Глава 3. Организация внутреннего аудита. Информационное письмо Банка России от 01.10.2020 N ИН-06-28/143 "О рекомендациях по организации управления рисками, внутреннего контроля, внутреннего аудита, работы комитета совета директоров (наблюдательного совета) по аудиту в публичных акционерных обществах"

Глава 3. Организация внутреннего аудита

3.1. Цели и задачи внутреннего аудита

В целях содействия совету директоров и исполнительным органам в сохранении и повышении стоимости Общества и достижении поставленных перед ним целей Обществу рекомендуется организовать внутренний аудит для проведения независимых и объективных внутренних аудиторских проверок на основе риск-ориентированного подхода, предоставления консультаций и обмена знаниями ³⁷.

Внутренний аудит способствует достижению Обществом поставленных целей, используя систематизированный и последовательный подход к оценке и выработке рекомендаций по повышению эффективности управления рисками, внутреннего контроля и корпоративного управления, предоставляя независимые и объективные гарантии и консультации, направленные на совершенствование деятельности Общества ³⁸.

Цели, задачи, полномочия и обязанности внутреннего аудита, способ организации внутреннего аудита в Обществе, подотчетность внутреннего аудита в Обществе, порядок контроля обеспечения и повышения качества внутреннего аудита рекомендуется определить в положении (политике) в области организации и осуществления внутреннего аудита Общества (далее - политика внутреннего аудита).

К задачам внутреннего аудита можно отнести:

Оценку корпоративного управления и предоставление рекомендаций по его совершенствованию

Оценку корпоративного управления в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области корпоративного управления.

Оценка корпоративного управления может включать проверку:

- соблюдения и продвижения в Обществе этических принципов и корпоративных ценностей;

- порядка постановки целей Общества, мониторинга и контроля их достижения;

- процесса принятия стратегических и операционных решений в Обществе;

- уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам внутреннего контроля и управления рисками) на всех уровнях управления Общества, включая взаимодействие с заинтересованными сторонами;

- соответствия системы управления информационными технологиями стратегии и целям Общества;

- осуществления надзора за системой управления рисками и внутреннего контроля;

- обеспечения прав акционеров, в том числе подконтрольных обществ, и эффективности взаимоотношений с заинтересованными сторонами;

- процедур раскрытия информации о деятельности Общества и подконтрольных ему обществ.

Оценку надежности и эффективности управления рисками и внутреннего контроля и предоставление рекомендаций по ее совершенствованию

Оценку надежности и эффективности управления рисками и внутреннего контроля в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области управления рисками и внутреннего контроля ³⁹, настоящих Рекомендациях.

При проведении оценки надежности и эффективности управления рисками и внутреннего контроля рекомендуется обратить внимание прежде всего на определение наличия и работу компонентов управления рисками и внутреннего контроля, а также эффективность их функционирования совместно, интегрированным образом.

При формировании суждения об эффективности управления рисками в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:

- соответствие целей деятельности Общества его миссии;

- полноту и корректность выявления и оценки существенных рисков;

- эффективность мер реагирования на риски и их удержания в пределах риск-аппетита Общества;

- порядок сбора и обмена информацией о рисках внутри Общества для обеспечения надлежащего реагирования на риски.

При формировании суждения об эффективности внутреннего контроля в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:

- эффективность внутреннего контроля применительно к одной категории целей (например, подготовка финансовой отчетности) или нескольким целям;

- адекватность критериев, установленных исполнительными органами Общества для анализа степени достижения поставленных целей, в том числе проведение руководством Общества оценки и мониторинга затрат и выгод, связанных с внедрением средств контроля;

- эффективность контрольных процедур и их соответствие уровню риска;

- степень существенности недостатков внутреннего контроля.

3.2. Внутренний аудит в организационной структуре Общества

Способ организации внутреннего аудита

Совету директоров Общества рекомендуется определить наиболее оптимальный способ организации внутреннего аудита, а именно - посредством введения должности руководителя внутреннего аудита, создания отдельного структурного подразделения внутреннего аудита или посредством привлечения независимой внешней организации ⁴⁰.

При выборе способа организации внутреннего аудита целесообразно принимать во внимание следующие критерии:

- соотношение затрат на создание и функционирование внутреннего аудита в Обществе с затратами на оплату стоимости услуг независимой внешней организации;

- наличие в штате или возможность найма достаточного количества работников, обладающих знаниями, навыками и опытом, необходимыми для выполнения поставленных перед внутренним аудитом целей и задач;

- географическая удаленность подразделений Общества;

- частота проведения аудиторских проверок;

- требования нормативных документов общества, законодательства Российской Федерации и регулирующих органов (в частности, ограничения, налагаемые на независимую внешнюю организацию в связи с отсутствием разрешительной документации (лицензии) на работу с определенным типом информации).

Все вопросы, связанные с организацией и деятельностью внутреннего аудита, до представления их на утверждение или рассмотрение совету директоров Общества рекомендуется предварительно направлять на рассмотрение комитету по аудиту.

В политике внутреннего аудита рекомендуется закрепить, что в случае принятия решения советом директоров Общества о проведении внутреннего аудита с привлечением независимой внешней организации ответственность за выбор и качество осуществления внутреннего аудита Общества несет совет директоров. В политике внутреннего аудита также рекомендуется закрепить, что при передаче на аутсорсинг только отдельных проверок или отдельных задач внутреннего аудита, например выполнение заданий по консультированию, ответственность за их выполнение и результаты возлагается на руководителя внутреннего аудита Общества.

Совету директоров помимо утверждения порядка выбора независимой внешней организации, определения такой организации и условий договора с ней, в том числе размера вознаграждения за оказанные услуги, рекомендуется также определить порядок обеспечения качества ее деятельности (например, посредством утверждения программы обеспечения и повышения качества внутреннего аудита как приложения к договору с внешней организацией), провести оценку наличия у организации, рассматриваемой для проведения внутреннего аудита в Обществе, конфликта интересов с Обществом любого рода, включая наличие связанности с акционерами Общества, лицами, контролирующими Общество, и акционерами его подконтрольных обществ ⁴¹.

Организационная структура, подотчетность и полномочия внутреннего аудита в Обществе

В случае принятия решения советом директоров об организации функции внутреннего аудита в самом Обществе организация внутреннего аудита, структура и штатная численность структурного подразделения внутреннего аудита определяется в зависимости от масштаба деятельности Общества и с учетом организационной структуры Общества.

С учетом целей и задач, масштаба деятельности Общества внутренний аудит может быть организован посредством:

- назначения руководителя внутреннего аудита - должностного лица Общества, отвечающего за организацию и осуществление внутреннего аудита в Обществе, и создания отдельного структурного подразделения внутреннего аудита, возглавляемого руководителем структурного подразделения. Для достижения целей внутреннего аудита рекомендуется определить непосредственную подчиненность руководителя структурного подразделения внутреннего аудита должностному лицу, отвечающему за организацию и осуществление внутреннего аудита в Обществе, - руководителю внутреннего аудита в Обществе;

- создания отдельного структурного подразделения внутреннего аудита, возглавляемого руководителем структурного подразделения, который отвечает за организацию и осуществление внутреннего аудита в Обществе (руководителем внутреннего аудита в Обществе).

При определении требований к руководителю внутреннего аудита рекомендуется руководствоваться положениями Профессионального стандарта "Внутренний аудитор" и особенностями организационной структуры Общества.

Во внутренних документах Общества рекомендуется закрепить, что руководитель внутреннего аудита в целях предотвращения конфликта интересов, обеспечения условий его независимости и объективности назначается на должность и освобождается от занимаемой должности единоличным исполнительным органом Общества на основании решения совета директоров, административно подотчетен единоличному исполнительному органу Общества и функционально - совету директоров Общества ⁴².

Административная подотчетность означает:

- выделение необходимых средств в рамках утвержденного советом директоров Общества бюджета внутреннего аудита;

- получение отчетов о деятельности внутреннего аудита;

- оказание поддержки во взаимодействии с подразделениями Общества;

- администрирование политик и процедур деятельности внутреннего аудита.

Функциональная подотчетность означает:

- утверждение советом директоров политики внутреннего аудита;

- утверждение советом директором плана деятельности внутреннего аудита и одобрение бюджета на организацию и осуществление внутреннего аудита на отчетный период;

- информирование совета директоров о ходе выполнения плана деятельности внутреннего аудита в течение отчетного периода, но не реже одного раза в год ⁴³, в том числе обеспечение прямого доступа руководителя внутреннего аудита к председателю комитета по аудиту по вопросам деятельности внутреннего аудита;

- утверждение советом директоров решения о назначении, освобождении от должности, а также определение вознаграждения руководителя внутреннего аудита;

- рассмотрение советом директоров существенных ограничений полномочий внутреннего аудита или иных ограничений, способных негативно повлиять на осуществление внутреннего аудита;

- рассмотрение советом директоров заключения о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления в Обществе.

В целях обеспечения независимости и объективности внутреннего аудита совету директоров и единоличному исполнительному органу Общества рекомендуется исключить факторы, влекущие возникновение у руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита конфликта интересов любого рода, в том числе вызванного такими обстоятельствами, как:

- совмещение руководителем внутреннего аудита управления функциональными направлениями деятельности Общества, обществ, его контролирующих, и (или) его подконтрольных обществ, требующими принятия управленческих решений (включая членство в коллегиальных исполнительных органах);

- совмещение должности руководителя внутреннего аудита, руководителя структурного подразделения внутреннего аудита Общества с должностью руководителя внутреннего аудита или руководителя структурного подразделения внутреннего аудита в обществах, его контролирующих, и (или) его подконтрольных обществах;

- участие (членство) руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита Общества в органах управления Общества, обществ, его контролирующих, и (или) его подконтрольных обществ (советах директоров и его комитетах).

Кроме того, совету директоров и единоличному исполнительному органу Общества рекомендуется предусмотреть следующие меры, направленные на обеспечение независимости и объективности внутреннего аудита:

- в целом не рекомендуется, но в случае выполнения руководителем внутреннего аудита функций, находящихся вне сферы деятельности внутреннего аудита, а именно: управления рисками, внутреннего контроля, комплаенс-контроля, - совмещение руководителем внутреннего аудита вышеуказанных функций требует одобрения советом директоров Общества, при этом не допускается совмещение его должности с должностью руководителя структурного подразделения внутреннего аудита Общества, а также структурных подразделений, находящихся в его ведении;

- разграничение полномочий и обязанностей внутреннего аудита от деятельности других структурных подразделений Общества, а именно:

- на руководителя структурного подразделения внутреннего аудита не могут быть возложены обязанности, не связанные с осуществлением внутреннего аудита в Обществе;

- в состав структурного подразделения внутреннего аудита не могут входить подразделения и работники, деятельность которых не связана с осуществлением внутреннего аудита в Обществе;

- обеспечение объективности и независимости руководителя внутреннего аудита, руководителя и работников структурного подразделения внутреннего аудита в целях предотвращения потенциальных и существующих конфликтов интересов и предвзятого отношения, включая запрет на проведение проверки тех областей, за которые аудитор нес ответственность в течение года, предшествующего проверке;

- ежегодное подтверждение руководителем внутреннего аудита и руководителем структурного подразделения внутреннего аудита факта организационной независимости внутреннего аудита Общества.

К полномочиям работников Общества, осуществляющих внутренний аудит, целесообразно отнести, включая, но не ограничиваясь:

- беспрепятственный доступ (при соблюдении требований законодательства Российской Федерации) к документам, бухгалтерским записям, информационным ресурсам, материалам заседаний коллегиальных органов и другой информации о деятельности Общества в рамках выполнения своих должностных обязанностей, в том числе в электронной форме, ознакомление с проектами решений и решениями совета директоров и исполнительных органов Общества;

- право руководителя внутреннего аудита на участие в заседаниях совета директоров, его комитетов и заседаниях (совещаниях) исполнительных органов Общества;

- право производить при проведении аудиторских проверок фото- и видеофиксацию фактов хозяйственной деятельности Общества, запрашивать и получать доступ к активам ⁴⁴, а также проводить интервью, задавать работникам вопросы, необходимые для достижения целей аудиторской проверки:

- использование информационных ресурсов и программного обеспечения Общества для целей внутреннего аудита;

- право привлекать сторонних экспертов для решения отдельных задач в рамках осуществления деятельности внутреннего аудита.

Профессиональные требования к работникам Общества, осуществляющим внутренний аудит

Профессиональные требования к работникам структурного подразделения внутреннего аудита целесообразно устанавливать с учетом требований Профессионального стандарта "Внутренний аудитор" ⁴⁵, а также видов деятельности, осуществляемых Обществом.

По усмотрению Общества к кандидату на позицию руководителя внутреннего аудита и руководителя структурного подразделения внутреннего аудита может быть установлено дополнительное требование о наличии профильной сертификации (национальной и (или) международной).

Внутренний аудит в холдингах

В уставах подконтрольных обществ рекомендуется определить порядок принятия органами управления таких обществ решений об организации внутреннего аудита.

Внутренний аудит в подконтрольных обществах рекомендуется осуществлять, руководствуясь настоящими Рекомендациями.

Руководителю внутреннего аудита Общества рекомендуется информировать совет директоров (через комитет по аудиту) об организации внутреннего аудита в подконтрольных обществах, а также подготавливать позицию акционера по вопросам организации и функционирования внутреннего аудита в подконтрольных обществах с учетом применимых требований законодательства и регулирующих органов.

3.3. Обязанности внутреннего аудита

Для эффективного осуществления деятельности внутреннего аудита рекомендуется:

- осуществлять подготовку плана деятельности внутреннего аудита на отчетный период, включая риск-ориентированный план аудиторских проверок, определяющий приоритеты внутреннего аудита в соответствии с целями Общества;

- проводить внутренние аудиторские проверки на основании утвержденного плана аудиторских проверок, а также внеплановые проверки (в случае такой необходимости);

- проводить иные проверки по запросу совета директоров, комитета по аудиту и исполнительных органов Общества в пределах своих компетенций;

- осуществлять мониторинг выполнения в Обществе планов мероприятий по устранению недостатков и совершенствованию управления рисками и внутреннего контроля, а также корпоративного управления по результатам проведенных внутренних аудиторских проверок;

- предоставлять консультации совету директоров и исполнительным органам Общества по вопросам управления рисками, внутреннего контроля и корпоративного управления;

- взаимодействовать с внешним аудитором Общества, а также другими сторонами, осуществляющими проверки и оказывающими консультационные услуги в области управления рисками, внутреннего контроля и корпоративного управления;

- осуществлять подготовку отчета и информировать совет директоров (в том числе через комитет по аудиту) и исполнительные органы Общества в соответствии с установленной периодичностью, но не реже одного раза в год, о выполнении плана деятельности внутреннего аудита, о результатах оценки управления рисками и внутреннего контроля, корпоративного управления;

- информировать совет директоров (в том числе через комитет по аудиту) об организации внутреннего аудита в подконтрольных обществах, а также подготавливать позицию акционера по вопросам организации и функционирования внутреннего аудита в подконтрольных обществах с учетом применимых требований законодательства и регулирующих органов;

- разрабатывать нормативные документы Общества, регулирующие деятельность в области организации и осуществления внутреннего аудита, в том числе политику внутреннего аудита.

Планирование деятельности внутреннего аудита

Рекомендуется разработать на отчетный период план деятельности внутреннего аудита, определяющий приоритеты внутреннего аудита в соответствии с целями Общества. Периодичность формирования такого плана может определяться политикой внутреннего аудита с учетом необходимости проведения актуализации плана в случае существенных изменений деятельности Общества и результатов переоценки рисков.

В план деятельности внутреннего аудита рекомендуется включать риск-ориентированный план внутренних аудиторских проверок и прочие мероприятия внутреннего аудита.

Процесс планирования деятельности внутреннего аудита может включать следующие этапы:

- формирование (актуализация) стратегии аудита Общества, модели аудита Общества - структурированного перечня всех возможных объектов аудита. К объектам аудита могут относиться бизнес-процессы, бизнес-функции, проекты (инициативы), деятельность структурных подразделений, информационные системы и т.п.;

- использование результатов оценки рисков - проведение внутренним аудитом анализа возможности полагаться на реестр рисков Общества по итогам оценки эффективности управления рисками за предыдущий отчетный период либо путем дополнительного анализа (в том числе полноты выявленных рисков, качества описания и оценки рисков, эффективности процессов, используемых исполнительными органами Общества для мониторинга и отчетности по рискам и т.д.);

- ранжирование объектов аудита по уровню рисков с учетом результатов анализа рисков и дополнительных факторов, таких как цикл (периодичность) аудита, существенность влияния на результаты деятельности Общества объекта аудита, численность работников, текучесть кадров, изменения в деятельности объекта аудита, результаты предыдущей проверки данного объекта аудита и т.д.;

- анализ предложений и запросов, полученных от исполнительных органов и совета директоров Общества, в том числе анализ повестки заседаний совета директоров Общества и его комитетов;

- синхронизация характера, состава и сроков выполнения аудиторских проверок с другими подразделениями Общества, выполняющими проверки, направленные на оценку эффективности управления рисками и внутреннего контроля в рамках своих компетенций ⁴⁶, а также рассмотрение планов Общества по привлечению внешних организаций, оказывающих данные услуги;

- формирование риск-ориентированного плана внутренних аудиторских проверок с включением на выборочной основе объектов аудита из разных групп по уровню риска;

- формирование перечня заданий по консультированию;

- определение ресурсов (кадровых, информационных, материальных), необходимых для проведения проверок, выполнения заданий по консультированию;

- формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана внутренних аудиторских проверок, заданий по консультированию, а также других мероприятий внутреннего аудита, включая консультирование, мониторинг выполнения в Обществе планов мероприятий по устранению недостатков, нарушений и совершенствованию системы управления рисками и внутреннего контроля, корпоративного управления, разработанных по результатам аудитов, обучение и повышение профессиональной квалификации работников подразделения внутреннего аудита, взаимодействие с внешним аудитором Общества и иное. При этом проведение плановых внутренних аудиторских проверок является основной деятельностью внутреннего аудита.

Руководителю внутреннего аудита рекомендуется представить план деятельности внутреннего аудита на рассмотрение и утверждение совету директоров до начала отчетного периода. Вместе с планом деятельности руководитель внутреннего аудита может представить ресурсный план и бюджет, необходимый внутреннему аудиту для реализации данного плана. Утвержденный план деятельности внутреннего аудита доводится до сведения единоличного исполнительного органа.

Организация и проведение внутренних аудиторских проверок

До начала внутренней аудиторской проверки в структурном подразделении внутреннего аудита целесообразно:

- разработать программу проверки, включающую описание целей проверки, объем и содержание проверки, сроки ее проведения, характер и объем аудиторских процедур;

- утвердить программу проверки руководителем структурного подразделения внутреннего аудита;

- проинформировать представителей объекта аудита о планируемой проверке;

- при необходимости запросить у представителей объекта аудита информацию, необходимую для подготовки к проведению внутренней аудиторской проверки.

На основе полученной информации и реестра рисков Общества рекомендуется провести предварительную оценку рисков, относящихся к объекту аудита.

При проведении внеплановой проверки детальный анализ рисков объекта аудита может осуществляться в ходе ее выполнения.

В объем и содержание проверки как минимум целесообразно включать:

- существенные риски объекта аудита;

- ключевые мероприятия по управлению рисками и отдельные контрольные процедуры объекта аудита (необходимый и достаточный набор мероприятий, контрольных процедур, который обеспечивает снижение рисков объекта аудита до установленного в реестре рисков Общества уровня и позволяет выразить разумную уверенность в эффективном управлении рисками объекта аудита);

- виды деятельности, мероприятия по управлению рисками, контрольные процедуры, подлежащие проверке по запросу единоличного исполнительного органа и совета директоров.

Конкретный характер и объем аудиторских процедур, которые необходимо выполнить в ходе проведения проверки, включая анализ эффективности управления рисками, присущими объекту аудита, целесообразно определить в зависимости от целей проверки. Для получения более высокой степени уверенности в результатах проверки рекомендуется использовать комбинацию нескольких видов аудиторских процедур, включая методы анализа данных.

В ходе проверки по итогам выполнения аудиторских процедур на основании сформированных наблюдений, выявленных недостатков системы управления рисками и внутреннего контроля, а также корпоративного управления целесообразно сформулировать вывод об эффективности управления рисками и внутреннего контроля в отношении объекта аудита с учетом объемов проверки и разработать рекомендации по устранению недостатков.

Выводы и результаты, полученные по итогам выполнения внутренней аудиторской проверки, целесообразно подкрепить достаточным количеством надежных аудиторских доказательств, к которым можно отнести, например, копии подтверждающих документов, электронную переписку, документацию, сформированную в ходе выполнения аудиторских процедур (результаты инвентаризации, протоколы осмотров, результаты расчетов и т.п.) и иное. Все аудиторские доказательства рекомендуется документировать.

В рамках процесса сбора аудиторских доказательств внутренним аудиторам рекомендуется применять профессиональный скептицизм, чтобы оценить, является ли имеющаяся информация подходящей и достаточной для обеспечения разумной основы для формулирования выводов и (или) рекомендаций или требуется сбор дополнительной информации.

При формулировании выводов и результатов по итогам выполнения внутренней аудиторской проверки внутренними аудиторами может быть применено профессиональное суждение, основанное на анализе аудиторских доказательств. В отчет по итогам выполнения внутренней аудиторской проверки рекомендуется включать только те выводы, которые подтверждены надежными аудиторскими доказательствами.

Выводы могут включать, но не ограничиваться указанием на то, соответствуют ли цели и задачи деятельности объекта аудита целям и задачам Общества, достигаются ли цели и задачи Общества и функционирует ли проверяемый объект так, как запланировано.

Итоговой целью внутренней аудиторской проверки является выработка заключения (мнения) о том, насколько управление рисками и внутренний контроль объекта аудита надежны и эффективны, то есть обеспечивают ли способность объекта аудита достигать своих целей (вывод об эффективности системы управления рисками и внутреннего контроля на так называемом "микроуровне"). Методику формулирования вывода о надежности и эффективности управления рисками и внутреннего контроля целесообразно определить применительно к Обществу с учетом требований регулирующих органов, общепризнанных Международных профессиональных стандартов внутреннего аудита, а также настоящих Рекомендаций. В данной методике рекомендуется определить такой подход к проведению проверки, при котором по результатам выполнения плана аудитов за отчетный период внутренний аудит будет способен сформулировать комплексное мнение о надежности и эффективности системы управления рисками и внутреннего контроля, не ограничиваясь только отдельно взятыми компонентами управления рисками и внутреннего контроля, дизайном ⁴⁷ или операционной эффективностью контролей.

Для оценки корпоративного управления и предоставления рекомендаций по его совершенствованию внутренние аудиторы могут применять различные подходы. Оценка может быть проведена в виде отдельного аудиторского задания или основываться на информации, полученной в результате оценки каждого из элементов корпоративного управления в рамках нескольких внутренних аудиторских проверок в течение отчетного периода. Кроме того, руководитель внутреннего аудита может использовать процедуры непрерывного мониторинга, в том числе путем мониторинга исполнения поручений единоличного исполнительного органа и совета директоров Общества.

На основе проведенных наблюдений и выводов внутренние аудиторы формулируют рекомендации по совершенствованию управления рисками и внутреннего контроля, а также корпоративного управления объекта аудита.

Информирование о результатах внутренних аудиторских проверок

По итогам внутренней аудиторской проверки оформляется отчет ⁴⁸, при подготовке которого руководителю внутреннего аудита рекомендуется определить такой уровень формализации и документирования, который является приемлемым для Общества. При этом в отчете рекомендуется как минимум отражать следующую информацию:

- цели проверки;

- объем и содержание проверки - бизнес-процессы, информационные системы, проекты, операции и контрольные процедуры, которые были включены в объем проверки, характер и объем выполненных аудиторских процедур, а также дополнительную информацию, определяющую границы проверки (период проверки, области, не попавшие в периметр аудиторской проверки);

- положительные характеристики (оценки) управления рисками и внутреннего контроля объекта аудита (при их наличии);

- результаты проверки - наблюдения (включая выявленные недостатки и возможности для улучшения), выводы о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления объекта аудита и рекомендации;

- ограничения в распространении и (или) использовании результатов проверки;

- мнение представителей объекта аудита, исполнительного руководства в отношении выводов и результатов проверки, в том числе при наличии разногласий с внутренним аудитом в отношении результатов проверки.

Отчет может быть подготовлен как на бумажном носителе, так и в электронной форме в зависимости от сложившейся в Обществе практики представления той или иной информации.

Отчет направляется работникам Общества, которые могут обеспечить должное рассмотрение результатов проверки и принять корректирующие меры, включая представителя объекта аудита. В отдельных случаях ⁴⁹ руководитель внутреннего аудита может принять решение о направлении отчета на рассмотрение совету директоров без предварительного информирования исполнительного органа.

В ходе внутренней аудиторской проверки могут подготавливаться промежуточные отчеты в целях информирования заинтересованных лиц о фактах, требующих незамедлительных действий (внимания), изменениях объема и содержания проверки, ходе выполнения проверки, если она выполняется длительное время. Использование промежуточных отчетов не уменьшает и не отменяет необходимости подготовки и предоставления отчета по итогам проверки.

Внутренними документами Общества могут быть определены условия, при которых руководитель внутреннего аудита может направлять отчет внешним заинтересованным сторонам (например, внешним аудиторам, консультантам). При этом руководителю внутреннего аудита, прежде чем передать отчет внешним заинтересованным сторонам, целесообразно:

- осуществить контроль распространения информации, устанавливая ограничения на ее использование;

- оценить возможные риски для Общества;

- проконсультироваться с исполнительными органами и (или) юридическим подразделением.

Если в отчете после его предоставления кругу заинтересованных лиц будут выявлены существенные ошибки и упущения, руководителю внутреннего аудита целесообразно оперативно довести исправленную информацию до сведения всех лиц, получивших отчет.

По итогам внутренней аудиторской проверки представителям объекта аудита рекомендуется подготовить план мероприятий, направленный на устранение замечаний, нарушений, недостатков и реализацию рекомендаций внутреннего аудита по совершенствованию системы управления рисками и внутреннего контроля, а также корпоративного управления (если применимо, исходя из целей проверки).

Представители объекта аудита могут принять аргументированное решение не предпринимать действий в отношении какого-либо из выявленных недостатков или рекомендаций внутренних аудиторов. В этом случае уполномоченному представителю объекта аудита рекомендуется довести данную информацию до сведения руководителя структурного подразделения внутреннего аудита. Решение вопроса о принятии риска не входит в сферу ответственности руководителя внутреннего аудита, а также руководителя структурного подразделения внутреннего аудита. Если по мнению внутреннего аудита объектом аудита принимается недопустимый для Общества риск, руководителю внутреннего аудита рекомендуется своевременно сообщить об этом единоличному исполнительному органу Общества и совету директоров, при необходимости.

Мониторинг выполнения планов мероприятий, разработанных по итогам проверки

Руководителю структурного подразделения внутреннего аудита рекомендуется разработать систему мониторинга выполнения планов мероприятий, подготовленных по результатам проверок, с целью подтверждения адекватности, эффективности и своевременности действий, предпринимаемых в Обществе для устранения недостатков, реализации рекомендаций и совершенствования СУРиВК Общества. Процессы мониторинга могут быть сложными или простыми в зависимости от ряда организационных факторов, включая размер и организационную структуру Общества, возможности использования ИТ-инструментов, развитость СУРиВК, и могут выбираться в зависимости от характера и масштабов деятельности Общества и иных факторов.

Основными инструментами мониторинга являются получение и анализ информации от объектов аудита о результатах выполнения плана мероприятий, а также проведение последующих аудитов для подтверждения эффективности реализованных мер.

Выполнение заданий по консультированию

К консультационным услугам внутреннего аудита в Обществе относится деятельность по предоставлению консультаций и рекомендаций, характер и содержание которой согласовываются со стороной, получающей консультации, нацеленная на оказание помощи и совершенствование корпоративного управления, управления рисками и внутреннего контроля, исключающая принятие внутренними аудиторами ответственности за управленческие решения. Задания по консультированию представляют собой особый вид аудиторских заданий.

До выполнения задания по консультированию структурному подразделению внутреннего аудита целесообразно обсудить цели такого задания со стороной, получающей консультации. Цели задания по консультированию, его содержание, объем и вопросы ответственности рекомендуется формулировать в письменном виде

Если в процессе выполнения задания по консультированию у внутреннего аудита возникают вопросы в отношении объема и содержания задания, рекомендуется обсудить их со стороной, получающей консультации, в целях определения целесообразности продолжения выполнения задания. Отсутствие информации, достаточной для продолжения выполнения задания по консультированию, или сомнения в полезности результатов выполнения задания для Общества могут быть причинами приостановки выполнения задания по консультированию. По итогам выполнения задания по консультированию внутренний аудит также может формулировать существенные недостатки внутреннего контроля.

3.4. Информирование о результатах деятельности внутреннего аудита

В политике внутреннего аудита рекомендуется определить периодичность (не реже одного раза в год) информирования руководителем внутреннего аудита единоличного исполнительного органа Общества и совета директоров о деятельности внутреннего аудита. Руководитель внутреннего аудита информирует единоличный исполнительный орган и совет директоров Общества о деятельности внутреннего аудита, включая, но не ограничиваясь, следующими вопросами:

- целесообразность внесения изменений в политику внутреннего аудита Общества;

- подтверждение факта организационной независимости внутреннего аудита и отсутствия каких-либо фактов отрицательного воздействия на независимость и объективность;

- ограничения в необходимом объеме информации, ресурсах и другие обстоятельства, которые могут оказать влияние на способность внутреннего аудита выполнять свои обязанности;

- результаты выполнения программы обеспечения и повышения качества внутреннего аудита, включая информацию о соблюдении Международных профессиональных стандартов внутреннего аудита и плана мероприятий, направленного на соблюдение требований качества по всем существенным аспектам деятельности внутреннего аудита;

- представление к утверждению плана деятельности внутреннего аудита, ресурсного плана и бюджета внутреннего аудита, а также информации о существенных изменениях плана деятельности в течение отчетного периода;

- информирование о результатах выполнения плана деятельности внутреннего аудита, включая:

- результаты выполнения отдельных внутренних аудиторских проверок с выводами об эффективности управления рисками и внутреннего контроля объекта аудита ⁵⁰, корпоративного управления (если применимо), о результатах и эффективности выполнения мероприятий по устранению выявленных недостатков, информацию о позиции исполнительных органов Общества по поводу принятого риска, который, по мнению руководителя внутреннего аудита, может быть недопустимым для Общества;

- заключение об оценке надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе ⁵¹;

- отчет о выполнении иных мероприятий, включенных в план деятельности внутреннего аудита.

Формирование заключения внутреннего аудита

Руководитель внутреннего аудита формулирует заключение внутреннего аудита по результатам оценки надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления Общества за определенный период времени (включая отчетный период). При подготовке заключения внутреннего аудита руководителю внутреннего аудита целесообразно принимать во внимание результаты выполнения внутренних аудиторских проверок, внеплановых аудиторских заданий, проверок, выполняемых другими подразделениями Общества, направленных на оценку управления рисками и внутреннего контроля, а также корпоративного управления, в рамках своих компетенций ⁵².

Заключение внутреннего аудита отличается от выводов по итогам выполнения внутренних аудиторских проверок тем, что формулируется в отношении системы управления рисками и внутреннего контроля, а также корпоративного управления Общества в целом за период времени, выводы же относятся к итогам выполнения отдельной внутренней аудиторской проверки.

Структура и содержание заключения внутреннего аудита в различных обществах могут формироваться по-разному, в зависимости от принятых в Обществе правил представления материалов органам управления, их пожеланий и предпочтений по формату и оформлению. При этом в заключение внутреннего аудита рекомендуется включать следующую информацию:

- изложение итогового заключения о надежности и эффективности управления рисками и внутреннего контроля, а также корпоративного управления в Обществе;

- описание подхода и критериев оценки управления рисками и внутреннего контроля, а также корпоративного управления, положенных в основу заключения внутреннего аудита;

- краткое содержание информации, подтверждающей заключение, и ее источники;

- описание объема внутренних аудиторских проверок, проведенных внутренним аудитом, с указанием периода времени, который охватывает заключение;

- описание объема смежных проверок, выполняемых другими подразделениями Общества. При использовании результатов таких проверок руководитель внутреннего аудита предварительно проводит оценку для определения степени, в которой сможет полагаться на работу других подразделений Общества;

- информацию об ограничениях, если они имели место в деятельности внутреннего аудита.

Если заключение внутреннего аудита является негативным, руководителю внутреннего аудита целесообразно привести причины, которые его обосновывают.

Внутреннему аудиту целесообразно разработать методику подготовки заключения внутреннего аудита применительно к Обществу с учетом требований законодательства Российской Федерации и регулирующих органов, Международных профессиональных стандартов внутреннего аудита, а также настоящих Рекомендаций.

В политике внутреннего аудита целесообразно закрепить положение о том, что руководитель внутреннего аудита несет ответственность за формирование заключения о надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе, в том числе за надежность и достоверность информации, на основе которой оно подготовлено.

В отдельных случаях совет директоров может поручить руководителю внутреннего аудита провести внешнюю независимую оценку заключения внутреннего аудита.

3.6. Оценка деятельности внутреннего аудита

В политике внутреннего аудита к полномочиям руководителя внутреннего аудита рекомендуется отнести организацию текущего мониторинга и обеспечение периодического анализа внутреннего аудита в целях соблюдения высоких стандартов деятельности внутреннего аудита в Обществе, прежде всего соответствующих Международным профессиональным стандартам внутреннего аудита Института внутренних аудиторов. Указанные полномочия могут реализовываться как за счет внутренних ресурсов Общества, так и с привлечением внешних организаций.

Перечень мероприятий текущего мониторинга и порядок проведения оценки внутреннего аудита рекомендуется сформулировать и оформить в виде отдельного документа, утвержденного руководителем внутреннего аудита Общества (например, программа гарантий и повышения качества) ⁵⁶. Результаты исполнения такого документа, включая план корректирующих мероприятий, руководителю внутреннего аудита рекомендуется доводить до сведения единоличного исполнительного органа и совета директоров Общества не реже одного раза в год.

Текущий мониторинг и внутренняя оценка деятельности внутреннего аудита

К мероприятиям текущего мониторинга относятся, включая, но не ограничиваясь:

- контроль за выполнением внутренних аудиторских проверок, в том числе с применением средств автоматизации:

- применение стандартизированных практик работы структурного подразделения внутреннего аудите:

процедуры планирования и выполнения внутренних аудиторских проверок, оформления рабочей документации, подготовки отчетов и др.;

- получение обратной связи от объектов аудита, исполнительных органов и совета директоров Общества;

- анализ выполнения ключевых показателей эффективности деятельности внутреннего аудита.

Внутреннюю оценку деятельности внутреннего аудита рекомендуется проводить не реже одного раза в год квалифицированным работником или группой работников структурного подразделения внутреннего аудита Общества, обладающих опытом применения Международных профессиональных стандартов внутреннего аудита и Международных основ профессиональной практики Института внутренних аудиторов.

Внутренняя оценка предусматривает более комплексный подход к анализу деятельности внутреннего аудита и помимо мероприятий, предусмотренных для текущего мониторинга, может включать:

- всесторонний анализ соответствия деятельности внутреннего аудита Общества Международным основам профессиональной практики Института внутренних аудиторов, включая Международные профессиональные стандарты внутреннего аудита и Кодекс этики ⁵⁷;

- сравнение с лучшими практиками внутреннего аудита;

- анализ вклада внутреннего аудита в процессы корпоративного управления, управления рисками и внутреннего контроля, а также степени соответствия ожиданиям исполнительных органов и совета директоров Общества.

Внешняя оценка деятельности внутреннего аудита

Внешняя оценка деятельности внутреннего аудита проводится с целью получения руководителем внутреннего аудита, исполнительными органами, советом директоров Общества и другими заинтересованными сторонами независимого мнения о качестве внутреннего аудита и возможности полагаться на заключение внутреннего аудита об оценке надежности и эффективности управления рисками и внутреннего контроля, а также эффективности корпоративного управления в Обществе.

Внешнюю оценку деятельности внутреннего аудита рекомендуется проводить с периодичностью, установленной советом директоров Общества в политике внутреннего аудита.

Обществу рекомендуется провести внешнюю оценку деятельности внутреннего аудита не позднее пяти лет с момента организации функции или, если такая оценка не была проведена в течение четырех предыдущих лет и далее с установленной периодичностью, - один раз в пять лет, один раз в три года или чаще (по решению совета директоров с отражением в политике внутреннего аудита).

В случае совмещения ⁵⁸ руководителем внутреннего аудита функций, находящихся вне сферы деятельности внутреннего аудита, а именно: управления рисками, внутреннего контроля, комплаенс-контроля, - внешнюю оценку деятельности внутреннего аудита Общества рекомендуется проводить не реже одного раза в три года.

Внешняя оценка деятельности внутреннего аудита может проводиться с использованием одного из двух форматов:

- полная оценка внешним экспертом;

- подтверждение внутренней оценки внешним экспертом.

Если оценка деятельности внутреннего аудита проводится в Обществе впервые, рекомендуется проведение полной оценки внешним экспертом. В последующем может проводиться подтверждение внутренней оценки внешним экспертом, если, по мнению руководителя внутреннего аудита и комитета по аудиту Общества, преимущества от такой оценки (в том числе снижение финансовых издержек) превосходят выгоды от полной оценки внешним экспертом.

Выбор внешнего эксперта ⁵⁹ для проведения внешней оценки рекомендуется осуществлять с учетом требований законодательства Российской Федерации, в соответствии с внутренними процедурами Общества по выбору поставщиков услуг, а также с учетом рекомендаций Международного института внутренних аудиторов в части проведения внешних оценок внутреннего аудита ⁶⁰.