Организация и проведение внутренних аудиторских проверок
До начала внутренней аудиторской проверки в структурном подразделении внутреннего аудита целесообразно:
- разработать программу проверки, включающую описание целей проверки, объем и содержание проверки, сроки ее проведения, характер и объем аудиторских процедур;
- утвердить программу проверки руководителем структурного подразделения внутреннего аудита;
- проинформировать представителей объекта аудита о планируемой проверке;
- при необходимости запросить у представителей объекта аудита информацию, необходимую для подготовки к проведению внутренней аудиторской проверки.
На основе полученной информации и реестра рисков организации рекомендуется провести предварительную оценку рисков, относящихся к объекту аудита.
При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.
В объем и содержание проверки как минимум целесообразно включать:
- существенные риски объекта аудита;
- ключевые мероприятия по управлению рисками и отдельные контрольные процедуры объекта аудита (необходимый и достаточный набор мероприятий, контрольных процедур, который обеспечивает снижение рисков объекта аудита до установленного в реестре рисков Общества уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);
- виды деятельности, мероприятия по управлению рисками, контрольные процедуры, подлежащие проверке по запросу единоличного исполнительного органа и совета директоров.
Конкретный характер и объем аудиторских процедур, которые необходимо выполнить в ходе проведения проверки, включая анализ эффективности управления рисками, присущими объекту аудита, целесообразно определить в зависимости от целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур, включая методы анализа данных.
В ходе проверки по итогам выполнения аудиторских процедур на основании сформированных наблюдений, выявленных недостатков системы управления рисками и внутреннего контроля, а также корпоративного управления целесообразно сформулировать вывод об эффективности управления рисками и внутреннего контроля в отношении объекта аудита с учетом объемов проверки и разработать рекомендации по устранению недостатков.
Выводы и результаты, полученные по итогам выполнения внутренней аудиторской проверки, целесообразно подкрепить достаточным количеством надежных аудиторских доказательств, к которым можно отнести, например, копии подтверждающих документов, электронную переписку, документацию, сформированную в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров, результаты расчетов и т.п.) и иное. Все аудиторские доказательства рекомендуется документировать.
В рамках процесса сбора аудиторских доказательств внутренним аудиторам рекомендуется применять профессиональный скептицизм, чтобы оценить, является ли имеющаяся информация подходящей и достаточной для обеспечения разумной основы для формулирования выводов и (или) рекомендаций или требуется сбор дополнительной информации.
При формулировании выводов и результатов по итогам выполнения внутренней аудиторской проверки внутренними аудиторами может быть применено профессиональное суждение, основанное на анализе аудиторских доказательств. В отчет по итогам выполнения внутренней аудиторской проверки рекомендуется включать только те выводы, которые подтверждены надежными аудиторскими доказательствами.
Выводы могут включать, но не ограничиваться указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам Общества, достигаются ли цели и задачи Общества и функционирует ли проверяемый объект так, как запланировано.
Итоговой целью внутренней аудиторской проверки является выработка заключения (мнения) о том, насколько управление рисками и внутренний контроль объекта аудита надежны и эффективны, то есть обеспечивают ли способность объекта аудита достигать своих целей (вывод об эффективности системы управления рисками и внутреннего контроля на так называемом "микроуровне"). Методику формулирования вывода о надежности и эффективности управления рисками и внутреннего контроля целесообразно определить применительно к Обществу с учетом требований регулирующих органов, общепризнанных Международных профессиональных стандартов внутреннего аудита, а также настоящих Рекомендаций. В данной методике рекомендуется определить такой подход к проведению проверки, при котором по результатам выполнения плана аудитов за отчетный период внутренний аудит будет способен сформулировать комплексное мнение о надежности и эффективности системы управления рисками и внутреннего контроля, не ограничиваясь только отдельно взятыми компонентами управления рисками и внутреннего контроля, дизайном или операционной эффективностью контролей.
Для оценки корпоративного управления и предоставления рекомендаций по его совершенствованию внутренние аудиторы могут применять различные подходы. Оценка может быть проведена в виде отдельного аудиторского задания или основываться на информации, полученной в результате оценки каждого из элементов корпоративного управления в рамках нескольких внутренних аудиторских проверок в течение отчетного периода. Кроме того, руководитель внутреннего аудита может использовать процедуры непрерывного мониторинга, в том числе путем мониторинга исполнения поручений единоличного исполнительного органа и совета директоров Общества.
На основе проведенных наблюдений и выводов внутренние аудиторы формулируют рекомендации по совершенствованию управления рисками и внутреннего контроля, а также корпоративного управления объекта аудита.