Внутренний аудит и coso
TRANSCRIPT
Внутренний Аудит и COSO
Служба внутреннего аудита и 17 принципов COSO Internal Control –
Integrated Framework
Исходный документ Leveraging COSO Across the Three Lines of Defense
Краткий экскурс в COSO Internal Control – Integrated Framework
Internal Control Framework разделяет систему внутреннего контроля на пять компонентов:• Контрольная Среда• Оценка Рисков• Контрольные Процедуры• Информация и коммуникации• Процедуры Мониторинга Компоненты в свою очередь подразделяются на принципы.
Внутренний Аудит• Служба внутреннего аудита является третьей линией
защиты организации. • ИВА дает следующее определение внутреннему аудиту:
– Внутренний аудит является деятельностью по предоставлению независимых и объективных гарантий и консультаций, направленной на совершенствование работы организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления.
Целью данной презентации является определение роли и действий внутреннего аудита
направленных на достижение эффективного функционирования 17-ти принципов
COSO Internal Control Integrated Framework
Контрольная Среда Control Environment
1. Организация демонстрирует приверженность честности и этическим ценностям.
Внутренний аудит:• Оценивает состояние этического климата организации, а
также эффективность стратегий, тактик, коммуникаций и других процессов направленных на достижение желаемого уровня правового и этического соответствия;
• Оценивает дизайн, внедрение и эффективность целей, программ и деятельности организации связанных с этикой;
• Предоставляет гарантии того, что этические программы достигают поставленных целей, ключевые риски эффективно управляются, а контроли эффективно функционируют;
• Предоставляет консультационные услуги в целях установления в организации адекватных этических программ.
2. Совет директоров проявляет независимость от руководства организации и осуществляет надзор за
совершенствованием и осуществлением внутреннего контроля.
Внутренний аудит:• Предоставляет гарантии относительно разработки и
осуществления внутреннего контроля;• Оценивает:
– является ли дизайн контроля уместным; – внедрен ли эффективно и – функционирует ли в соответствии с ожиданиями;
3. Руководство организации под надзором совета директоров устанавливает структуры, линии отчетности
и надлежащие системы прав и обязанностей сотрудников для достижения поставленных целей.
Внутренний аудит:• Предоставляет гарантии уместности и эффективности
операционных структур, линий отчетности, а также прав и обязанностей сотрудников;
• Внедряет политики и практики, в целях осуществления своей деятельности в соответствии с уставом внутреннего аудита;
• Периодически подтверждает перед советом директоров свою независимость и объективность.
4. Организация демонстрирует обязательство привлекать, развивать и удерживать компетентных сотрудников для
достижения поставленных целей.
Внутренний аудит:• Привлекает, развивает и удерживает компетентных
сотрудников для достижения миссии и соответствия уставу;
• Оценивает и предоставляет гарантии относительно экономичности и эффективности таких процессов организации, как:– Кадровая политика– Компенсационная политика– Планы преемственности и т. д.
5. Организация привлекает к ответственности за неисполнение обязанностей по внутреннему
контролю.
Внутренний аудит:• Предоставляет гарантии относительно исполнения
специфических обязанностей по внутреннему контролю;
• Может давать рекомендации по привлечению к ответственности, однако обычно– не обладает правом принятия решения по осуществлению
каких-либо действий в отношении лиц, неисполняющих обязанности по внутреннему контролю.
Оценка Рисков Risk Assessment
6. Организация устанавливает цели с такой точностью, чтобы выявление и оценка рисков были максимально
эффективны.Внутренний аудит:
• Удостоверяется в том, что цели – Определены– Специфичны– Измеримы– Достижимы– Уместны и своевременны
• Может оценивать обще-организационные цели в ходе специально-отведенной аудиторской проверки
• Может оценивать специфические цели в ходе проверок отдельных процессов.
7. Организация выявляет и анализирует риски влияющие на достижение целей. Это служит основой
для определения методик управления рисками.
Внутренний аудит:• При создании аудиторского плана принимает во
внимание процесс управления рисками со стороны организации. В том числе:– Определение и оценка неотъемлемого и остаточного рисков– Контроль, план действий в непредвиденных обстоятельствах
и процедуры мониторинга специфических рисков– Точность и полнота регистров рисков– Адекватность документации относительно процессов
управления рисками и контрольных действий
8. В ходе оценки рисков организация принимает во внимание возможность осуществления мошеннических
действий.
Основываясь на международные стандарты внутреннего аудита:
• 1210.А2– Внутренние аудиторы должны обладать
достаточными знаниями, чтобы оценить риск мошенничества и то, каким образом организация управляет этим риском. В то же время не предполагается, что внутренние аудиторы обладают компетенцией специалиста, чья основная функция заключается в выявлении и расследовании фактов мошенничества.
9. Организация выявляет и оценивает изменения способные в значительной степени влиять на систему
внутреннего контроля.
Внутренний аудит: • В ходе периодической оценки рисков, а также во время
аудиторских проверок определяет и оценивает изменения, способные влиять на систему внутреннего контроля;
• Регулярно общается с руководством организации в целях своевременного прогнозирования возможных изменений.
Когтрольные процедурыControl Activities
10. Организация подбирает и совершенствует контрольные действия, способствующие смягчению
рисков и достижению целей.
Внутренний аудит:• Предоставляет гарантии того, что– Дизайн контрольных процедур уместен– Контрольные процедуры эффективно внедрены и– Работают в соответствии с ожиданием
• Предоставляет соответствующие рекомендации.
11. Организация подбирает и совершенствует контрольные процедуры над информационными технологиями.
Внутренний аудит:• Оценивает соответствие методов управления информационными
технологиями стратегиям и целям организации;• Предоставляет гарантии относительно экономичности,
эффективности и полноты технологических контрольных процедур;• Предоставляет соответствующие рекомендации;Основываясь на стандарты внутреннего аудита:• 1210.А3
– Внутренние аудиторы должны обладать достаточными знаниями о ключевых рисках и процедурах контроля, связанных с информационными технологиями, и уметь использовать автоматизированные методы аудита в объеме, достаточном для выполнения порученных заданий. В то же время не предполагается, что все внутренние аудиторы обладают компетенцией внутреннего аудитора, чья основная функция заключается в аудите информационных технологий.
12. Для функционирования контрольных действий организация применяет политику, устанавливающую
ожидаемый результат, и процедуры, претворяющие политику в жизнь.
Внутренний аудит:• Предоставляет гарантии относительно дизайна и
внедрения политики, процедур и других контрольных действий;
• Дает соответствующие рекомендации.
Информация и КоммуникацииInformation and Communication
13. Организация приобретает либо производит и использует уместную, качественную информацию для поддержки
функционирования внутреннего контроля.
Внутренний аудит:• Предоставляет гарантии относительно надежности и
целостности информации и рисков влияющих на качество информации. Рассматриваются, как внутренние, так и внешние риски;
• Периодически оценивает надежность и целостность практик организации связанных с информационным оборотом;
• Рекомендует совершенствование или внедрение новых контрольных процедур направленных на улучшение информационного оборота;
• Определяет, своевременно ли информируется руководство организации, совет директоров и служба внутреннего аудита относительно нарушений целостности и надежности информационного оборота.
14. В организации существует процесс внутреннего обмена информацией, включающей в себя цели и обязанности по
внутреннему контролю.
Внутренний аудит:• Предоставляет гарантии относительно полноты, точности и
качества предоставления информации в соответствии с нуждами совета директоров и руководства организации.
Внутренний обмен информацией может включать следующее:
– Совершенствование и профилактика процессов предоставления информации, необходимой для понимания и эффективного исполнения обязанностей по внутреннему контролю;
– Предоставление совету директоров адекватной информации;– Установление обособленных информационных каналов (горячих
линий осведомления), необходимых для осуществления анонимного или конфиденциального информирования, в случае неэффективности обычных информационных каналов.
15. Организация обменивается информацией с внешними сторонами относительно вопросов, влияющих на
функционирование внутреннего контроля.
Внутренний аудит:• Предоставляет гарантии относительно качества
информационного оборота с внешними сторонами;• Обычно не обменивается информацией с внешними
сторонами относительно вопросов, влияющих на функционирование внутреннего контроля.
Процедуры МониторингаMonitoring Activities
16. Организация подбирает, совершенствует и осуществляет непрерывные и/или обособленные оценки наличия и
функционирования внутреннего контроля.
Внутренний аудит:• Предоставляет гарантии того, что непрерывные оценки
со стороны руководства организации встроены в процессы и подвергаются корректировке при изменении условий;
• Предоставляет гарантии того, что информация, раскрывающая осуществляемые руководством оценки, является точной;
• Предоставляет гарантии того, что система внутреннего контроля функционирует в соответствии с ожиданиями и процесс управления рисками соответствует риск аппетиту организации.
17. Организация оценивает и предоставляет информацию относительно недостатков внутреннего контроля лицам
ответственным за корректирующие действия, в том числе руководству организации и совету директоров.
Внутренний аудит:• Создает систему мониторинга за исполнением согласованных
действий, принятых по результатам аудиторских проверок. Система мониторинга обычно включает:– Период времени, необходимый для ответа руководства на
аудиторские замечания и рекомендации;– Оценка ответа руководства;– Проверка исполнения (follow-up);– Процесс предоставления информации относительно
неудовлетворительных ответов/действий, в том числе принятие риска со стороны соответсвующего уровня руководства организации или совета директоров.