Деякі аспекти планування внутрішнього аудиту

У п. 2.3 гл. 2 розд. ІІІ Стандартів внутрішнього аудиту, затверджених наказом Мінфіну від 04.10.11 p. № 000 (далі — Стандарти), визначено, що при плануванні внутрішнього аудиту до уваги береться система управління ризиками, яка застосовується в державному органі, а в разі відсутності такої системи внутрішні аудитори застосовують власне судження про ризики в діяльності державного органу.

Планування забезпечує систематичний підхід до діяльності внутрішнього аудиту та вимагає знань і компетенції в різних областях, таких як оцінка ризиків і внутрішній контроль.

Завдання ризик-орієнтованого планування полягає в тому, щоб аудитор перевірив ті області, які становлять найбільший ризик для досягнення цілей організації. Структурований підхід до ризик-орієнтованого планування є важливим кроком у напрямку вироблення ефективної стратегії аудиту.

Стратегічні та короткотермінові (піврічні або щорічні) плани аудиту повинні розроблятися в рамках процесу виявлення та визначення пріоритетності можливих тем аудиту. Весь обсяг потенційно можливих тем, які можуть бути по-різному класифіковані, називається простором аудиту. Необхідно оцінити ступінь ризику або можливості по кожному елементу простору аудиту, і прийняти рішення з урахуванням інших факторів ризику, які можуть вплинути на ступінь пріоритетності, визначеної для кожного елемента простору аудиту (об'єкта аудиту).

Стратегічні і короткотермінові плани - це важливі документи, які зазвичай представляються керівництву. Стратегічний план надає можливість уявити роботу внутрішнього аудитора і підкреслити ті переваги, які з'являються в результаті проведення аудиту. Вони є своєрідною демонстрацією того, що внутрішній аудит може зробити для керівництва. Стратегічні і короткотермінові плани повинні бути чітко структуровані, добре викладені і повинні надавати керівництву переконливе логічне обґрунтування, відповідно до якого була зроблена оцінка пріоритетності окремих тем.

НЕ нашли? Не то? Что вы ищете?

Розробка ризик-орієнтованих стратегічних і короткотермінових планів

Метою даного етапу процесу є визначення об’єктів аудиту. Це необхідно зробити для визначення структурних блоків стратегії аудиту з точки зору видів і циклів аудиту, які необхідно провести. Саме тому цей процес часто називають «оцінкою потреб аудиту».

Оскільки, ймовірно, кількість можливих об'єктів аудиту та ризиків буде великою, більшість аудиторів використовує набір загальних «факторів ризику» для аналізу важливості кожного об'єкта аудиту з метою визначення його пріоритетності.

Для ідентифікації факторів ризику найчастіше використовують такі:

Фінансова істотність. Основним фактором ризику є обсяг фінансової діяльності, охопленої об'єктом аудиту.

Складність діяльності. Складні види діяльності важче виконати добре, тому вища ймовірність того, що вони будуть виконані неякісно або не в строк,

Загальна політика контролю (відповідно до визначення COSO). При суворій загальній політиці контролю ймовірність порушень і помилок менше.

Репутаційна чутливість. Деякі області діяльності можуть створювати високий ризик для репутації організації вцілому.

Невід'ємний ризик. Там, де є високий невід'ємний ризик, потрібні ефективні процеси контролю, що дозволяють знизити цей ризик. Внутрішній аудит повинен перевіряти ці механізми контролю регулярно.

Масштаби змін. Відомо, що зміни пов'язані з підвищенням рівня ризику. Наприклад, висока плинність кадрів може знизити ефективність контролю, оскільки співробітники є менш досвідченими.

Впевненість у керівництві. Досвідчені керівники зазвичай вирішують проблеми більш ефективно і домагаються кращих результатів, ніж керівники без відповідного досвіду, крім того, більш досвідчені керівники з більшою ймовірністю зможуть виявити ризики і прийняти відповідні рішення.

Можливості для порушень. Деякі системи і функції більш схильні до порушень і, навіть, до шахрайства та корупції.

Час, що минув з останнього аудиту. Час від часу аудити повинні проходити навіть на об'єктах з низьким рівнем ризику. А ті об'єкти, які не піддавалися аудиту вже протягом ряду років, можуть являти собою високий ступінь ризику.

Після виявлення ряду факторів ризику зазвичай розробляється набір критеріїв, які можна використовувати для визначення рівня необхідності проведення аудиту по кожному можливому об'єкту аудиту.

Складання та актуалізація стратегічних і короткотермінових планів

Наступним кроком після виявлення та оцінки ризиків у просторі аудиту є розробка планів для усунення проблем у найбільш важливих областях. Комплексний стратегічний та короткотерміновий план діяльності внутрішнього аудиту відіграють надзвичайно важливу роль для успішної роботи ВА.

Стратегічний план

Метою стратегічного плану є документування думок внутрішнього аудитора з приводу «необхідності в аудиті», тобто про системи, види діяльності та програми, які повинні стати об'єктами аудиту, для надання керівництву розумних гарантій щодо ризиків та ефективності внутрішнього контролю. План повинен містити наступне:

• Чітко сформульовані завдання і показники ефективності, яких ВА досягне за наступні 2-4 роки, у взаємозв'язку з обставинами та стратегією організації.

• Методологія, використана для підготовки стратегії, а також, інформація про те, як ВА здійснив оцінку ризиків, що впливають на цілі та завдання організації.

• Інформація про те, як ВА буде працювати в найбільш важливих областях протягом наступного періоду. Зазвичай необхідно визначати цикли перевірки різних об'єктів аудиту. Можливо, деякі системи і процеси необхідно перевіряти кожен рік. Інші, можливо, слід перевіряти один раз на три або п'ять років і т. д.

• Необхідні та наявні ресурси (тобто – персонал, час, бюджет) для задоволення цих потреб, а також вплив обмеженості ресурсів на ідеальний рівень охоплення аудитом.

• Оцінка внутрішнім аудитом ризику тих подій, які можуть вплинути на досягнення цілей, передбачених у стратегії аудиту, а також на діяльність, спрямовану на зниження таких ризиків.

• Плани координації роботи з іншими джерелами надійної інформації (наприклад, зовнішній аудит).

• Підхід для вироблення подальших рекомендацій.

• Більш високі або більш довгострокові цілі, до досягнення яких прагне ВА, але яких не може досягти в короткі терміни.

Короткотерміновий план аудиту

Короткотерміновий план аудиту - це план, що відображає завдання з проведення аудиту в поточному періоді. У ньому повинна визначатися мета (назва та цілі) завдання з проведення аудиту, його тривалість, повинні бути зазначені співробітники, які виконуватимуть дане завдання, а також повинні бути описані інші ресурси. План повинен являти собою основу для узгодження завдань та їх строків з відповідними керівниками.

Для того щоб план роботи був реалістичним і корисним для організації в цілому, керівник внутрішнього аудиту повинен взяти до уваги ряд питань при розробці плану на період, а саме:

• Допущення, передбачені в стратегічному плані аудиту, які необхідно проаналізувати і визначити, чи є вони все ще актуальними, враховуючи отримані результати від вже проведених аудитів.

• Останній план роботи на період (при необхідності) з урахуванням основних висновків попередніх аудитів, що вказують на те, чи змінився рівень ризику.

• Організаційні та часові обмеження (наприклад: зміни в організації департаментів; періоди відпусток і свят, впровадження нових систем; періоди високого навантаження).

• Ресурси (персонал, час, бюджет), які необхідно зарезервувати для незапланованої роботи, щоб уникнути частого внесення змін до плану роботи на рік.

• Індивідуальний щорічний план підвищення якості аудиту.

Постійна актуалізація планів - регулярний моніторинг ризиків

Отже, стратегічний план - це відображення внутрішнього аудиту, яким треба вміло користуватися. Стратегія - це можливість показати керівництву все те, що підрозділ ВА міг би зробити, щоб допомогти організації досягти своїх цілей. Стратегічний план може бути корисним інструментом, за допомогою якого можна заручитися підтримкою керівництва. Короткотерміновий план аудиту - це план, що відображає завдання з проведення аудиту в поточному періоді.

При цьому, ризик не має постійного значення. З часом він змінюється. Крім того, події, які все ж відбуваються (наприклад, серйозне скорочення бюджету), створюють нові ризики для організації. Тому аудитори повинні здійснювати моніторинг ключових подій, які відбуваються протягом періоду, а також їх вплив на плани проведення аудиту.

При перегляді стратегічного плану аудиту керівник внутрішнього аудиту повинен проаналізувати наступні моменти:

• зміни, що відбулися в організації, її діяльності, цілях або в умовах діяльності. Це може вплинути на ризики, з якими стикається організація при досягненні своїх цілей;

• результати внутрішнього аудиту за попередній період. Вони можуть призвести до зміни початкових оцінок ризиків і до перегляду першочергових завдань. Вони можуть показати необхідність спрямування зусиль аудиту, наприклад, на повторний аудит якогось об'єкта;

• чи є бюджет достатнім для ефективної роботи внутрішнього аудиту.

Слід зазначити, що жоден план не є ідеальним. Зміни неминучі і можуть бути обумовлені різними причинами:

• організація може бути реорганізована,

• нове вище керівництво може дотримуватися інших поглядів щодо пріоритетності певних видів діяльності;

• може бути виявлений серйозний факт порушення, що вказує на більш високий рівень ризику;

• керівник може зажадати аудит якихось об’єктів раніше, ніж це передбачено в стратегії.

Тому керівникам підрозділів внутрішнього аудиту необхідно утримувати певний баланс між виконанням таких вимог та забезпеченням належного рівня роботи з основними виявленими ризиками, включеними в загальну програму робіт.

Отже, планування - це динамічний процес. Нові системи, більш сучасна інформація та інші фактори, що впливають на організацію, можуть зажадати перегляду оцінок ризиків, критеріїв визначення необхідності проведення аудиту. З цієї причини як документ з оцінки ризиків аудитом, так і стратегічний план аудиту повинні щорічно уточнюватися.