Внутренний аудит

Внутренний аудит - это независимая, объективная гарантия и консультирование. чтобы повысить ценность и улучшить деятельность организации. Он помогает организации достичь поставленных целей, применяя систематический, дисциплинированный подход к оценке и повышению эффективности управления рисками, контроля и управления процессы. Внутренний аудит достигает этого, предоставляя понимание и рекомендации, основанные на анализе и оценке данных и бизнес-процессов . Благодаря приверженности честности и подотчетности, внутренний аудит дает ценность руководящим органам и высшему руководству как объективный источник независимых рекомендаций. Специалисты, называемые внутренними аудиторами, нанимаются организациями для выполнения внутренней аудиторской деятельности.

Объем внутреннего аудита в организации широк и может включать такие темы, как корпоративное руководство, управление рисками и управленческий контроль над: эффективностью / результативностью операций (включая защиту активов), надежностью финансовых и управленческая отчетность и соответствие законам и постановлениям. Внутренний аудит может также включать в себя проведение упреждающих аудитов мошенничества для выявления потенциально мошеннических действий; участие в расследованиях мошенничества под руководством специалистов по расследованию мошенничества и проведение аудитов мошенничества после расследования для выявления нарушений контроля и установления финансовых убытков.

Внутренние аудиторы не несут ответственности за выполнение деятельности компании; они консультируют руководство и совет директоров (или аналогичный надзорный орган) относительно того, как лучше выполнять свои обязанности. В результате широкого охвата внутреннего аудита внутренние аудиторы могут иметь различное высшее образование и профессиональную подготовку.

Институт внутренних аудиторов (IIA ) является признанным международным органом, устанавливающим стандарты для профессии внутреннего аудита, и присуждает международное звание сертифицированного внутреннего аудитора путем тщательной письменной проверки.. В некоторых странах доступны другие обозначения. В Соединенных Штатах профессиональные стандарты Института внутренних аудиторов были кодифицированы в уставах нескольких штатов, касающихся практики внутреннего аудита в правительстве (три примера - штаты Нью-Йорк, Техас и Флорида). Есть также ряд других международных органов по стандартизации.

Внутренние аудиторы работают в государственных учреждениях (федеральных, штатных и местных); для публичных компаний; и для некоммерческих компаний из всех отраслей. Отделы внутреннего аудита возглавляются исполнительным директором по аудиту («CAE»), который обычно подчиняется комитету по аудиту совета директоров совета директоров, а административный подчиняется главный исполнительный директор (в Соединенных Штатах такие отношения отчетности требуются по закону для публичных компаний).

• 1 История внутреннего аудита
• 2 Организационная независимость
• 3 Роль во внутреннем контроле
• 4 Роль в управлении рисками
• 5 Роль в корпоративном управлении
• 6 Выбор проекта аудита или «годовой план аудита»
• 7 Выполнение внутреннего аудита
• 8 Отчеты внутреннего аудита
  • 8.1 Качество отчета внутреннего аудита
• 9 Стратегия
• 10 Другие темы
  • 10.1 Измерение функции внутреннего аудита
  • 10.2 Отчетность о критических выводах
  • 10.3 Философия аудита
• 11 См. Также
• 12 Ссылки

Профессия внутреннего аудитора неуклонно развивалась вместе с прогрессом менеджмента наука после Второй мировой войны. Концептуально он во многом похож на финансовый аудит, проводимый государственными бухгалтерскими фирмами, обеспечение качества и деятельность по соблюдению нормативных требований в банковской сфере. Хотя некоторые методы аудита, лежащие в основе внутреннего аудита, заимствованы из управленческого консалтинга и профессий государственного бухгалтерского учета, теория внутреннего аудита была задумана в первую очередь Лоуренсом Сойером (1911–2002), которого часто называют «отцом современный внутренний аудит »; и текущая философия, теория и практика современного внутреннего аудита, как они определены в Международных стандартах профессиональной практики (IPPF) Института внутренних аудиторов, во многом обязаны видению Сойера.

С внедрением в Соединенных Штатах Закона Сарбейнса – Оксли 2002 года популярность и ценность профессии повысились, поскольку многие внутренние аудиторы обладали необходимыми навыками. чтобы помочь компаниям соответствовать требованиям закона. Однако внимание отделов внутреннего аудита публично торгуемых компаний к финансовой политике и процедурам, связанным с SOX, подорвало прогресс, достигнутый профессионалами в конце 20-го века в направлении видения внутреннего аудита Ларри Сойера. Примерно с 2010 года IIA снова начал выступать за более широкую роль внутреннего аудита на корпоративной арене в соответствии с философией IPPF.

Пока внутренние аудиторы нанимаются непосредственно своей компанией, они могут добиться независимости за счет своих отчетных отношений. Независимость и объективность - краеугольный камень профессиональных стандартов IIA; и подробно обсуждаются в стандартах, вспомогательных практических руководствах и практических рекомендациях. В соответствии со стандартами IIA профессиональные внутренние аудиторы обязаны быть независимыми от проверяемой ими хозяйственной деятельности. Эта независимость и объективность достигаются за счет организационного размещения и подчиненности отдела внутреннего аудита. Внутренние аудиторы публично торгуемых компаний в Соединенных Штатах должны отчитываться о функциональных возможностях непосредственно перед советом директоров или подкомитетом совета директоров (обычно комитетом по аудиту), а не перед руководством, за исключением административных целей.

Требуемая организационная независимость от руководства обеспечивает неограниченную оценку управленческой деятельности и персонала и позволяет внутренним аудиторам выполнять их роль эффективно. Хотя внутренние аудиторы являются частью руководства компании и получают оплату от компании, основным заказчиком деятельности по внутреннему аудиту является организация, на которую возложено надзор за деятельностью руководства. Обычно это комитет по аудиту, подкомитет совета директоров. Организационная независимость эффективно достигается, когда главный исполнительный директор по аудиту функционально подчиняется совету директоров. Примеры функциональной отчетности перед советом директоров включают: утверждение устава внутреннего аудита; Утверждение плана внутреннего аудита с учетом рисков; Утверждение бюджета внутреннего аудита и ресурсного плана; Получение сообщений от руководителя аудита о результатах деятельности внутреннего аудита относительно его плана и других вопросах; Утверждение решений о назначении и освобождении от должности руководителя аудита; Утверждение размера вознаграждения главного аудитора; и Направление соответствующих запросов к руководству и исполнительному директору аудита, чтобы определить, есть ли несоответствующий объем или ограничения ресурсов.

Деятельность внутреннего аудита в первую очередь направлена ​​на оценку внутреннего контроля. В соответствии с концепцией COSO внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров, руководством и другим персоналом организации и призванный обеспечить разумную уверенность в достижении следующих основных целей, для которых все предприятия стремятся:

• Эффективность и эффективность операций.
• Надежность финансовой и управленческой отчетности.
• Соответствие законам и постановлениям.
• Защита активов

Управление отвечает за внутренний контроль, который включает пять важнейших компонентов: контрольную среду; оценка рисков; меры контроля, ориентированные на риски; информация и коммуникация; и мониторинг деятельности. Менеджеры устанавливают политики, процессы и практики в этих пяти компонентах управленческого контроля, чтобы помочь организации достичь четырех конкретных целей, перечисленных выше. Внутренние аудиторы проводят аудит, чтобы оценить, присутствуют ли и работают ли пять компонентов управленческого контроля эффективно, и, если нет, дают рекомендации по улучшению.

В Соединенных Штатах служба внутреннего аудита независимо проверяет утверждения руководства и отчитывается перед комитетом по аудиту совета директоров компании.

Профессиональные стандарты внутреннего аудита требуют, чтобы функция оценивала эффективность деятельности организации по управлению рисками. Управление рисками - это процесс, с помощью которого организация выявляет, анализирует, реагирует, собирает информацию и отслеживает стратегические риски, которые могут фактически или потенциально повлиять на способность организации достичь своей миссии и целей.

В рамках COSO концепции управления рисками предприятия (ERM) стратегия, операции, отчетность и соответствие нормативным требованиям организации связаны со стратегическими бизнес-рисками - отрицательными результатами в результате внутренних и внешних событий, препятствующих достижению организацией своих целей. Руководство оценивает риск как часть обычной деловой деятельности, такой как стратегическое планирование, маркетинговое планирование, планирование капитала, бюджетирование, хеджирование, структура поощрительных выплат, практика кредитования / кредитования, слияния и поглощения, стратегическое партнерство, законодательные изменения, ведение бизнеса за рубежом, Правила Сарбейнса – Оксли требуют тщательной оценки рисков процессов финансовой отчетности. Корпоративный юрисконсульт часто готовит комплексную оценку текущих и потенциальных судебных разбирательств, с которыми сталкивается компания. Внутренние аудиторы могут оценить каждый из этих видов деятельности или сосредоточиться на всеобъемлющем процессе, используемом для управления рисками в масштабах всей организации. Например, внутренние аудиторы могут посоветовать руководству сообщить совету директоров о перспективных операционных мерах, чтобы помочь выявить возникающие риски; либо внутренние аудиторы могут оценить и составить отчет о том, могут ли совет директоров и другие заинтересованные стороны иметь разумную уверенность в том, что руководство организации внедрило эффективную программу управления рисками предприятия.

В более крупных организациях основные стратегические инициативы реализуются для достижения целей и стимулирования изменений. В качестве члена высшего руководства исполнительный директор по аудиту (CAE) может участвовать в обновлении статуса по этим основным инициативам. Это дает CAE возможность сообщать комитету по аудиту о многих основных рисках, с которыми сталкивается организация, или обеспечивать эффективность отчетности руководства для этой цели.

Служба внутреннего аудита может помочь организации снизить риск мошенничества посредством оценки риска мошенничества с использованием принципов предотвращения мошенничества. Внутренние аудиторы могут помочь компаниям установить и поддерживать процессы управления рисками предприятия. Этот процесс высоко ценится многими предприятиями за создание и внедрение эффективных систем управления и обеспечение поддержания качества и соблюдения профессиональных стандартов. Внутренние аудиторы также играют важную роль в оказании помощи компаниям в проведении нисходящей оценки рисков SOX 404. В этих двух последних областях внутренние аудиторы обычно являются частью группы по оценке рисков и выполняют консультативные функции.

Деятельность внутреннего аудита, связанная с корпоративным управлением, в прошлом была в основном неформальной, в основном за счет участия во встречах и дискуссиях с членами Совет директоров. Согласно концепции ERM COSO, управление - это политика, процессы и структуры, используемые руководством организации для управления деятельностью, достижения целей и защиты интересов различных групп заинтересованных сторон в соответствии с этическими стандартами. Внутренний аудитор часто считается одним из «четырех столпов» корпоративного управления, а другими столпами являются совет директоров, менеджмент и внешний аудитор.

Основная область внутреннего аудита в том, что касается Корпоративное управление помогает комитету по аудиту совета директоров (или аналогичного органа) эффективно выполнять свои обязанности. Это может включать сообщение о критических проблемах управленческого контроля, предложение вопросов или тем для повесток дня заседаний комитета по аудиту, а также координацию с внешним аудитором и руководством для обеспечения того, чтобы комитет получал эффективную информацию. В последние годы IIA выступает за более формальную оценку корпоративного управления, особенно в области надзора совета директоров за корпоративными рисками, корпоративной этики и мошенничества.

На основе оценки рисков организации внутренние аудиторы, менеджмент и надзорные советы определяют, на чем сосредоточить усилия внутреннего аудита.. Этот фокус или приоритезация является частью ежегодного / многолетнего. план аудита обычно предлагается CAE (иногда с несколькими вариантами или альтернативами) для рассмотрения и утверждения комитетом по аудиту или советом директоров. Внутренний аудит обычно выполняется как одно или несколько отдельных заданий.

Типичное задание внутреннего аудита включает следующие шаги:

1. Установление и доведение масштабов и целей аудита до соответствующих членов руководства.
2. Развитие понимания исследуемой области бизнеса - это включает цели, измерения и ключевые типы транзакций, а также интервью и анализ документов - при необходимости могут быть созданы блок-схемы и описания.
3. Описание основных рисков, с которыми сталкивается бизнес-деятельность в рамках аудита.
4. Выявление управленческих практик в пяти компонентах контроля, используемых для обеспечения надлежащего контроля и мониторинга каждого ключевого риска. Контрольный список внутреннего аудита может быть полезным инструментом для выявления общих рисков и желаемых средств контроля в конкретном процессе или в конкретной отрасли, в которой проводится аудит.
5. Разработка и применение подхода к выборке и тестированию на основе рисков для определения того, является ли наиболее важным менеджмент средства контроля работают, как задумано.
6. Отчетность о выявленных проблемах и проблемах и согласование планов действий с руководством по их устранению.
7. Последующие действия по полученным результатам через соответствующие промежутки времени. Для этой цели отделы внутреннего аудита ведут базу данных о последующих действиях.

Продолжительность аудиторских заданий зависит от сложности проверяемой деятельности и имеющихся ресурсов внутреннего аудита. Многие из вышеперечисленных шагов являются итеративными и могут не выполняться в указанной последовательности.

В дополнение к оценке бизнес-процессов специалисты, называемые аудиторами информационных технологий (ИТ), проверяют средства контроля информационных технологий.

Внутренние аудиторы обычно выпускают отчеты в конце каждого отчета. аудит, в котором резюмируются их выводы, рекомендации и любые ответы или планы действий со стороны руководства. В аудиторском отчете может быть краткое изложение - орган, включающий выявленные конкретные проблемы или выводы, а также соответствующие рекомендации или планы действий, а также дополнительную информацию, такую ​​как подробные графики и диаграммы или информацию о процессе. Каждый вывод аудита в основной части отчета может содержать пять элементов, иногда называемых «5 C»:

1. Условие: Какова конкретная выявленная проблема?
2. Критерии: Какой стандарт не был соблюден ? Стандарт может быть политикой компании или другим эталоном.
3. Причина: почему возникла проблема?
4. Последствие: каков риск / отрицательный результат (или упущенная возможность) из-за обнаружения?
5. Корректирующее действие: что руководство должно сделать с обнаружением? Что они согласились сделать и когда?

Рекомендации в отчете о внутреннем аудите призваны помочь организации в достижении эффективных и действенных процессов управления, управления рисками и контроля, связанных с операционными целями, целями финансовой и управленческой отчетности; и цели соблюдения нормативных требований.

Выводы и рекомендации аудита могут также относиться к конкретным утверждениям о транзакциях, например, были ли проверенные транзакции действительными или авторизованными, полностью обработанными, точно оцененными, обработанными в правильный период времени и должным образом раскрытыми в финансовой или операционной отчетность, среди других элементов.

В соответствии со стандартами IIA критически важным компонентом процесса аудита является подготовка сбалансированного отчета, который дает руководству и совету директоров возможность оценить и взвесить проблемы, о которых сообщается, в надлежащем контексте и перспективе. Предоставляя перспективу, анализ и практические рекомендации по улучшению бизнеса в критических областях, аудиторы помогают организации достичь поставленных целей.

Качество отчета внутреннего аудита

• Объективность - Комментарии и мнения, выраженные в отчете, должны быть объективными и непредвзятыми.
• Ясность - Используемый язык должен быть простым и понятным.
• Точность - Информация, содержащаяся в отчете, должна быть точной.
• Краткость - Отчет должен быть кратким.
• Своевременность - Отчет должен быть выпущен незамедлительно сразу после аудита завершается в течение месяца.

Службы внутреннего аудита могут также разрабатывать функциональные стратегии, описанные в многолетних стратегических планах. Профессиональное руководство по созданию стратегического плана внутреннего аудита было выпущено Институтом внутренних аудиторов в июле 2012 года в практическом руководстве под названием «Разработка стратегического плана внутреннего аудита». Ключевым аспектом разработки стратегии внутреннего аудита является понимание ожиданий заинтересованных сторон, таких как комитет по аудиту и высшее руководство. Это помогает направлять функцию внутреннего аудита в выполнении ее миссии - помогать организации устранять риски, с которыми она сталкивается. Конкретные темы, рассматриваемые в стратегическом планировании внутреннего аудита, включают:

• Объем и акцент: функция внутреннего аудита может участвовать в рассмотрении рисков, связанных с финансовой отчетностью, операциями, соблюдением правовых и нормативных требований и стратегией компании. Также могут быть особые темы, представляющие интерес для заинтересованных сторон, которые значительно меняются из года в год.
• Портфель услуг: функции внутреннего аудита могут обеспечивать традиционные аудиторские гарантии по всему спектру рисков, а также консультационную поддержку проектов в различных сферах. такие области, как управление проектами, анализ данных и мониторинг основных инициатив компании. Более крупные аудиторские службы могут создавать специальные области для управления своим портфелем услуг.
• Развитие компетенций: ожидания заинтересованных сторон в отношении объема и портфеля услуг определяют, какие компетенции необходимы функции, что определяет решения относительно найма сотрудников с конкретными навыками и программ обучения. Служба внутреннего аудита часто используется как «площадка для обучения менеджеров», чтобы предоставить сотрудникам более глубокие знания о деятельности компании, прежде чем они будут переведены на руководящую должность.
• Технологии: функции внутреннего аудита используют различные технологические инструменты. / программное обеспечение для поддержки рабочего процесса процесса аудита, статистического анализа и получения данных из систем.

Построение стратегии внутреннего аудита может включать в себя различные концепции и структуры стратегического управления, такие как стратегическое планирование, стратегическое мышление и SWOT-анализ.

Измерение функции внутреннего аудита

Измерение функции внутреннего аудита может включать сбалансированная система показателей подход. Функции внутреннего аудита в первую очередь оцениваются на основе качества консультаций и информации, предоставленной комитету по аудиту и высшему руководству. Однако это в первую очередь качественное, поэтому его трудно измерить. «Опросы клиентов», рассылаемые ключевым менеджерам после каждого аудиторского задания или отчета, могут использоваться для измерения эффективности с ежегодным опросом аудиторского комитета. Для таких опросов типична оценка по таким параметрам, как профессионализм, качество консультаций, своевременность результатов работы, полезность встреч и качество обновлений статуса. Понимание ожиданий высшего руководства и комитета по аудиту представляет собой важные шаги в разработке процесса измерения эффективности, а также то, как такие меры помогают согласовать функцию аудита с приоритетами организации. Независимые партнерские проверки являются частью процесса обеспечения качества для многих групп внутреннего аудита, поскольку они часто требуются стандартами. Итоговый отчет о коллегиальной проверке предоставляется комитету по аудиту.

Отчетность о критических выводах

исполнительный директор по аудиту (CAE) обычно ежеквартально отчитывается перед комитетом по аудиту вместе с руководством. прогресс в их разрешении. Критические проблемы обычно имеют разумную вероятность причинения существенного финансового или репутационного ущерба компании. По особо сложным вопросам в обсуждении может участвовать ответственный руководитель. Такая отчетность имеет решающее значение для обеспечения соблюдения функции, наличия в организации надлежащего «тона наверху » и для ускорения решения таких проблем. Выбор подходящих вопросов для внимания комитета по аудиту и их описание в надлежащем контексте требует серьезного суждения.

Философия аудита

Некоторые принципы и подходы внутреннего аудита заимствованы из работ Лоуренса Сойера. Его философия и рекомендации относительно роли внутреннего аудита были предшественниками нынешнего определения внутреннего аудита. Особое внимание уделялось оказанию помощи руководству и совету директоров в достижении целей организации с помощью аргументированных аудитов, оценок и анализа областей деятельности. Он призвал современного внутреннего аудитора действовать как советник для руководства, а не как противник. Сойер рассматривал аудиторов как активных игроков, влияющих на события в бизнесе, а не критикующих все степени ошибок и ошибок. Он также предвидел более желательное будущее аудитора, предполагающее более тесные отношения с членами комитета по аудиту и советом директоров и отказ от прямой отчетности финансовому директору.

Сойер часто говорил о том, что «поймать менеджера, который делает что-то правильно». и обеспечение признания и положительного подкрепления. Написание положительных наблюдений в аудиторских отчетах было редкостью, пока Сойер не заговорил об этой идее. Он понял и спрогнозировал преимущества предоставления более сбалансированной отчетности при одновременном построении лучших взаимоотношений. Сойер понимал психологию межличностной динамики и необходимость того, чтобы все люди получали признание и подтверждение для процветания отношений.

Сойер помог сделать внутренний аудит более актуальным и интересным, сосредоточив внимание на операционном аудите или аудите эффективности. Он настоятельно рекомендовал не ограничиваться финансовой отчетностью и финансовым аудитом в таких областях, как закупки, складирование и распределение, человеческие ресурсы, информационные технологии, управление помещениями, обслуживание клиентов, полевые операции и управление программами. Такой подход помог главному аудитору стать уважаемым и знающим советником, которого считали разумным, объективным и заинтересованным в помощи организации в достижении заявленных целей.

• Сертифицированная информация Системный аудитор
• Сертифицированный институт внутренних аудиторов
• Комитет спонсорских организаций Комиссии Тредуэя (COSO)
• Защита от мошенничества
• Институт внутренних аудиторов
• Совет по международным стандартам аудита и подтверждения достоверности информации
• Международный реестр сертифицированных аудиторов
• Аудит ИБ
• Операционный аудит
• Внутренний аудит на основе рисков