свои доказательства расчетом/анализом/оценкой риска - хорошо (соотв. стандартам), не сделали - плохо (не соотв. стандартам).
В трех случаях из 10 выбранных обнаружены нарушения контроля. С большой вероятностью можно сделать вывод, что в 3000-ной популяции число нарушений превышает комфортный уровень. Как вероятность, так и допустимый уровень нарушений задаются заранее. Т.е. если берется выборка 10 из 3000, то в случае: - отсутствия нарушений с вероятностью 70% (?) можно утверждать, что в популяции не более 1%(?) нарушений. - при 1 нарушении вероятностью 80% (?) можно утверждать, что в популяции не более 10%(?) нарушений - при 3 и более нарушениях с вероятностью 90% (?) можно утверждать, что в популяции более 20%(?) нарушений. Короче, теория вероятностей. Более интересны дальнейшие выводы: "что говорит о нарушении требования о разделении функций приема тмц и их учета , как предписывает п.2 регламента...." Какой тут заложен риск? Есть ли компенсирующие контроли? Риски понятны: сотрудник, принявший ТМЦ, его приватизирует, и не отражает приход в учете. Или отразит фиктивный приход от дружественного поставщика, чтобы он получил деньги. Оценка риска зависит от ликвидности ТМЦ, порядка на складе и в бухучете и много еще чего. По хорошему, ВА должен эти факторы тоже рассмотреть.
Андрей, большое спасибо! Я с вами абсолютно согласна! К сожалению, не все мои коллеги разделяют эту точку зрения и несоблюдение Practise Advisory расценивают как отход от Стандарта. А судьи кто?