Академический Документы
Профессиональный Документы
Культура Документы
внутренний аудитор
Часть 2
Деятельность (практика)
внутреннего аудита
Если вы приобрели этот экземпляр книги непосредственно у компании
HOCK international или через уполномоченный учебный центр, то на
обложке книги вы обнаружите окрашенный в оранжевый цвет логотип
компании HOCK с изображением земного шара и с порядковым номером.
Если у приобретенного вами экземпляра книги отсутствует обложка, либо
на обложке отсутствует логотип компании HOCK, то данный экземпляр не
является подлинным изданием компании HOCK. Пожалуйста, сообщите о
приобретенном вами экземпляре без соответствующей обложки или
соответствующего логотипа, и мы поможем приобрести вам подлинный
экземпляр книги.
Часть 2
Деятельность (практика)
внутреннего аудита
www.hockinternational.com
cia@hockinternational.com
Благодарности
ISBN: 978-1-934494-91-2
Личные благодарности
Добро пожаловать в HOCK international! Сделав выбор стать соискателем на получение этого
престижного диплома, вы тем самым приняли на себя обязательство, которое важно как с личной,
так и профессиональной точки зрения. Процесс лицензирования является серьезной проверкой
ваших знаний, навыков и приверженности выполняемой вами работы.
Мы гордимся тем, что вы выбрали компанию HOCK в качестве партнера в этом процессе. Мы отдаем
себе отчет, что это большая ответственность, и поэтому наша цель заключается в том, чтобы
сделать этот процесс для вас максимально безболезненным и эффективным. Для этого компания
HOCK разработала следующие инструменты:
Учебный план – направляет ваш учебный процесс неделю за неделей. Также вы можете
создать свой личный учебный план он-лайн, составив его в соответствии с вашим графиком.
Личный учебный план может направляться вам по электронной почте в начале каждой
недели.
Учебник – это то, что вы сейчас читаете. Он является главным источником в процессе
вашей учебной подготовки и содержит все необходимые материалы для успешной сдачи
экзамена. Содержащиеся в нем материалы соответствуют структуре и содержанию
экзамена; они дают всю необходимую базовую информацию, поэтому вам не нужно
покупать и читать какие-то дополнительные книги или учебные пособия.
Мы осознаем степень вашей приверженности этим экзаменам, и, оказывая вам помощь, будем
стремиться соответствовать этой приверженности. Кроме того, мы понимаем, что время, которым вы
располагаете, слишком ценно для вас, чтобы повторно готовиться к этому экзамену. Поэтому мы
сделаем всё возможное, чтобы вы успешно сдали экзамен с первого раза.
Я желаю вам успеха в подготовке к экзамену и, если вам потребуется моя помощь, то, пожалуйста,
обращайтесь ко мне напрямую по адресу: brian.hock@hockinternational.com.
Искренне ваш,
Содержание
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. i
Содержание CIA Часть 2
ii © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Содержание
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. iii
Содержание CIA Часть 2
iv © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Введение
Программа международного Института внутренних аудиторов (ИВА) по Части II экзамена CIA состоит из
трех тематических разделов. Международный Институт внутренних аудиторов (ИВА) называет такие
тематические области изучения «Предметные области», но в наших учебных материалах мы будем
называть их «Разделы». Названия разделов и их доля в процентах от общего количества вопросов на
экзамене приводятся ниже:
Кроме того, учебный план международного Института внутренних аудиторов предусматривает наличие у
кандидатов на получение квалификации «Дипломированный внутренний аудитор» надлежащего уровня
профессиональной квалификации и знаний.
При подготовке к экзамену следует иметь в виду, что в дополнение к содержащимся в настоящем
учебнике материалам необходимо также использовать программу HOCK ExamSuccess («Успех
Экзамена»), которая содержит вопросы из предыдущих экзаменов. Многие темы, которые относятся к
экзамену на получение диплома CIA, весьма обширны. Поэтому практика ответов на вопросы из
предыдущих экзаменов позволит вам лучше понять, как именно и насколько глубоко та или иная тема
экзаменовалась ранее.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 1
Введение CIA Часть 2
2 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Раздел A – Управление внутренним аудитом – Введение
6) Типы заданий внутреннего аудита. Эта часть раздела посвящена специальным типам
заданий по предоставлению гарантий и оказанию консультационных услуг, которые могут
выполнять внутренние аудиторы. Эти задания подразделяются на три основные категории:
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 3
Раздел A – Управление внутренним аудитом – Введение CIA Часть 2
Вопросы по темам данного раздела, вероятнее всего, будут двух типов: (1) имеющие отношение к
определениям (или к базовому применению этих определений); или (2) применяемые к конкретной
ситуации (в которой необходимо будет определить лучшее или худшее аудиторское доказательство,
либо лучшую или худшую аудиторскую процедуру из предлагаемых в вариантах ответов).
Если первый тип вопросов, как правило, не вызывает затруднений (вы либо знаете, либо не знаете
определение данного термина), то второй тип потребует от вас определенной практики в решении задач
и терпения. Чтобы лучше подготовиться к вопросам второго типа, вам потребуется изучить вопросы и
ответы из предыдущих экзаменов и понять, каким образом формулируются вопросы и какие ответы
считаются правильными в различных ситуациях. Как может показаться, на некоторые вопросы дается
более одного правильного варианта ответа, однако чаще всего в формулировке этих вопросов
содержится короткая фраза, которая привязывает его к конкретной области, теме или проблеме,
помогая тем самым определить правильный ответ. Вы должны уметь идентифицировать такие фразы,
что значительно облегчит вам выбор правильного ответа.
Хотелось бы также предупредить читателей, что термины, используемые в этом разделе (равно как и в
других разделах данных учебных материалов), могут отличаться от тех, которые вы используете в своей
повседневной работе. Такая ситуация совершенно нормальна, не забывайте, что эти материалы и
используемые в них термины предназначены исключительно для целей экзамена. Кроме того, не
забывайте, что внутренний аудит относится к внутренней функции компании и не является объектом
регулирования со стороны внешних органов, которые могли бы устанавливать единые, стандартные
термины для каждой организации.
Кроме того, хорошими справочными материалами в процессе подготовки к этому разделу экзамена могут
стать Стандарты и Практические указания, однако мы не рекомендуем стремиться заучивать тексты этих
документов.
В тексте данного пособия используется термин «деятельность внутреннего аудита» (IAA), что также
относится к подразделению внутреннего аудита. Также, для обозначения термина «руководитель
внутреннего аудита» (CAE) используется аббревиатура РВА.
4 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Управление внутренним аудитом
Помимо выполнения указанных целей и задач, внутренний аудит должен быть дальновидным в своей
деятельности, закладывая основу текущего успеха и создавая задел для успешной деятельности в
будущем. В этой части раздела будет рассматриваться стратегическое и функциональное назначение
деятельности внутреннего аудита.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 5
Стратегическое назначение деятельности внутреннего аудита CIA Часть 2
Открытые акционерные компании (акции которых котируются на бирже) обязаны своим акционерам, а
акционеры хотят прибыльного роста, что предполагает высокую рентабельность и устойчивые темпы
роста прибыли. Общее правило заключается в том, что компания, имеющая прибыль, но низкие (или
никакие) темпы роста прибыли не будет оцениваться так же высоко, как рентабельная компания,
демонстрирующая устойчивый рост прибыли. Реализация этих двух задач – получение рентабельности и
обеспечение темпов роста прибыли – является одной из наиболее сложных и серьёзных проблем,
стоящих перед руководством компаний.
Для повышения рентабельности и сохранения устойчивых темпов роста прибыли руководители должны
сформулировать такие стратегии, которые позволяли бы компании добиться конкурентного
преимущества. Стратегические лидеры компании несут ответственность за эффективное управление
процессом по выработке стратегии компании, направленной на повышение результатов деятельности и
максимизацию её стоимости для акционеров. Стратегии, которым следует руководство компании, и
будут определять результативность деятельности компании по отношению к деятельности её
конкурентов.
Однако с точки зрения корпораций ценность и польза внутреннего аудита имеет в некотором смысле
двоякое значение. Учитывая, что традиционно деятельность внутреннего аудита фокусировалась на
проверке выполнения установленных требований к представлению финансовой отчетности и
соблюдения требований (норм и стандартов), то эта деятельность касалась главным образом
прошлых результатов компании (того, «что было») и её текущих результатов (того, «что есть»). Другими
словами, такая деятельность внутреннего аудита имела весьма отдаленное отношение к тому, чтобы
действовать на опережение, способствуя усилению импульса роста компании. Более того, ни требования
Закона Сарбейнса-Оксли, ни требования стран ЕС не устанавливают и не определяют конкретно тот
уровень поддержки, которую должен получать в организации внутренний аудит. И поэтому компании
свободны в своих решениях о том, какой размер финансовых средств они выделяют на деятельность
внутреннего аудита. К тому же, подразделение внутреннего аудита относится к центру затрат,
следовательно, его деятельность не приносит дохода. И если руководство компании примет решение о
необходимости мер по оптимизации затрат с целью повышения рентабельности, то подразделение
внутреннего аудита вряд ли избежит сокращения бюджета.
Поэтому руководитель внутреннего аудита (РВА) обязан убедить высшее руководство и Совет компании
в том, что деятельность внутреннего аудита может иметь высокую ценность для компании и должна
получать поддержку высшего руководства, комитета по аудиту и Совета. Ключевая роль РВА состоит в
умении продемонстрировать возможности внутреннего аудита стать активным участником будущего
роста компании (того, «что должно быть»). Как только высшее руководство и Совет осознают, какую
важную роль выполняет внутренний аудит, помогая компании в достижении целей роста и развития, для
РВА станет намного легче обеспечивать надлежащую поддержку деятельности внутреннего аудита и
получить необходимые финансовые ресурсы, позволяющие внутреннему аудиту выполнять свои задачи.
6 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Стратегическое назначение деятельности внутреннего аудита
Этот стратегический (долгосрочный) план должен обеспечивать проведение аудиторских проверок всех
областей и направлений деятельности организации с той периодичностью, которая соответствует их
уровню риска. В некоторых областях и направлениях деятельности организации (с наибольшим уровнем
риска) потребуется проведение аудиторских проверок раз в год и даже чаще; в других подразделениях
или областях бизнеса будет достаточно проводить аудит один раз в два или три года. Без подготовки
долгосрочного плана появляется опасность, что какое-либо направление деятельности организации
останется неохваченным аудиторскими проверками, поскольку это направление деятельности никогда
не будет соответствовать условиям, определяющим необходимость проведения аудиторских проверок в
краткосрочном периоде. Правильно составленный долгосрочный план аудиторских проверок может
использоваться в следующих целях:
Кроме того, в стратегическом плане должны быть учтены вопросы, планы и цели всей организации.
Внутренний аудит должен быть заранее готов к изменениям в потребностях в тех или иных ресурсах,
необходимых для реализации крупных инициатив в будущем.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 7
Координация деятельности CIA Часть 2
Как следует из Стандартов, РВА должен приводить в соответствие имеющиеся ресурсы с приоритетами
деятельности, определять акценты деятельности внутреннего аудита и координировать деятельность с
другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и
консультаций (рассматривается ниже). Эти другие поставщики гарантий также проявляют устойчивый
интерес к процессам управления рисками и контроля; и поэтому руководителю внутреннего аудита
целесообразно координировать деятельность с такими поставщиками гарантий в целях обеспечения
надлежащего охвата и минимизации двойной работы. В конечном итоге такая координация деятельности
будет способствовать выполнению внутренним аудитом своих стратегических целей и задач.
Координация деятельности
Стандарт 2050: Координация деятельности
• внешние аудиторы;
Карта гарантий
Международный Институт внутренних аудиторов определяет услуги по предоставлению гарантий
как «объективный анализ имеющихся аудиторских доказательств в целях представления независимой
оценки процессов корпоративного управления, управления рисками и контроля». Как мы только что
упомянули, руководитель внутреннего аудита должен координировать деятельность подразделения
внутреннего аудита с внешними аудиторами и другими внутренними поставщиками гарантий (такими как
отдел контроля качества, отдел охраны окружающей среды и пр.) с целью обеспечения полноты охвата
проверками всей деятельности организации. Обеспечение полноты охвата означает, что каждый вид и
направление деятельности организации, которые подлежат проверке, действительно будут проверены
или подразделением внутреннего аудита, или внешним аудитором, или другим внутренним поставщиком
гарантий.
В достижении этой цели большую помощь оказывает использование карты гарантий. Как поясняется в
ПУ 2050-2 (Схема предоставляемых гарантий), схема предоставляемых гарантий составляется по всей
организации, чтобы понять, где в целом рассредоточены роли и ответственность по управлению рисками
и предоставлению гарантий. Цель использования такой карты гарантий состоит в том, чтобы убедиться в
наличии продуманного процесса управления рисками и предоставления гарантий без дублирования
усилий или потенциальных пробелов. По сути дела, карта гарантий представляет собой распределение
аудиторских проверок, проводимых всеми поставщиками гарантий по карте рисков организации таким
образом, чтобы проверки были запланированы для всех областей деятельности с «ключевыми» рисками.
Это процесс позволяет компании найти и учесть пробелы в процессе управления рисками, что позволяет
всем заинтересованным сторонам быть уверенными в том, что все риски выявлены и находятся под
контролем, и что все законодательные требования соблюдаются.
8 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Координация деятельности
Существует две причины, объясняющие все возрастающий уровень координации работы внутреннего и
внешнего аудита и все увеличивающееся значение этой координации для нужд компаний в современных
условиях:
• Затраты на проведение внешнего аудита в последние годы выросли настолько сильно, что
многие компании стали всерьез задумываться о возможностях снижения этих издержек. Эта
задача может быть решена с помощью создания сильной, объективной и компетентной службы
внутреннего аудита, на которую могут полагаться и внешние аудиторы.
Примечание. Несмотря на то, что внутренний аудит должен быть независимым, а внутренние
аудиторы должны быть объективными при выполнении своих обязанностей, внешний аудитор очень
осторожно подходит к вопросу о выборе работ, которые он позволит выполнять внутренним
аудиторам в ходе внешнего аудита организации. Внешний аудитор не может позволить внутренним
аудиторам заниматься оценкой рисков или давать свои заключения по поводу показателей или
итоговых сумм, содержащихся в финансовой отчетности. Внешний аудитор может попросить
внутренних аудиторов предоставить информацию об областях или направлениях бизнеса, которые в
наибольшей степени подвержены рискам, а также о текущих проблемах и слабых сторонах в области
внутреннего контроля, однако он сам будет проверять эту информацию и делать окончательную
оценку рисков. То же самое относится и к данным в финансовой отчетности: внешний аудитор может
запросить у внутренних аудиторов информацию о потенциальных рисках с их точки зрения, однако
окончательные выводы он будет делать самостоятельно.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 9
Координация деятельности CIA Часть 2
Только потому, что работа была сделана внешним аудитором, еще не означает, что представляемая им
отчетная информация будет совершенной, и что внутренние аудиторы должны без вопросов полагаться
на выводы внешнего аудитора. Точно так же как внешний аудитор оценивает и анализирует работу
внутреннего аудита, так и внутренний аудитор вправе оценивать работу внешнего аудитора и проверять
сделанные им заключения. Подобная проверка потребует согласия со стороны внешнего аудитора и
является частью работы по выстраиванию взаимоотношений с внешними аудиторами, ответственность за
которые несет руководитель внутреннего аудита.
10 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Координация деятельности
• независимость;
Руководитель внутреннего аудита должен доводить результаты такой оценки до высшего руководства и
Совета вместе с соответствующей информацией по результатам работы внешнего аудитора, включая
уместные комментарии по оценке деятельности внешних аудиторов.
Вопрос 1: Службу внутреннего аудита нередко просят координировать свою работу с работой
внешних аудиторов. Какая из перечисленных ниже сфер деятельности, вероятнее всего, будет
относиться исключительно к компетенции внешних аудиторов?
(Адаптировано из CIA)
a) еще раз убедиться, что работа в данной области не может быть проделана силами только
внутренних аудиторов;
c) уточнить, остатки по каким счетам проверялись внешним аудитором с тем, чтобы внутренние
аудиторы организации могли проверить эффективность процедур внутреннего контроля для
подтверждения достоверности сведений об остатках на этих счетах;
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 11
Координация деятельности CIA Часть 2
d) не рассматривается в Стандартах.
(Адаптировано из CIA)
1
Л.Б.Сойер. Внутренний аудит, 5-е изд., 2003, стр.970.
12 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Координация деятельности
Очень важно, чтобы внутренние аудиторы поддерживали на должном уровне связь с перечисленными
службами и отделами в процессе организации и планирования аудиторских заданий. Вполне вероятно,
что, поддерживая надлежащий уровень взаимосвязи, внутренние аудиторы смогут получать от таких
служб и подразделений ценную информацию, которая поможет минимизировать «дублирование в сфере
2
надзора» и «выявлять области бизнеса, где может потребоваться особое внимание аудиторов».
Вопрос 4: Производя оценку функции или процесса, служба внутреннего аудита должна учитывать
результаты деятельности других подразделений компании, которые отвечают за анализ и проверку
работы этой функции или этого процесса, поскольку:
b) внутренний аудитор может предоставить гарантию, что такие процесс или функция имеют
адекватный уровень контроля, без необходимости проведения дальнейшей проверки;
(Адаптировано из CIA)
Вопрос 6: Действие каких двух факторов в последние годы обусловило изменения в характере
взаимоотношений между внутренними и внешними аудиторами таким образом, что внутренние
аудиторы все в большей степени становятся партнерами внешних аудиторов, а не их подчиненными?
(Адаптировано из CIA)
2
Там же, стр.971.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 13
Роль внутреннего аудита в процессе корпоративного управления CIA Часть 2
Качество корпоративного управления всегда имело огромное значение для акционеров, высшего
руководства и совета директоров, но приобрело еще большее значение после драматического падения
таких компаний, как «Энрон», «УорлдКом», «Адельфия» и других в начале 2000-х годов. Эффективное
корпоративное управление не просто целесообразно, а является совершенно необходимым, поскольку
система корпоративного управления компании существует не сама по себе, а взаимосвязана с системой
внутреннего контроля и управления рисками. Последний мировой финансовый кризис, начавшийся в
2008 году, вновь поднял проблему эффективности корпоративного управления. Акционерным
компаниям было настоятельно рекомендовано усилить их документальную базу и активизировать
деятельность по проверке систем внутреннего контроля, что стало обязательным требованиям согласно
Статье 404 Закона Сарбейнса-Оксли и другим кодексам корпоративного управления, включая
Объединённый кодекс корпоративного управления (Великобритания). Внутренний аудит проявил
инициативу в этом направлении, добиваясь соблюдения этих требований. Вместе с тем, мировой
финансовый кризис 2008-09 гг. привлек внимание общественности к ещё одной очень важной проблеме
в области корпоративного управления – к этической культуре организаций. Это привело к тому, что
многие службы внутреннего аудита стали играть более активную роль в поддержке этических норм и
ценностей внутри организации, делая рекомендации высшему руководству и Советам по вопросам
корпоративного управления, в том числе по вопросам этики и этических ценностей.
14 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Роль внутреннего аудита в процессе корпоративного управления
В качестве защитника этических норм и ценностей организации внутренний аудит может исполнять
несколько разных ролей. Это может быть главное должностное лицо по вопросам этики (омбудсмен 3,
специалист по комплаенсу, советник руководства по вопросам этики или эксперт по вопросам этики);
член совета по внутрикорпоративной этике или специалист по оценке корпоративного нравственно-
этического климата. Однако в некоторых случаях роль директора по вопросам этики (если он есть в
компании) может противоречить условию соблюдения независимости деятельности внутреннего аудита.
3
Здесь: должностное лицо, которое рассматривает претензии и жалобы рядовых работников организации. (Прим.
переводчика).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 15
Роль внутреннего аудита в процессе корпоративного управления CIA Часть 2
Написание четкого и ясного Кодекса поведения не обязательно является гарантией, что в организации
установятся более высокие стандарты этичного поведения. Вместе с тем, отсутствие Кодекса поведения
отнюдь не мешает внутреннему аудитору с успехом справляться с заданиями по проверке и оценке
соблюдения этических норм поведения, поскольку такое поведение уже могло быть зафиксировано в
документах компании. Внедрение мониторинга соответствия поведения работников этическим нормам
должно стать важным добавлением к существующему у организации Кодексу и другим документам,
фиксирующим этические нормы.
16 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Роль внутреннего аудита в процессе корпоративного управления
(Адаптировано из CIA)
b) Варианты I, II и IV.
d) Варианты I, II и III.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 17
Функциональное назначение деятельности внутреннего аудита CIA Часть 2
Планирование
Стандарт 2010: Планирование
Общий процесс планирования включает четыре раздела, за подготовку которых отвечает руководитель
внутреннего аудита и которые охватывают:
• Измеримыми – Должны быть определены критерии достижения цели. Без этого руководитель
внутреннего аудита (комитет по аудиту и совет директоров) не смогут оценить, достигнуты ли
поставленные цели и в какой степени, а также пользу от деятельности внутреннего аудита.
Примечание. Как можно видеть, из начальных английских букв характеристик целей получается
слово SMART – Specific, Measurable, Agreed, Realistic, Timely (goals) – «умные» цели.
18 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Составление риск-ориентированного плана
Как только ответы на перечисленные вопросы будут найдены, можно начинать составление программы
запланированных аудиторских заданий. Ниже мы рассмотрим сначала вопросы определения перечня
планируемых аудиторских заданий, а затем перейдем к рассмотрению вопросов планирования отдельно
взятого аудиторского задания.
Вероятность, %
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 19
Составление риск-ориентированного плана CIA Часть 2
• потенциальная польза, которая может быть получена в результате выполнения того или иного
аудиторского задания;
Тем не менее, из всех приведенных выше факторов оценка рисков обычно считается самой важной.
Одной из особенностей оценки является проведение как количественной (числовой), так и качественной
(характеристической) оценки рисков. Количественные оценки включают денежную величину активов,
находящуюся под риском, либо потенциальные убытки. Качественные оценки включают такие аспекты,
как риски, связанные с мошенническими действиями, и степень важности того или иного подразделения
для функционирования организации в целом.
Приведенное выше обсуждение было сосредоточено на денежном измерении риска. Однако существуют
и другие типы рисков, которые напрямую не связаны с денежной величиной активов компании, но
которые тоже подлежат оценке. Например, процедуры контроля (или, точнее, их недостаточность)
также могут представлять собой область повышенного риска, в которой следует провести проверку.
Следующий пример иллюстрирует, как руководитель внутреннего аудита может расставить приоритеты
для шести аудиторских заданий на основании трех факторов.
20 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Составление риск-ориентированного плана
Руководитель внутреннего аудита оценивает значение каждого фактора по шкале (высокий / средний
/ низкий) (возможно применение и другой шкалы). Первый шаг в процессе определения приоритетов
состоит в оценке каждого аудиторского задания как показано в таблице.
Затем руководитель внутреннего аудита может присвоить удельный вес каждому фактору посредством
присвоения условных значений. В этом примере мы присвоим условные значения следующим образом:
Условное значение: 3 / 2 / 1
После этого руководитель внутреннего аудита может присвоить условное значение каждому из
факторов, посчитать общий балл и определить приоритеты аудиторских заданий.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 21
Составление риск-ориентированного плана CIA Часть 2
Примечание. Списки контрольных вопросов и анкеты часто используются в процессе оценки рисков.
Хотя эти инструменты весьма полезны, в их применении существуют и определенные недостатки, а
именно:
(Адаптировано из CIA)
a) Только вариант I.
d) Варианты I и III.
(Адаптировано из CIA)
22 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Составление риск-ориентированного плана
Вопрос 11: Руководитель внутреннего аудита, который готовит перечень аудиторских заданий на
следующий бюджетный год, имеет ограниченные ресурсы. При принятии решения о выборе между
подразделением материально-технического снабжения и подразделением управления персоналом в
качестве объекта будущего аудиторского задания, какой из перечисленных ниже факторов должен
иметь для руководителя внутреннего аудита наименьшее значение?
b) В штат подразделения внутреннего аудита недавно был принят новый специалист с опытом
работы в одной из перечисленных областей.
d) Уточненная оценка уровня риска в одном из подразделений значительно выше, чем в другом.
(Адаптировано из CIA)
Вопрос 12: Какой из перечисленных факторов считается наименее важным при принятии решения о
целесообразности переброски ресурсов внутреннего аудита с текущего задания по подтверждению
нормативно-правового соответствия на задание по аудиту структурного подразделения, запрос о
котором был получен от руководства организации?
(Адаптировано из CIA)
Вопрос 13: На встрече с менеджерами службы внутреннего аудита руководитель внутреннего аудита
согласовывает план-график аудиторских заданий в рамках плана на будущий год. Какой из
перечисленных ниже методов будет гарантировать, что каждый из менеджеров получит адекватную
часть заданий и ресурсов, необходимых для их успешного выполнения?
d) Полный перечень всех планируемых заданий вывешен для обозрения штатными сотрудниками,
и конкретные аудиторские задания распределяются с учетом их карьерных предпочтений и
заинтересованности в командировках.
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 23
Составление риск-ориентированного плана CIA Часть 2
Вопрос 14: Руководитель внутреннего аудита разработал электронную таблицу для упрощения
процесса оценки рисков, который затрагивает целый ряд различных подразделений организации. В
электронную таблицу внесены следующие факторы риска: 1) давление, которое оказывается на
руководителей подразделений с целью достижения установленных показателей прибыли; 2)
сложность операций; 3) уровень компетентности персонала подразделений; и 4) денежная сумма на
счетах подразделений, которые подвержены субъективному влиянию, в частности, счета, в
отношении которых управленческое суждение может повлиять на величину расходов, например,
пенсионные пособия.
a) Анализ рисков был проведен неадекватно, поскольку в нем были смешаны количественные и
качественные факторы, в результате чего расчет ожидаемых значений риска оказался не
возможен.
(Адаптировано из CIA)
Вопрос 15: Внутренний аудитор собирается провести анализ рисков, результаты которого должны
стать основой для определения тех областей деятельности организации, в которых должны быть
проведены аудиторские проверки. Какое из приведенных ниже утверждений является верным в
отношении анализа рисков?
b) Наибольший уровень риска всегда должен присваиваться той сфере деятельности, которая
подвержена риску наибольших потенциальных убытков.
c) Наибольший уровень риска всегда должен присваиваться той сфере деятельности, в которой
вероятность возникновения этого риска является самой высокой.
d) Анализ степени риска должен сводиться к количественной оценке, чтобы иметь возможность
провести целенаправленное сравнение различных подразделений и направлений деятельности
организации.
(Адаптировано из CIA)
24 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Представление и утверждение планов и требуемых ресурсов
Управление ресурсами
Стандарт 2030: Управление ресурсами
Стандартом 2030 устанавливается, что ресурсы для внутреннего аудита должны быть «эффективными,
достаточными и эффективно использоваться». Термин «соответствующий» предполагает сочетание
знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный»
относится к количеству ресурсов, необходимых для выполнения плана. И эти ресурсы используются
эффективно, если выполнение утвержденного плана достигается наиболее оптимальным образом.
Такой перспективный подход требует от руководителя внутреннего аудита иногда давать аудиторские
задания тем специалистам службы внутреннего аудита, которые пока не обладают всеми необходимыми
навыками и опытом для успешного выполнения этих заданий. В каждом из таких случаев руководитель
внутреннего аудита должен следить за тем, чтобы руководство этим заданием осуществлялось опытным
куратором, который при необходимости сможет обеспечить менее опытному аудитору достаточную
поддержку и направить его в верном направлении. Кроме того, этому аудитору может быть предложено
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 25
Управление ресурсами CIA Часть 2
пройти дополнительное обучение, либо ему могут быть предоставлены дополнительные ресурсы с целью
обеспечения необходимой помощи в процессе выполнения аудиторского задания.
• сложность задания;
При приеме на работу необходимо учитывать такие способности кандидата, как умение передавать
информацию (в устной и письменной форме), а также его навыки межличностного общения в целом. Обе
эти характеристики являются критически важными элементами функции внутреннего аудита, поскольку
работник, имеющий технические знания, но не обладающий способностью работать с другими в одной
команде и передавать им имеющиеся у него знания, будет гораздо менее эффективен как внутренний
аудитор.
После того как штат подразделения внутреннего аудита укомплектован, следующим этапом в работе с
персоналом становится продвижение специалистов по карьерной лестнице и заполнение вакантных
более высоких должностей в подразделении. Когда возникает вакансия на ответственной должности, у
руководителя внутреннего аудита есть два варианта заполнить её. Он может пригласить специалиста,
работающего в организации, либо искать кандидата на освободившееся место за пределами компании.
26 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Управление ресурсами
• Специалист «со стороны» принесет на данный участок работы и в организацию в целом новые
идеи и новое видение перспектив развития.
• Также возможно, что затраты на подготовку руководящих кадров для внутреннего аудита могут
быть снижены, поскольку предполагается, что человек имеет достаточную квалификацию и не
нуждается в дополнительном обучении.
Должностные инструкции
Важным элементом в подборе кадров и продвижении специалистов по службе являются должностные
инструкции. Должностные инструкции должны быть подготовлены в письменной форме и утверждены
для всех штатных должностей. Для каждой штатной должности в инструкции должны быть указаны
требования и необходимая квалификация. Наличие должностных инструкций и их использование в
процессе найма сотрудников делает этот процесс более спокойным и легким, поскольку каждый из
кандидатов на вакантную должность знает, что именно необходимо для продвижения по службе, и что
только специалисты с требуемым уровнем квалификации будут приняты на эту работу.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 27
Управление ресурсами CIA Часть 2
Наставничество (или менторство) становится все более важным элементом в системе развития
персонала и повышения квалификации штатных сотрудников. Руководитель внутреннего аудита несет
ответственность за наставничество и помощь штатным сотрудникам службы внутреннего аудита в их
профессиональном и карьерном росте в организации. Это не значит, что руководитель внутреннего
аудита должен еженедельно проводить индивидуальные беседы с каждым сотрудником внутреннего
аудита, однако он должен вмешиваться в ситуацию по мере необходимости. В крупных аудиторских
подразделениях нередко существует официальная программа наставничества, и тогда руководитель
внутреннего аудита может быть ответственным за управление программой и надзор за ее исполнением.
Руководитель внутреннего аудита может также быть наставником для некоторых старших работников
подразделения внутреннего аудита.
Для проведения ежегодной аттестации все участвующие стороны должны иметь достаточно времени на
подготовку. Обычно в рамках такой подготовки аудитор и его менеджер заполняют специальные
оценочные листы и готовятся к беседе. Сама беседа должна быть запланирована таким образом, чтобы
ее участники имели достаточно времени для обсуждения и решения возникающих вопросов, а не
торопились поскорее закончить с оценкой из-за других дел.
Оценочные листы могут быть стандартной формы (и обычно бывают таковыми в крупных компаниях),
что позволяет сосредоточить внимание на тех областях, которые представляются наиболее важными для
оценки результатов деятельности конкретного работника. Однако для того, чтобы процесс оценки был
максимально эффективным, осуществляющему оценку руководителю необходимо тщательно продумать
все мелочи и избегать, в частности, общих комментариев, которые могут быть адресованы всем без
исключения работникам. В процессе оценки необходимо как можно чаще использовать конкретные
примеры и факты.
Вопрос 16: Важной частью плана развития и повышения квалификации персонала внутреннего
аудита должно быть обучение в процессе работы. Какое из перечисленных действий будет наиболее
важным с точки зрения получения новых знаний штатными внутренними аудиторами?
(Адаптировано из CIA)
28 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Разработка политик и процедур
Вопрос 17: Наилучший способ для руководителя внутреннего аудита убедиться в том, что персонал
подразделения внутреннего аудита подготовлен для выполнения своих обязанностей, предполагает:
(Адаптировано из CIA)
Еще одной обязанностью руководителя внутреннего аудита является разработка политик и процедур,
регулирующих деятельность подразделения внутреннего аудита, и которыми должен в своей работе
руководствоваться каждый внутренний аудитор. Эти политики и процедуры играют ключевую роль для
штатных аудиторов, так как помогают им соблюдать требования стандартов деятельности внутреннего
аудита. Форма и содержание, а также уровень формализации политик и процедур зависят от размера и
структуры подразделения внутреннего аудита и от сложности выполняемой им работы. В небольших
службах внутреннего аудита, работающих в структурно простой организации, формализации политик и
процедур обычно уделяется меньше внимания, чем в многонациональной компании, функционирующей
в сложной экономической среде.
Вопрос 18: Политики и процедуры, касающиеся управления службой внутреннего аудита, должны:
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 29
Разработка политик и процедур CIA Часть 2
Вопрос 19: В большинстве случаев служба внутреннего аудита должна иметь документально
оформленные политики и процедуры, чтобы обеспечивать стабильность и высокое качество своей
работы. Исключение из этого правила имеет непосредственное отношение к:
d) сфере полномочий.
(Адаптировано из CIA)
30 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Отчетность перед высшим исполнительным руководством и Советом
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 31
Отчетность перед высшим исполнительным руководством и СоветомCIA Часть 2
Руководитель внутреннего аудита должен с осторожностью относиться к объему этих отчетов, поскольку
они могут стать настолько пространными, что будет утрачена их основная цель – содержать краткий
итог результатов деятельности подразделения внутреннего аудита. Отчеты могут быть представлены
просто в виде перечисления всех мероприятий, выполненных подразделением внутреннего аудита.
• советом директоров;
• высшим руководством;
• внутренними аудиторами;
• внешними аудиторами.
32 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Отчетность перед высшим исполнительным руководством и Советом
В рамках такой структуры корпоративного управления внутренний аудит и комитет по аудиту оказывают
взаимную поддержку друг другу. Внутренние аудиторы – это «глаза и уши» комитета по аудиту. Они
являются доверенными советниками и экспертами комитета. Соответственно, взаимоотношения между
руководителем внутреннего аудита и комитетом по аудиту должны строиться вокруг ключевой роли
руководителя внутреннего аудита. Эта роль заключается в том, чтобы гарантировать и следить за тем,
что комитет по аудиту понимает значение и поддерживает деятельность внутреннего аудита и, в свою
очередь, получает от внутреннего аудита любую необходимую помощь и содействие.
• Обзор Положения о комитете по аудиту не реже одного раза в год с последующим сообщением
комитету своих выводов о том, в какой степени это Положение соответствует обязанностям,
возложенным на комитет по аудиту советом директоров. Обращение в комитет по аудиту по
вопросу рассмотрения и утверждения Положения о внутреннем аудите организации (не реже
одного раза в год).
• Ведение планируемой повестки дня заседания комитета по аудиту. В повестку дня должны быть
включены все обязательные направления деятельности комитета, текущее состояние или итоги
деятельности. Это помогает комитету по аудиту отчитываться совету директоров о выполнении
возложенных на него обязанностей.
• Подготовка повесток дня заседаний комитета по аудиту для утверждения их председателем.
Оказание помощи в передаче материалов для рассмотрения на заседании комитета по аудиту
его членам. Ведение протоколов заседаний комитета по аудиту.
• Содействие комитету по аудиту в проведении периодических проверок своей деятельности и
методов работы в сравнении с образцами современной передовой практики с целью убедиться,
что работа комитета по аудиту соответствует таким образцам.
• Организация встреч с председателем комитета по аудиту для обсуждения вопросов,
касающихся того, в какой мере материалы и информация, предоставляемые членам комитета,
соответствуют их потребностям.
• Выяснение мнения комитета по аудиту о целесообразности организации рабочих заседаний и
презентаций в образовательных или информационных целях (например, в целях повышения
профессиональной подготовки новых членов комитета по аудиту в сфере управления рисками и
внутреннего контроля).
• Выяснение мнения членов комитета по аудиту о том, устраивают ли их существующая частота и
продолжительность заседаний.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 33
Отчетность перед высшим исполнительным руководством и СоветомCIA Часть 2
(Адаптировано из CIA)
34 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Отчетность перед высшим исполнительным руководством и Советом
Вопрос 21: Итоговый годовой отчет о выполненных аудиторских заданиях, который руководитель
внутреннего аудита направляет высшему руководству и Совету, должен:
(Адаптировано из CIA)
Вопрос 22: Какое из перечисленных ниже направлений деятельности комитета по аудиту способно
принести наибольшую пользу деятельности службы внутреннего аудита?
b) Гарантирование, что внешний аудитор будет полагаться на работу внутреннего аудита во всех
случаях, когда это будет возможно.
(Адаптировано из CIA)
Вопрос 23: Традиционно служба внутреннего аудита имеет двойную систему взаимоотношений с
руководством компании и комитетом по аудиту. Это означает, что:
b) служба внутреннего аудита должна напрямую передавать отчеты комитету по аудиту без
подтверждения отчетной информации высшим руководством;
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 35
Внешний поставщик услуг и ответственность за внутренний аудит CIA Часть 2
До этих пор мы обсуждали деятельность внутреннего аудита только в его традиционном виде в качестве
структурного подразделения организации. В то же время, возможна частичная или полная передача
функций подразделения внутреннего аудита внешнему поставщику услуг. Согласно Стандарту 2070
устанавливается, что внешний поставщик услуг, осуществляющий внутренний аудит, обязан уведомить
проверяемую организацию о её ответственности за обеспечение эффективного функционирования
внутреннего аудита. Эффективность деятельности внешнего поставщика услуг может оцениваться при
помощи использования Программы гарантии и повышения качества, которая рассматривалась ранее в
учебном пособии по Части 1 экзамена.
Согласно положениям закона Сарбейнса-Оксли (SOX), компании, акции которых котируются на биржах,
обязаны иметь функцию внутреннего аудита, тем не менее, закон не уточняет, должна ли эта функция
быть штатной, или она может осуществляться внешним поставщиком услуг. Для привлечения внешнего
поставщика услуг внутреннего аудита могут быть следующие причины:
В большинстве случаев услугами внешних поставщиков для проведения внутреннего аудита пользуются
компании малого и среднего бизнеса. Основным недостатком привлечения внешних поставщиков
для проведения внутреннего аудита является недостаточное знание такими поставщиками особенностей
режима деятельности организации. Кроме того, деятельность внутренних аудиторов призвана приносить
пользу организации, но эта польза будет ограничена в случае привлечения внешних поставщиков для
проведения внутреннего аудита и неполноценного взаимодействия с высшим руководством и Советом.
36 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Роль внутреннего аудита в процессе управления рисками
Если внутренние аудиторы обнаруживают факторы риска во время любой аудиторской проверки, они
должны определить степень подверженности риску, даже если это и не было целью текущей проверки.
Важно помнить, что роль внутреннего аудита в процессе управления рисками не является раз и
навсегда зафиксированной и (скорее всего) будет меняться с течением времени. В соответствии с
Практическим указанием 2120-1 (Оценка адекватности процессов управления рисками), роль
внутреннего аудита в процессах управления рисками организации может сводиться к следующей
степени вовлеченности:
• аудит процессов управления рисками как часть плана деятельности внутреннего аудита;
• отсутствие роли.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 37
Роль внутреннего аудита в процессе управления рисками CIA Часть 2
• Высшее руководство и Совет определили приемлемый уровень риска для организации (то есть,
определили риск-аппетит).
• Выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках
риск-аппетита организации.
Служба внутреннего аудита должна оценить степень выполнения данных целей, чтобы сформировать и
выразить мнение об адекватности процессов управления рисками в организации. Эта задача должна
выполняться службой внутреннего аудита не только в ходе проведения отдельных проверок, а
напротив, она должна выполняться в ходе проведения всех проверок. Аудиторы должны постоянно
осуществлять поиск признаков существования проблем или причин для беспокойства в сфере
управления рисками.
38 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Роль внутреннего аудита в процессе управления рисками
К сожалению, оценка рисков не всегда может быть выполнена по конкретной формуле или измерена
количественно. Успешная оценка рисков очень часто основывается на профессиональных суждениях и
опыте внутренних аудиторов и руководителя внутреннего аудита.
Вопрос 24: Чтобы сделать заключение об адекватности процессов управления рисками, внутренние
аудиторы должны убедиться в достижении пяти ключевых целей процессов управления рисками Что
из перечисленного ниже не относится к числу ключевых целей процесса управления рисками?
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 39
Роль внутреннего аудита в процессе управления рисками CIA Часть 2
Внутренние аудиторы должны использовать знания о рисках, полученные в ходе выполнения заданий
по консультированию, в процессе оценки процессов управления рисками организации. Если выявляются
существенные риски либо обнаруживаются существенные недостатки системы внутреннего контроля, то
аудиторы должны довести эту информацию до сведения руководства. В некоторых случаях, в частности,
когда выявляются существенные риски, от внутренних аудиторов может требоваться проинформировать
об этом Совет или комитет по аудиту.
Так же как в ходе выполнения аудиторских проверок, при оказании консультационных услуг
внутренний аудитор должен применять свое профессиональное суждение, чтобы:
40 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Управление рисками внутреннего аудита
В Практическом указании 2120-2 (Управление рисками внутреннего аудита) определены три основные
группы рисков непосредственной деятельности внутреннего аудита: риск аудиторской ошибки, риск
предоставления ложной гарантии («ложная гарантия») и риск потери деловой репутации
(репутационные риски).
Поскольку нет абсолютной гарантии, что аудиторские ошибки не появятся, деятельность внутреннего
аудита может предусматривать следующие механизмы для снижения подобного рода рисков.
• Разработка эффективной программы аудита. Это значит, что необходимо потратить достаточно
времени на понимание и анализ организации системы внутреннего контроля перед началом её
тестирования на эффективность, чтобы определить, обеспечивает ли такая система адекватный
уровень контроля.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 41
Управление рисками внутреннего аудита CIA Часть 2
Хотя способа полностью исключить риск выдачи ошибочного заключения не существует, подразделение
внутреннего аудита может эффективно управлять им. Ключевой момент в управлении этим риском
состоит в наличии регулярной и четкой связи с комитетом по аудиту, руководством и другими важными
заинтересованными лицами. Чем больше информации о тонкостях и непредвиденных обстоятельствах,
сопряженных с внутренним аудитом, будут получать руководители и Совет, тем реалистичнее будут их
ожидания. С другой стороны, чем глубже и точнее внутренний аудитор понимает процесс мышления
руководства и Совета, тем эффективнее он будет решать проблемы, вызывающие их озабоченность.
Если происходят события, которые оказывают влияние на деятельность службы внутреннего аудита и
его репутацию внутри организации (и как следствие, на репутацию в обществе самой организации), то
руководитель внутреннего аудита обязан проверить характер происходящих событий, понять основную
причину возникшей проблемы и внести любые необходимые изменения в работу службы внутреннего
аудита. При определенных обстоятельствах может потребоваться объявление выговоров или увольнение
виновных сотрудников. Без такой действенной реакции и немедленного исправления ситуации деловая
репутация внутреннего аудита может быть настолько испорчена, что на её восстановление потребуются
годы, если вообще её удастся восстановить. И наоборот, незамедлительные и эффективные меры по
устранению недостатков могут восстановить репутацию внутреннего аудита, если не до её прежнего
уровня, то хотя бы до того состояния, когда окажется возможным вновь обрести доверие к себе.
Как упоминалось ранее в разделе «Связь с комитетом по аудиту», поддержание открытых, действенных
контактов и обмена информацией с комитетом по аудиту и его председателем является наилучшей
политикой в части решения различных вопросов, стоящих перед компанией. В контексте риска потери
42 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Управление рисками внутреннего аудита
Вопрос 25: Внутренние аудиторы оценивают адекватность новых политик и процедур для целей
оценки рисков в рамках актуализации риск-профиля. Какая из следующих процедур аудиторского
задания является наименее существенной для достижения цели задания?
Вопрос 26: Комитет по аудиту выразил озабоченность в связи с тем, что банк предоставлял
высокорискованные кредиты в погоне за получением краткосрочной прибыли. Какая из следующих
процедур аудиторского задания предоставляет меньше всего информации по этой проблеме?
Вопрос 27: Когда исполнительное руководство организации решило сформировать команду для
обследования внедрения системы учета затрат по видам деятельности, внутренний аудитор был
тоже включен в состав команды. Основной причиной этого было знание внутренним аудитором:
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 43
Типы услуг внутреннего аудита CIA Часть 2
Как отмечается в приведенном выше Определении внутреннего аудита, внутренние аудиторы могут
оказывать два типа услуг: услуги по предоставлению гарантий и услуги по консультированию
(консультационные услуги). И хотя общая направленность этих двух подходов отличается, задания по
аудиту будут зачастую включать элементы указанных двух типов предоставляемых услуг. Например,
внутренний аудитор, который выполняет аудиторское задание по предоставлению гарантий в отношении
системы внутреннего контроля качества, будет также в рамках этого задания давать рекомендации (т.е.
консультировать) по изменению и усовершенствованию данной системы.
Предоставление гарантий
Предоставление гарантий – это объективный анализ имеющихся аудиторских доказательств в целях
представления независимой оценки процессов корпоративного управления, управления рисками и
контроля в организации. В том случае, когда предоставляются гарантии, аудитор выражает свое мнение
или дает заключение о состоянии какой-либо системы, процесса, операции и пр.
Примечание. Внешние аудиторы также могут выполнять любые из трех перечисленных видов заданий
по предоставлению гарантий. Эта работа осуществляется как посредством аутсорсинга заданий, так и
с помощью совместной работы с внешними аудиторами. Однако следует иметь в виду, что главным
фокусом внешнего аудита будет оставаться достоверное представление финансовой отчетности.
Поскольку основной задачей внутренних аудиторов является поддержка руководства и органов
корпоративного управления в эффективном исполнении ими своих обязанностей, аудиторские
задания по проверке нефинансовой отчетности часто выполняются именно службой внутреннего
аудита. Кроме того, затраты на проведение таких аудиторских заданий обычно намного выше в тех
случаях, когда они выполняются внешними аудиторами.
3) на уровне циклов (таких как, например, цикл закупок или продаж) – это, в основном, аудит
финансовых систем. Однако на этом уровне также могут проводиться аудиторские задания,
44 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
В конце данного раздела детально освещается еще один вид заданий по предоставлению гарантий. Это
аудиторские задания по выявлению и расследованию фактов мошенничества. И поскольку
деятельность внутренних аудиторов непосредственно связана с предотвращением фальсификации
отчетности, а также с выявлением и расследованием случаев мошенничества, мы также включили в
обсуждение тему по самооценке контроля (CSA). Целью самооценки контроля является улучшение и
совершенствование системы внутреннего контроля. Если в организации действует устоявшаяся система
самооценки контроля, то вполне очевидно, что внутренний аудитор будет так или иначе задействован в
функционировании этой системы – или как проверяющий, или как координатор.
Поскольку цикл операции часто является основой для проведения заданий по финансовому аудиту, мы
вначале рассмотрим некоторые стандартные циклы и то, какие документы и работники задействованы в
этих циклах. Основные циклы (операций) в бизнесе перечислены ниже.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 45
Задания по финансовому аудиту CIA Часть 2
Вскрытие почты Этот работник вскрывает почту, составляет список всех полученных
платежных чеков, ставит на каждый чек штамп с надписью «Только
для депозитов» и направляет работнику, который размещает их в
банке для последующего инкассирования.
Депонирование денежных Этот работник ежедневно депонирует средства в банке, включая
средств заполнение бланков для внесения депозитов/приходных ордеров и
подготовку списка платежных чеков для депонирования.
46 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
Главный файл по расчету Это документ, в котором отражается вся информация о работниках:
заработной платы данные о ставках заработной платы/размерах оклада, выплаченных
бонусах, удержаниях и вычетах из заработной платы (оклада) и т.п.
Табельные часы Это часы, снабжённые механизмом, отмечающим время прихода и
ухода работников на карточке, которые используются для контроля
отработанного работником времени.
Карточка учета рабочего Это карточка, в которой отмечается время начала и окончания работы
времени каждого отдельного работника.
Наряд (на выполнение В этом документе регистрируется время, затраченное работником на
рабочего задания) выполнение определенной работы или операции.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 47
Задания по финансовому аудиту CIA Часть 2
Вопрос 28: Одно из основных различий между заданиями по операционному аудиту и заданиями по
финансовому аудиту состоит в том, что в рамках выполнения заданий по операционному аудиту
внутренние аудиторы:
c) начинают задание с изучения финансовых отчетов клиента, а затем двигаются назад, изучая
процессы, которые использовались для подготовки этих отчетов;
(Адаптировано из CIA)
(Адаптировано из CIA)
48 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
Аудиторский риск
Аудиторский риск – это риск того, что аудитор выразит безусловно-положительное мнение («всё в
порядке») и выпустит аудиторское заключение без оговорок в случаях, когда в действительности в
бухгалтерских документах аудируемой области содержатся существенные искажения, т.е. когда по
неправильно составленной отчетности будет подготовлено аудиторское заключение без замечаний и
наоборот. На практике аудиторский риск состоит в том, что аудитор не может определить существенную
ошибку или искажение в финансовой отчетности и в результате высказывает мнение о достоверности
данной отчетности. Считается, что аудиторское мнение содержит ошибку, если имеют место все три
перечисленных ниже события:
3) Риск необнаружения ошибки аудиторами (риск того, что аудитор не сможет своевременно
выявить/обнаружить ошибку). Независимо от того, насколько тщательно аудитор выполняет
порученное ему задание, всегда существует риск, что он не сможет выявить существенную
ошибку в финансовой отчетности. Этот риск существует потому, что аудитор не проверяет все
без исключения операции, и до тех пор, пока остается непроверенной хотя бы одна операция,
остается риск существенного искажения отчетности применительно к данной, не подвергнутой
аудиторскому тестированию, операции.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 49
Задания по финансовому аудиту CIA Часть 2
AR = IR * CR * DR
Где:
Помимо того, что вам следует знать определения перечисленных рисков, вы также должны знать, как
они оцениваются и на какие из них внутренний аудитор может влиять, а какие контролировать. Первые
две составляющие аудиторского риска – присущий компании риск и риск недостаточности контрольных
процедур – называют рисками существенного искажения отчётности и аудиторы не могут влиять на них.
Последняя составляющая содержит в себе риск выборки и риск, не связанный с выборкой.
Аудитор может оценить присущий риск и риск системы контроля, но он не может ничего сделать, чтобы
повлиять на эти риски или изменить их. Это значит, что аудитор не в состоянии предпринять какие-то
действия по повышению или снижению этих двух рисков (во время выполнения задания).
На присущий риск нельзя повлиять в силу самой природы объекта аудита, который проверяется.
Аудитор не может сделать так, чтобы деривативы (производные финансовые инструменты) стали менее
рискованными.
В ходе проведения аудиторского задания невозможно оказать какое-либо влияние и на риск системы
контроля, поскольку аудит имеет дело с событиями, которые уже произошли в прошлом периоде. В то
время, когда осуществлялись проверяемые операции, система контроля либо уже работала должным
образом, либо нет, и аудитор не может переместиться назад во времени, чтобы изменить средства и
системы контроля, которые работали, например, в прошлом году.
Примечание. Аудитор имеет некоторое влияние на риск системы контроля в будущем периоде.
Предоставляя рекомендации во время выполнения текущего задания, аудитор может оказать помощь
компании в совершенствовании системы контроля, что скажется на снижении риска системы контроля
в будущих периодах.
Риск необнаружения ошибки аудиторами – это единственный риск, на который аудиторы могут
оказывать влияние и снижать этот риск, меняя природу, временные рамки и число самостоятельных
детальных тестов (процедур тестирования). Первое, что надо сделать аудитору в рамках задания, – это
определить приемлемый уровень аудиторского риска. Затем, оценив уровень присущего риска и риска
системы контроля, он может определить уровень риска необнаружения ошибки аудиторами, используя
для этого приведенную выше формулу вычисления аудиторского риска. Как только уровень риска
необнаружения становится известен, аудитор может определить характер, масштаб и сроки проведения
аудиторских тестов, необходимых для достижения целей аудиторского задания.
Примечание. Как следует из сути формулы вычисления аудиторского риска, присущий риск, риск
системы контроля и риск необнаружения ошибки аудиторами связаны между собой. Когда
уровень одного из рисков повышается или понижается, уровень другого риска должен измениться в
обратном направлении, чтобы совокупный уровень аудиторского риска оставался неизменным.
50 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
Аудитор должен оценить риск системы контроля как максимально высокий, если функционирование
средств внутреннего контроля не соответствует утверждениям, на основе которых подготовлена
финансовая отчетность. А также если средства внутреннего контроля нельзя считать эффективными,
или если оценка риска системы контроля для использования этой оценки в целях определения объема
процедур проверки данных утверждений не может быть эффективной и не даст должного результата. В
том случае, когда риск системы контроля оценивается как максимально высокий, аудитор должен просто
задокументировать основные сведения о функционировании системы внутреннего контроля.
В тех же случаях, когда аудитор оценивает риск системы контроля ниже максимума (независимо от
того, использован количественный или качественный метод оценки), он должен задокументировать
результаты аудиторских тестов, подтверждающих, что система внутреннего контроля действительно
работает и выполняет свои функции так, как и планировалось. Такая документация потребуется для
подтверждения заключения аудитора о том, что система контроля работает надлежащим образом.
Этот вывод можно запомнить следующим образом. Есть два способа обнаружения ошибки: 1) система
внутреннего контроля обнаруживает ошибку, или 2) аудитор обнаруживает ошибку. Следовательно,
один из этих способов должен исправно работать. Если система внутреннего контроля функционирует
неудовлетворительно (высокая оценка риска средств контроля), аудитор должен упорно работать, чтобы
выявить каждую ошибку (в результате – низкая оценка риска необнаружения). Другой вариант: если
система контроля работает идеально (низкая оценка риска средств контроля), аудитору вообще не
нужно будет работать (высокая оценка риска необнаружения), поскольку система контроля выявляет
все ошибки. Ясно, что это крайний случай, и в реальной ситуации для обнаружения ошибок понадобится
сочетание обоих способов – и системы внутреннего контроля, и усилий аудитора.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 51
Задания по финансовому аудиту CIA Часть 2
Если же, напротив, уровень риска необнаружения высок, это значит, что аудитор соглашается брать на
себя большой риск невыявления ошибок из-за недостатка доказательств. Поэтому если не нужно
обнаруживать ошибки, то аудитору нет необходимости проводить много аудиторских тестов.
Эта взаимозависимость между уровнями риска системы контроля, риска необнаружения и объемом
необходимой работы может быть выражена следующим образом:
Если вы запомните эти зависимости, это может помочь вам при ответе на некоторые вопросы экзамена.
Вопрос 30: Существует три составляющих аудиторского риска: присущий риск, риск системы
контроля и риск необнаружения. Присущий риск – это:
a) риск того, что аудитор невольно не сможет соответствующим образом изменить свое мнение по
поводу финансовой отчетности, содержащей существенные искажения;
(Адаптировано из CMA)
52 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
Примечание. Эти утверждения проще запомнить в виде мнемограммы COVES (по первым буквам
английских наименований утверждений из вышеприведенного перечня – completeness, obligations,
valuation, existence, statement).
Выполняя задание по аудиту финансовой отчетности, аудитор должен удостовериться, что существуют
процедуры, позволяющие проверить каждое из перечисленных выше утверждений применительно к
каждой финансовой проводке, которая тестируется. При этом необходимо также учитывать, что разные
утверждения, лежащие в основе разных статей учета, могут иметь разную степень важности. Например,
при изучении активов компании утверждение о полноте воспринимается как само собой разумеющееся,
поскольку маловероятно, что компания захочет занизить свои активы. Но утверждение о существовании
применительно к активам должно стать предметом особого внимания для аудитора, поскольку компания
может попытаться завысить количество (натуральную величину) имеющихся у нее активов, включив в
их состав объекты, которых она в действительности не имеет.
И хотя одни утверждения кажутся более важными, чем другие, желательно, чтобы аудитор всё равно
провел хотя бы по одной процедуре применительно к каждому утверждению в отношении каждой из
финансовых проводок, являющихся предметом аудита.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 53
Задания по финансовому аудиту CIA Часть 2
Приведенные ниже списки включают те вопросы, которые может учитывать РВА, оказывая содействие
организации в совершенствовании процесса корпоративного управления и надзорных функций,
выполняемых советом директоров и его комитетом по аудиту (или другими комитетами, учрежденными
для выполнения этих функций) в целях обеспечения достоверности и целостности финансовых отчетов.
Мы не предлагаем вам заучивать эти списки; достаточно будет ознакомиться с их содержанием и
понять, каким образом это увязано с процессом подготовки финансовой отчетности.
Финансовая отчетность
• Предоставление информации, которая бы соответствовала целям назначения независимых
(внешних) аудиторов.
• Координация планов, объемов и планирования аудита с внешними аудиторами.
• Совместное использование результатов аудита с внешними аудиторами.
• Информирование о соответствующих наблюдениях внешних аудиторов и комитет по аудиту в
отношении учетных политик и стратегических решений (включая решения в отношении учета и
отражения в отчетности дискреционных статей и забалансовых операций), специфических
компонентов процесса подготовки финансовой отчетности, а также необычных или сложных
финансовых операций или событий (например, операции между связанными сторонами, слияния
и поглощения, сделки с участием совместных предприятий и товарищества).
• Участие в процессах проверки и анализа финансовой отчетности и раскрытия информации
совместно с комитетом по аудиту, высшим руководством и внешними аудиторами; оценка
качества финансовой отчетности, включая и ту, которая направляется в органы контроля и
регулирования.
• Оценка адекватности и эффективности системы/средств внутреннего контроля организации,
особенно тех процедур и средств контроля, которые непосредственно связаны с процессом
подготовки финансовой отчетности. В процессе такой оценки необходимо рассмотреть вопрос
подверженности организации риску мошенничества, а также оценить эффективность программ
и процедур контроля, призванных снизить риски мошенничества или устранить угрозу его
совершения.
• Мониторинг соблюдения руководителями кодекса поведения, принятого в организации, а также
проверка соблюдения установленных этических норм и других процедур, способствующих
этичному поведению. Важным фактором, способствующим установлению и укреплению в
организации эффективного соблюдения норм этической культуры, является демонстрация
представителями высшего руководства этичного поведения, а также примеров открытого и
честного общения с рядовыми работниками, членами совета директоров и заинтересованными
сторонами.
54 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Задания по финансовому аудиту
Корпоративное управление
• Проверка принципов корпоративной политики в части соответствия требованиям законов и
нормативных актов, а также корпоративных политик и процедур в отношении принципов этики,
конфликта интересов и обеспечения своевременного и тщательного расследования случаев
предполагаемых правонарушений и мошенничества.
Корпоративный контроль
• Проверка достоверности и целостности оперативной и финансовой информации, содержащейся
в отчетах организации.
• Проведение анализа средств контроля в части особо важных принципов учетной политики и
сравнение их с предпочтительными, широко распространенными образцами учетной практики
(например, операции, вызывающие вопросы в части учета доходов, бухгалтерская трактовка
забалансовых источников финансирования и пр., должны быть проверены на соответствие
общепринятым стандартам бухгалтерского учёта).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 55
Аудиторские задания по подтверждению нормативно-правового соответствия
Ниже мы рассмотрим более подробно проведение экологического аудита. Мы остановились на этом виде
задания, поскольку вопросы соблюдения требований законодательства об охране окружающей среды
приобретают особую актуальность для организаций в связи с суровыми штрафами и другими видами
наказания за причинение ущерба окружающей среде. Кроме того, существует возможность негативного
освещения в СМИ нарушений компаниями требований экологического законодательства, что может
неблагоприятно сказаться на их репутации.
56 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Аудиторские задания по подтверждению нормативно-правового соответствия
РВА должен убедиться, что данные вопросы были рассмотрены, а соответствующие риски адекватно
оценены и управляются должным образом.
В крупных компаниях эта оценка может проводиться отдельным подразделением экологического аудита
(эта сфера может быть сопряжена с оценкой правовых рисков, поэтому в ней, скорее всего, активное
участие примут корпоративные юристы). В случае, когда в организации есть отдельное подразделение
экологического аудита, ее руководители должны проследить за тем, чтобы данное подразделение не
подчинялось группе или должностным лицам, ответственным за экологические вопросы в деятельности
организации. Если такая подчиненность имеет место, то это может расцениваться как нарушение
предусмотренной Стандартами независимости аудита. В этом случае РВА может предложить свою
помощь в выполнении задания аудиторам, специализирующимся на экологическом аудите (аудиторам-
экологам).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 57
Аудиторские задания по подтверждению нормативно-правового соответствия
b) руководство организации получит возможность снизить цену предложения за этот объект, если
факт загрязнения окружающей среды будет выявлен;
(Адаптировано из CIA)
58 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Аудиторские задания по подтверждению нормативно-правового соответствия
Вопрос 33: Если службе внутреннего аудита поручается проведение экологического аудита, какое из
перечисленных ниже действий следует выполнить в первую очередь?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 59
Аудиторские задания по оценке результатов деятельности CIA Часть 2
60 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Прочие виды заданий по операционному аудиту
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 61
Прочие виды заданий по операционному аудиту CIA Часть 2
Руководитель внутреннего аудита должен оценить, в какой степени служба внутреннего аудита
обладает необходимой квалификацией и возможностями для выполнения аудиторских заданий в
рассматриваемой сфере бизнеса. Если профессиональные знания и навыки недостаточны, РВА решает,
каким образом их следует приобрести (за счет организации тренингов для имеющегося персонала
службы внутреннего аудита, аутсорсинга аудиторских услуг и т.п.). Ниже перечисляются некоторые
факторы, которые могут ограничивать результативность работы внутренних аудиторов в этой области.
62 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Прочие виды заданий по операционному аудиту
• анализ содержания веб-сайта и его утверждение – когда речь идет о частых изменениях в
содержании информации на сайте, а также, когда на сайте имеются дополнительные свойства и
возможности с круглосуточным доступом для пользователей;
• правовые аспекты, например, всё возрастающее число нормативных документов по всему миру,
защищающих личную информацию в электронной сфере; правоприменение в части контрактов
за пределами страны базирования организации; вопросы ведения бухгалтерского учета и
налогообложения;
Оценка рисков в сфере е-коммерции должна проводиться часто ввиду высоких темпов технического
прогресса в этой области. Кроме того, внутренние аудиторы должны уделять внимание появляющимся в
СМИ информационным материалам о взломах систем безопасности и другим новостям подобного рода, а
также изменениям в деятельности на рынке е-коммерции, осуществляемой самой организацией, в
которой работают аудиторы.
Чтобы адекватно оценивать риски, связанные с е-коммерцией, ИТ-функция службы внутреннего аудита
должна хорошо понимать используемые в этой сфере системы и техническую инфраструктуру, включая
Web-серверы, методы и протоколы передачи данных, брандмауэры, порталы, серверные приложения,
промежуточное ПО и характеристики связи с системами бэк-офиса. Им потребуется определять, какие
программы влияют на данные, где расположены и каким образом распределены программы и серверы,
какие процессы задействованы. Аудиторам также потребуется оценивать эффективность систем и
процедур контроля, связанных с обработкой особо важной и конфиденциальной информации, а также
оценивать процедуры мониторинга. Возможно, что потребуется получить подтверждение адекватности
указанных процессов и процедур от внешних источников.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 63
Прочие виды заданий по операционному аудиту CIA Часть 2
Особенности аудита того или иного вида или направления деятельности в сфере е-коммерции будут
различаться в зависимости от отрасли, страны, бизнес-модели или правовой системы. Вместе с тем
существуют некоторые стандартные правила проведения аудита, которыми можно воспользоваться для
проведения заданий в ключевых направлениях или видах деятельности в сфере е-коммерции. Эти
правила рассматриваются ниже.
64 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Прочие виды заданий по операционному аудиту
• Дублирование платежей.
• Отказ от факта размещения или получения заказа, либо факта доставки товара или факта
получения платежа.
• Цифровые подписи: Используются ли они для всех операций? Кто авторизует эти подписи? Кто
обладает правом доступа к этим подписям?
• Права доступа: Регулярно ли они проверяются? Оперативно ли они заменяются при изменениях
в штате работников?
• Архив данных о перехвате операций, которые пытались осуществить лица, не имеющие для
этого разрешения и полномочий.
• Кто вправе вносить изменения в каталоги, цены или тарифы? Каков механизм утверждения
изменений?
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 65
Прочие виды заданий по операционному аудиту CIA Часть 2
• Крупномасштабные атаки.
• Проверки отдельных инициатив и хода выполнения рабочих проектов в целом, которые должны
проводиться руководством проекта.
• Анализ после установки и запуска системы: Все ли новые процессы запущены и работают, как
запланировано?
Вопрос 35: Аудит системы е-коммерции включает всё указанное ниже, кроме необходимости:
66 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Прочие виды заданий по операционному аудиту
Примечание. Понятие «due diligence» (в данном случае как «должная осмотрительность») также
относится к правовой защите бухгалтеров от материальной ответственности/исков за ошибки в
документе о регистрации ценных бумаг. В данном случае должная осмотрительность означает
«делать то, что и следует ожидать от обычного бухгалтера». Следование профессиональным
стандартам обычно считается достаточным фактом для доказательства должной осмотрительности и
является способом защиты против обвинений в мошенничестве или преступной небрежности.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 67
Прочие виды заданий по операционному аудиту CIA Часть 2
Вопрос 36: К внутренним аудиторам часто обращаются с просьбой выполнить или помочь внешним
аудиторам в выполнении аудиторского задания по комплексной финансово-правовой проверке.
Финансово-правовая проверка в рамках такого задания может быть:
(Адаптировано из CIA)
(Адаптировано из CIA)
(Адаптировано из CIA)
68 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Прочие виды заданий по операционному аудиту
полагают, что суть вопроса не в том «если» произойдет кризис или случится бедствие, а «когда» это
произойдет. В этой связи долгосрочное планирование является жизненно важным для организации,
чтобы минимизировать убытки и обеспечить непрерывность своих бизнес-операций.
Внутренние аудиторы могут оказывать помощь в планировании мероприятий на случай кризиса или
стихийного бедствия и других ситуаций, когда бизнес организации оказывается прерван. Они также
могут проводить оценку структуры и полноты охвата плана после подготовки его проекта и выполнять
периодические задания по предоставлению гарантий с целью подтверждения его актуальности.
Помогая в подготовке плана, внутренние аудиторы должны воздерживаться от непосредственного
участия в планировании непрерывности бизнеса, что является ответственностью исполнительного
руководства, поскольку позднее при выполнении аудиторских заданий по его проверке независимость
внутренних аудиторов может подвергаться отрицательному воздействию.
Планирование
Организации полагаются на внутренних аудиторов в отношении анализа ведения деятельности и оценки
эффективности процессов управления рисками и контроля. Внутренние аудиторы обладают пониманием
общей картины бизнес-операций организации, а также отдельных бизнес-функций и их взаимосвязи.
Это превращает службу внутреннего аудита в исключительно ценный ресурс для проведения оценки
плана восстановительных работ в период его подготовки.
Служба внутреннего аудита в состоянии оказать помощь в оценке как внутренней, так и внешней
бизнес-среды. К числу внутренних факторов, которые может оценивать внутренний аудит, относятся:
текучесть управленческих кадров, изменения в информационных системах и системах контроля, а также
наиболее крупных проектах и программах, реализуемых организацией. К числу внешних факторов могут
относиться: изменения во внешней бизнес и нормативно-правовой среде, изменения рыночных условий
и условий конкуренции, международной финансово-экономической ситуации, а также изменения в
технологиях. Внутренние аудиторы могут помочь в идентификации рисков, затрагивающих важнейшие
направления деятельности организации, и определении приоритетов действий, выполняемых в период
восстановительных работ.
Оценка
Внутренние аудиторы могут внести свою лепту как объективные участники, осуществляя проверку
предложенного плана восстановительных работ и мероприятий по обеспечению непрерывности бизнеса
на предмет его структуры, полноты и общей адекватности. Аудитор может изучить данный план с целью
определить, что в нем отражены те операции, которые были включены и оценивались в процессе
оценки рисков, а также что данный план содержит достаточное количество пунктов, относящихся к
сфере внутреннего контроля, и предписаний по их выполнению.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 69
Прочие виды заданий по операционному аудиту CIA Часть 2
• позволяет ли структура плана учитывать все важные изменения, которые могут произойти со
временем;
• будет ли новый план (с учетом корректировок) направлен всем заинтересованным лицам как
внутри организации, так и за ее пределами.
В ходе выполнения аудиторских заданий в данной сфере внутренние аудиторы должны дать ответы на
указанные ниже вопросы.
70 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
Спустя несколько месяцев после бедствия внутренний аудитор может оказать необходимую компании
помощь, оценив извлеченные уроки в результате бедствия и последующих восстановительных работ, а
также сделав рекомендации по улучшению процесса подготовки плана по обеспечению непрерывности
бизнеса.
Однако следует учитывать, что, в конечном счете, высшее руководство организации определяет степень
участия внутренних аудиторов в обеспечении непрерывности бизнеса и восстановлении деятельности
организации после бедствия, принимая во внимание навыки, знания, независимость и объективность
аудиторов.
Вопрос 39: Внутренние аудиторы могут сыграть важную роль в процессе обеспечения
непрерывности бизнеса организации. Что из перечисленного ниже нельзя отнести к роли
внутренних аудиторов в подготовке плана по обеспечению непрерывности бизнеса или плана
восстановительных работ после бедствия?
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 71
Аудит системы обеспечения качества CIA Часть 2
Одной из основных идей концепции комплексного управления качеством является то, что у каждого
подразделения в организации имеется заказчик (потребитель), и этот факт необходимо держать в уме
постоянно. Для некоторых подразделений организации заказчики (потребители) находятся внутри самой
организации, но это не меняет сути. Выявление потребностей и ожиданий заказчика является серьезным
стимулом для подразделения-поставщика совершенствовать области деятельности, которые нуждаются
в улучшении, и устранять ненужные или лишние операции. Каждому работнику уготована своя роль в
процессе внедрения и развития системы комплексного управления качеством, так как каждый сотрудник
организации оказывает влияние на качество выпускаемой продукции или предоставляемой услуги.
Аудит системы обеспечения качества представляет собой аудиторскую проверку функции или
структурного подразделения организации с целью предоставления гарантий, что данные функция или
подразделение соблюдают установленные стандарты качества. Если они отсутствуют, то внутренний
аудитор должен способствовать принятию этих стандартов в сотрудничестве с руководством данной
проверяемой функции или подразделения.
В тех случаях, когда регулярный аудит системы качества проводится структурным подразделением по
контролю качества (либо другим подразделением, имеющим аналогичные обязанности), то внутренний
аудитор может координировать свою работу с данным подразделением. Возможно даже, чтобы такое
подразделение становилось составной частью внутреннего аудита организации.
Бенчмаркинг
Бенчмаркинг является основным инструментом при внедрении системы комплексного управления
качеством. Бенчмаркинг может помочь организации в управлении производительностью труда и
анализе бизнес-процессов. Тем самым он становится предметом услуг по консультированию, которые
предоставляет служба внутреннего аудита организации.
Компания, которую используют в качестве образца для сравнения, не обязательно должна работать в
той же отрасли или стране, что и компания, использующая бенчмаркинг для совершенствования своей
деятельности. Компания, используемая в качестве эталона (стандарта) для сравнения, просто должна
использовать тот же процесс или стремиться к достижению той же цели, что и организация, которая
оценивает свою деятельность, используя бенчмаркинг. Так, погашение дебиторской задолженности по
своей сути является одинаковым в любой стране, поэтому компания, которая имеет эффективный и
результативный процесс погашения дебиторской задолженности, может быть использована в качестве
образца для сравнения во многих странах или отраслях.
72 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
Процесс бенчмаркинга
5. Фаза внедрения
6. Отслеживание результатов
внедрения и установка обратной
связи
Типы бенчмаркинга
В бенчмаркинге могут использоваться финансовые и нефинансовые критерии в качестве эталона.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 73
Аудит системы обеспечения качества CIA Часть 2
• Общий бенчмаркинг. В этом случае речь идет о сравнении процессов, которые по своей сути
являются одинаковыми и не зависят от отрасли или технологии производства, как, например,
обработка документации. Общий бенчмаркинг – это наиболее сложный и трудно реализуемый
вид, позволяющий сравнивать бизнес-процессы, протекающие в организациях, относящихся к
разным отраслям промышленности. Этот тип бенчмаркинга не настолько полезен, как
сравнение одинаковых процессов производства, но возможности для внутриорганизационного
улучшения, предоставляемые этим типом бенчмаркинга, являются наиболее оптимальными.
(Адаптировано из CIA)
Недостатки бенчмаркинга
Выполненный корректно, бенчмаркинг может стать источником конкурентного преимущества. При этом,
проводя сопоставительный (бенчмаркинговый) анализ, компания не должна нарушать антитрестовское
законодательство и/или использовать методы недобросовестной торговой практики. Бенчмаркинг сам по
себе не направлен против и не мешает свободной конкуренции, однако компаниям следует проявлять
осторожность в отношении того, откуда они получают необходимую им информацию. Информация,
полученная из Интернета, научных книг и иных внешних источников, будет считаться удовлетворяющей
формальным требованиям. Но если компания занимается обсуждением системы установления цен с
конкурентами, то это может привлечь внимание регулирующих органов.
Некоторые другие возможные недостатки или связанные с бенчмаркингом проблемы перечислены ниже.
74 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 75
Аудит системы обеспечения качества CIA Часть 2
систему обеспечения и контроля качества в сфере охраны окружающей среды для гарантии самой себе,
что она соблюдает принятую ею политику по охране окружающей среды и демонстрирует соответствие
требованиям стандарта ISO 14001.
Информация, имеющая отношение к целям, объему и критериям аудиторского задания, должна быть
собрана с помощью аудиторского выборочного тестирования и подтверждена должным образом.
Внутренний аудитор, выполняющий задание по проверке соответствия стандартам ISO 9000, должен
хорошо знать соответствующие законодательные и нормативные акты и прочие требования,
применимые к организации или аудируемому подразделению, в том числе местные и национальные
нормативно-правовые акты, а также условия контрактов, соглашений, международных договоров и
конвенций.
Внутренние аудиторы, выполняющие эти задания, также должны обладать необходимыми знаниями в
области систем управления качеством, включая используемую терминологию, а также принципы,
средства и методы системы управления качеством (например, системы статистического контроля
процессов). Основополагающая идея системы статистического контроля процессов заключается в том,
что стабильный процесс производства должен обеспечивать изготовление продукции, характеристики
которой соответствуют принципам устойчивого статистического распределения. Отсутствие такой
статистической устойчивости в процессе означает наличие проблемы. Следовательно, с помощью
мониторинга статистической устойчивости конкретного производственного процесса оператор имеет
возможность выявить ситуацию, когда производство выходит из-под контроля, и качество продукции
находится под угрозой. Когда наблюдаются отклонения от статистической нормы, необходимо провести
корректировку (перенастройку) процесса, чтобы восстановить статистическую устойчивость и должный
контроль над качеством продукции. Цель в этом случае заключается в необходимости откорректировать
математическое ожидание среднеарифметического значения и сократить отклонение от номинальной
величины (сократить разброс параметров). Мониторинг контроля качества последующих операций будет
76 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
Более того, аудитор, выполняющий задание по аудиту системы обеспечения качества, должен хорошо
знать профессиональную терминологию, конкретную практику и процессы, которые характерны для
аудируемого вида бизнеса, а также технические характеристики процессов, продуктов и услуг. Если
внутренние аудиторы, входящие в группу по выполнению задания, не имеют необходимых специальных
знаний и навыков, возможно использование технических экспертов.
Аудит системы охраны периметра объекта (защиты объекта по его периметру) предполагает
проверку уровня безопасности границ земельного владения (собственности) и оценку рисков нарушения
этих границ, включая документирование выявленных рисков на карте объекта. Риски могут включать
железнодорожные пути, дороги, неохраняемые места доступа на территорию периметра объекта,
недостаточно освещенные места, линии электропередач, телефонные линии и прочие точки доступа к
объекту. Все камеры и устройства видеонаблюдения должны быть задокументированы. Все пункты
охраны должны быть идентифицированы; должно быть указано, являются ли они автоматическими или
обслуживаются охранниками, обнесены ли они заграждениями, оборудованы ли они телефонной связью,
кнопками для экстренного оповещения работников и средствами видеонаблюдения. Аудитор должен
предпринять попытку получить несанкционированный доступ на территорию объекта, как в обход
пункта контроля, так и через него (с помощью «социальной инженерии» или дружеских отношений).
Освещение должно быть достаточным для обнаружения незаконного проникновения.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 77
Аудит системы обеспечения качества CIA Часть 2
Работники должны иметь возможность пользоваться услугами охраны для сопровождения их в места
парковки автомобилей после завершения рабочего дня и в другое время, в случае необходимости. Более
того, работники обязаны посещать учебные занятия, на которых объясняются процедуры на случай
пожара или угрозы бомбардировки объекта.
Сохранность материальных активов организации, например запасов, также является частью аудита
системы физической безопасности. Аудитор должен выяснить, как часто проводится инвентаризация,
поскольку эта процедура является основным способом для обнаружения воровства. Кроме того, зона
хранения товарно-материальных ценностей должна быть оборудована средствами наблюдения.
Тем не менее, аудиторское задание такого рода может осуществляться только с согласия третьей
стороны. Поэтому согласие третьей стороны должно быть получено до проведения задания посредством
заключения контракта. Контракт с сервисной организацией должен, в частности, точно определять
объем оказываемых услуг, стандарты услуг и минимально допустимые характеристики провайдера услуг
(например, средства контроля процессов выполнения и финансовое состояние сервисной организации).
Кроме того, если аудит сервисной организации считается необходимым, то контракт должен содержать
пункт о праве на проведение аудиторских проверок.
Примерами сервисных компаний, применительно к которым может проводиться аудит третьей стороны,
являются провайдер услуг по электронному обмену данными (EDI) или независимая компания,
занимающаяся администрированием программы выплат работникам организации. В этой ситуации сама
организация будет считаться «первой стороной», клиенты, работники и торговые партнеры организации
– «второй стороной», а провайдеры услуг – «третьей стороной».
Аудит третьей стороны могут проводить либо внутренние аудиторы, либо независимый внешний
аудитор. Решение о том, проводить ли аудит третьей стороны силами внутренних аудиторов или следует
привлечь внешнего аудитора, должно основываться на результатах оценки рисков. А также необходимо
учитывать мнение руководителей организации о том, можно ли полагаться на собственных внутренних
аудиторов, либо есть необходимость привлечь внешних аудиторов (например, если для выполнения
такого задания требуются узкоспециальные знания, которыми могут не обладать внутренние аудиторы).
78 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
Далее, если для аудита третьей стороны организация прибегает к услугам внешнего аудитора, ей
необходимо удостовериться, что такой независимый внешний аудитор обладает должной
квалификацией, что объем выполняемого задания соответствует целям самой организации, и что все
существенные недостатки, отмеченные в заключительном отчете внешнего аудитора, впоследствии
исправляются.
Объем аудита третьей стороны будет зависеть от конкретной ситуации. Для подготовки аудита третьей
стороны внутренний аудитор должен получить понимание системы внутреннего контроля сервисной
организации, чтобы иметь возможность использовать эти знания в ходе планирования аудиторского
задания. Это особенно важно в тех случаях, когда сервисная организация занимается обработкой
транзакционных данных или выполняет другие услуги процессинга для организации-пользователя.
Аудитору также необходимо знать все применимые федеральные и местные законы и нормативные акты
в аудируемой области (как, например, законы о неприкосновенности персональных данных), чтобы
подтверждать соответствие провайдера требованиям этих законов и актов.
Аудит контрактов
Аудит контрактов обычно относится к аудиту строительных и связанных со строительством
контрактов или договоров/подрядов на эксплуатацию. Ниже нами рассматриваются три типа
контрактов, к каждому из которых прилагается список потенциальных рисков. Эти риски взяты из
неоднократно цитируемой нами книги Сойера.
1) Контракты с фиксированной ценой. Это контракты, в которых указывается общая цена согласно
спецификациям или требованиям. Несмотря на то, что окончательная цена в таких контрактах
является определенной и заранее установленной, существует ряд условий для контрактов этого
типа, которые требуют особого внимания. Именно: 1) промежуточная оплата за выполненные работы
(«процентовка»); 2) положения, регулирующие повышение стоимости контракта исходя из объема
выполняемых работ и их себестоимости (оговорки о скользящих ценах в зависимости от издержек);
3) штрафы за задержку платежа; и 4) индексирование издержек (например, при работе в полевых
условиях или за важные виды сырья). Контракты этого типа редко выполняются без внесения каких-
либо изменений в условия. Если контракт выполнен в соответствии с первоначальными условиями,
либо изменения первоначальных условий были незначительными, то объем аудита таких контрактов
бывает небольшим или аудит вообще не проводится. Аудиторские задания ставят перед аудиторами
более трудные задачи в тех случаях, когда в условия контракта внесены изменения, существенно
усложняющие контракт.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 79
Аудит системы обеспечения качества CIA Часть 2
• Учет расходов на надзор как прямых затрат труда в нарушение условий контракта.
80 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
Чтобы обеспечить защиту интересов компании, внутренним аудиторам рекомендуется выполнять свои
функции в течение всего процесса заключения контракта. Внутренние аудиторы должны обеспечить
проверку и оценку следующих пунктов, относящихся к заключению контракта:
• налогообложение;
Внутренние аудиторы должны удостовериться в том, что, помимо физической защиты информации, в
организации обеспечивается конфиденциальность информации (защита персональных данных), и эта
информация не передается лицам, не имеющим на это прав и полномочий, даже если эти лица являются
сотрудниками организации. Так, например, сведения о потребителе, которые хранятся в базе данных
компании, не должны раскрываться третьей стороне без надлежащего согласия этого потребителя.
Использование понятия «раскрытие информации» относится как к деликатным сведениям (например,
сведения о банковских счетах, о кредитной истории, о размерах и условиях кредитов), так и к менее
деликатной информации (номер домашнего телефона, адрес электронной почты, размер личного дохода,
группа крови и пр.).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 81
Аудит системы обеспечения качества CIA Часть 2
Во многих странах приняты законы и нормативные акты в области защиты персональных данных и
информации, однако признание этих законов и приведение в исполнение существенно различаются в
каждой стране. Кроме того, подходы к тому, какого рода персональные данные и информация должны
быть защищены законом, различаются не только в разных странах, но и в разных отраслях и даже в
организациях в одной и той же стране. Поэтому именно на внутреннего аудитора ложится обязанность
оценить адекватность идентификации рисков, осуществляемой руководством организации, в отношении
сохранности личной информации и адекватности контрольных процедур, направленных на снижение
этих рисков до приемлемого уровня. Положение внутренних аудиторов в структуре организации
позволяет им оценивать системы сохранности персональных данных, выявлять существенные
риски, оценивать средства контроля, а также разрабатывать необходимые рекомендации по
снижению таких рисков.
• Средства и меры защиты персональных данных, чтобы проверить, что все необходимые
элементы и процедуры контроля внедрены и что обеспечивается регулярная проверка и оценка
эффективности этих элементов и процедур.
82 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудит системы обеспечения качества
• Кто осуществляет сбор информации? Как используется каждый тип собранной информации, и
каким пользователям разрешен доступ к каждому из таких типов информации?
• Как осуществляется хранение каждого типа информации, и какие существуют возможности для
нарушения системы безопасности хранения данных – с учетом возможностей внешнего доступа
и несанкционированного внутреннего доступа?
• Схема потоков данных: Какие данные пересылаются внутри организации? Какая информация
передается из организации третьим сторонам?
• Кому и при каких обстоятельствах может подлежать раскрытию информация каждого типа?
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 83
Аудит системы обеспечения качества CIA Часть 2
Вопрос 41: На этапе предварительного обследования в ходе аудиторского задания, целью которого
является проверка производственного цикла организации, руководство заявило о том, что продажа
металлолома находится под жестким контролем. Наилучшим способом получить информацию,
которая была бы способна подтвердить данное утверждение, является:
(Адаптировано из CIA)
Вопрос 42: В целях улучшения контроля ежедневных текущих расходов организация сократила
ежедневное использование услуг курьерской службы. Несмотря на такие меры, ежемесячные счета
продолжали расти. Какие процедуры следует использовать внутреннему аудитору, чтобы выявить,
не включаются ли в счета организации на оплату непредоставленные (неоказанные) услуги?
(Адаптировано из CIA)
Вопрос 43: Недавно организация подписала контракт типа «затраты плюс» на строительство нового,
более крупного завода. Какие из перечисленных ниже процедур будут считаться наиболее важными
для внутреннего аудитора, проверяющего условия заключенного контракта?
c) Проверить контракт с целью убедиться, что его условия предусматривают право заказчика на
аудит системы внутреннего контроля и фактических расходов подрядчика.
(Адаптировано из CIA)
84 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудиторские задания по консультированию
Вопрос 44: Самым убедительным способом оценки эффективности системы контроля качества будет:
(Адаптировано из CIA)
Вопрос 45: Использование метода перекрестной ссылки индивидуальных карточек табельного учета
с учетными записями и отчетами отдела кадров позволяет внутреннему аудитору сделать вывод, что:
(Адаптировано из CIA)
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 85
Аудиторские задания по консультированию CIA Часть 2
Исходя из учебного плана Института внутренних аудиторов, ниже приводится перечень некоторых
заданий по консультированию, в выполнении которых может быть занята служба внутреннего аудита.
86 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудиторские задания по консультированию
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 87
Аудиторские задания по консультированию CIA Часть 2
Вопрос 47: Цель предоставления консультационных услуг состоит в том, чтобы приносить пользу и
способствовать совершенствованию деятельности организации. Внутренние аудиторы обладают
преимуществами для выполнения заданий по консультированию, поскольку:
c) они имеют возможность выполнять такие задания при любых обстоятельствах, если имеется
запрос от руководства организацией;
d) на них не будут давить временные рамки и поэтому они смогут затратить столько времени на
выполнение заданий, сколько им потребуется.
Консультационные услуги могут предоставляться либо в рамках обычной, или плановой, работы
внутреннего аудитора, либо в ответ на специальный запрос руководства организации. Каждая
организация должна определить наиболее целесообразные типы заданий по консультированию и
установить конкретные процедуры для каждого из таких заданий. Принятые к исполнению задания
88 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудиторские задания по консультированию
должны быть включены в план. Цели заданий по консультированию должны соответствовать общим
ценностям и целям организации. Ниже перечислены возможные типы консультационных заданий.
Кроме того, аудиторы обычно не должны соглашаться на выполнение консультационных заданий просто
ради того, чтобы обойти, либо помочь другим обойти те требования, которые в обычных условиях
применяются к аудиторским заданиям по предоставлению гарантий, – в тех случаях, когда обсуждаемую
аудиторскую услугу целесообразнее оказывать в рамках задания по предоставлению гарантий. Однако
это не исключает возможности адаптировать методологии классифицирования аудиторских заданий,
когда трактовка услуг, некогда предоставляемых в рамках заданий по предоставлению гарантий,
изменяется, и считается более приемлемым их предоставление в рамках консультационных заданий.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 89
Аудиторские задания по консультированию CIA Часть 2
Если в ходе выполнения аудиторского задания по той или иной причине нарушается объективность
внутренних аудиторов, может потребоваться привлечение независимых внешних аудиторов. Когда это
сделать невозможно, требуется раскрыть информацию о прежних обязанностях аудитора в той сфере,
где проводится аудит. Такая связь аудитора с проверяемым направлением деятельности должна быть
раскрыта в относящихся к заданию отчетах.
Выполняя консультационное задание, внутренние аудиторы должны убедиться в том, что его объем и
содержание, а также используемая методология достаточны для достижения согласованных целей
задания. При определении объема и содержания аудиторского задания внутренние аудиторы могут
расширить или, наоборот, ограничить их исходя из запроса руководства организации. Однако при этом
внутренний аудитор всё равно должен прийти к убеждению, что объем и содержание задания будут
адекватными и позволят выполнить цели задания. Не являются исключением случаи, когда цели, объем
и содержание, а также сроки выполнения задания периодически пересматриваются и корректируются в
ходе выполнения задания.
Если внутренние аудиторы в ходе выполнения задания испытывают сомнения в отношении объема и
содержания задания, эти сомнения должны быть обсуждены с клиентом, чтобы решить, продолжать ли
выполнение задания. Как и в случае с оценкой рисков, при оказании услуг по консультированию
внутренний аудитор должен применить свое профессиональное суждение, чтобы:
90 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудиторские задания по консультированию
• установить, какие условия по данному поводу содержатся в Кодексе поведения, Кодексе этики
и других внутренних нормативных документах и административных распоряжениях;
• установить, какие условия по данному поводу содержатся в Стандартах, Кодексе этики, а также
во всех остальных стандартах и кодексах, распространяющихся на внутренних аудиторов, и
нормативно-правовых актах, применимых к рассматриваемому вопросу.
a) Генеральный директор.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 91
Аудиторские задания по консультированию CIA Часть 2
Для того чтобы руководство организации могло сделать необходимую оценку, требуется принять
формальную программу тестирования системы внутреннего контроля, причем внутренние аудиторы
организации не могут участвовать в разработке данной программы. Чтобы сохранить независимость,
внутренний аудитор компании не может устанавливать процедуры для проверки эффективности
функционирования системы внутреннего контроля компании, готовить необходимую документацию, а
затем подтверждать результаты собственной работы. Руководство организации само должно оценить
эффективность системы внутреннего контроля в компании, а аудитор – только подтвердить результаты
оценки. Хотя независимые аудиторы могут вносить вклад в этот процесс, осуществляемый руководством
организации, большая часть работы, необходимой для выполнения требований статьи 404 Закона
Сарбейнса-Оксли, не должна выполняться аудиторской фирмой, которая затем будет подтверждать
эффективность системы внутреннего контроля организации.
В июне 2007 года КЦБ выпустила Руководство № 33-8810, содержащее практические указания для
руководителей по оценке состояния системы внутреннего контроля за составлением финансовой
отчетности в целях выполнения требований Закона более результативно и эффективно.
92 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Аудиторские задания по консультированию
В Руководстве также уточняется, что оценка руководством доказательств эффективности своей системы
внутреннего контроля должна основываться на оценке риска. В отношении сфер с низким уровнем
риска руководство может использовать более качественные способы сбора доказательств, но в
отношении сфер с высоким уровнем риска руководство должно выполнить исчерпывающее
тестирование. В итоге руководство сможет сконцентрировать свои ресурсы контроля на тех сферах
финансовой отчетности, которые подвержены наиболее высоким рискам с точки зрения их влияния на
достоверность отчетности.
В июле 2007 года Комитет по надзору за отчетностью открытых акционерных компаний (создан после
принятия Закона Сарбейнса-Оксли) утвердил Стандарт аудита №5, заменивший собой Стандарт аудита
№2 и обеспечивший практическими указаниями по соблюдению требований Закона внешних аудиторов.
Поначалу требования статьи 404 Закона Сарбейнса-Оксли по оценке системы внутреннего контроля
руководством компании применялись только в отношении крупных открытых акционерных корпораций.
Но после выпуска КЦБ Руководства №33-8810 от более мелких компаний, не являющихся эмитентами
ускоренной регистрации, тоже стали требовать отчеты руководителей о состоянии системы внутреннего
контроля за составлением финансовой отчетности, начиная с финансового года, завершившегося 15
декабря 2007 года.
Внутренние аудиторы могут получать запросы об оказании помощи в разработке процедур тестирования
и проведении самого тестирования. Аудиторские тесты системы контроля включают опросы руководства,
руководителей среднего и низшего звена и рядовых работников, а также проведение наблюдений с
целью изучения конкретных элементов процесса контроля, изучение документов и учётных записей.
Целью данных тестов является получение аудиторских доказательств того, находится ли организация и
функционирование процесса внутреннего контроля на достаточном уровне, чтобы предотвратить, либо
выявить и устранить существенные искажения в отчетности.
В вышеупомянутом Заявлении КЦБ рекомендуется, чтобы объем и процедура проведения оценки имели
разумный характер, а также, чтобы процесс оценки, включая тестирование, в достаточной степени был
подкреплен аудиторскими доказательствами. Это Заявление также содержит рекомендации руководству
организаций выделять необходимые ресурсы контроля в области, связанные с наибольшим риском для
организации, и не уделять равноценного внимания всем элементам системы внутреннего контроля без
учета факторов риска. В нем, в частности, указано: «Оценка состояния системы внутреннего контроля
за составлением финансовой отчетности будет более эффективной, если будет сосредоточена на
элементах и процедурах контроля, которые имеют отношение к тем процессам и классам операций,
отражаемых в статьях финансовой отчетности и документах, раскрывающих информацию, которые с
наибольшей вероятностью могут иметь существенное влияние на финансовые отчеты компании».
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 93
Самооценка (внутренняя оценка) контроля CIA Часть 2
Эти оценки осуществляются путем организации заседаний или рабочих совещаний, либо с помощью
анкетирования. Оценки могут относиться к любым областям деятельности компании – проектам,
процессам, бизнес-подразделениям или функциям.
Основные выгоды от реализации программы самооценки контроля для организации заключаются в том,
что самооценка:
94 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Самооценка (внутренняя оценка) контроля
Существует три основных программы участия, которые обычно используют в практике самооценки
контроля. Эти программы включают:
2) опросы; и
3) анализ руководителей/«самоаудит»/«самопроверка».
Формат рабочих групп содействия зависит от поставленных целей, специфики рисков, контроля и
применяемых процессов.
Чтобы рабочая группа содействия была успешной, необходимо выполнение пяти главных условий.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 95
Самооценка (внутренняя оценка) контроля CIA Часть 2
при лучшем понимании рабочих групп содействия со стороны организаторов риск того, что они
могут пропустить смысл какой-то реплики участника группы, указывающей на необходимость
более детального обсуждения темы, становится минимальным.
3) Вопросы контроля. После того, как участники рабочей группы содействия справились с
идентификацией ключевых проблем и обсуждением их коренных причин, следует перейти к
детальному обсуждению вопросов контроля, используя для этого, например, концепцию COSO
(Интегрированная концепция внутреннего контроля), которая является общепринятой моделью
оценки риска и контроля. Участники рабочей группы отвечают на ряд вопросов, что помогает
организатору собрать необходимую информацию. Для организатора важно внимательно
слушать выступления и комментарии участников.
4) Умение быстро подвести итог дискуссии для участников. Это не должно быть нечто вроде
заключения аудитора. Скорее, это краткий итог и оценка выступлений участников рабочей
группы содействия, поскольку это запись обсуждения с их участием. В идеальном случае,
участники рабочей группы должны получать на следующий день после обсуждения краткий
итоговый документ по результатам. Такое краткое обобщение дискуссии поможет им, когда они
начнут предпринимать соответствующие меры (корректирующие действия) по решению
проблем, которые обсуждались на собрании рабочей группы.
Процесс самооценки контроля также может использоваться для выявления областей деятельности, в
которых было бы целесообразно провести аудит. Если же проблема решается адекватно, то аудит может
не потребоваться. Однако в тех случаях, когда проблема не ясно выражена, когда природа такой
проблемы достаточно деликатна, либо когда она не слишком серьезно воспринимается, то именно тогда
и возникает необходимость в проведении аудита. Проведение аудиторских заданий в таких ситуациях
обычно дает значимые результаты, так как практически отсутствует элемент «случайного попадания»,
96 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Самооценка (внутренняя оценка) контроля
2. Опросы (анкетирование)
Проведение опросов или анкетирования обычно имеет целью получить простые ответы: «да/нет»,
«имеются/не имеются» на вопросы анкет. Внутренние аудиторы используют эти методы в случаях, когда
численность клиентов (потребителей аудиторских услуг) велика, или они географически разбросаны и
не могут работать в составе одной рабочей группы. Вопросы могут быть составлены с учетом специфики
каждого подразделения, его статуса и потребностей. Вопросы в анкетах должны относиться к основным
процедурам внутреннего контроля и мониторингу системы контроля. Вместе с тем, у анкетирования
имеются определенные слабые стороны и недостатки. Они указаны ниже.
• Очевидно, что правильным ответом на любой вопрос анкеты является ответ «да», и это
обстоятельство может оказывать давление на отвечающих, заставляя их преувеличивать и
прибавлять то, чего не было в действительности.
Примечание. Нет ничего необычного в том, что организации комбинируют перечисленные выше
подходы. Некоторые характеристики и показатели будут общими для большинства реализуемых
организациями программ.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 97
Самооценка (внутренняя оценка) контроля CIA Часть 2
• В одной организации вклад внутреннего аудита может быть весьма значительным. Персонал
службы внутреннего аудита может заниматься организацией, разработкой, осуществлением
процесса самооценки, и фактически контролировать процесс, проводя тренинги и привлекая
организаторов, помощников и подчиненных, а также согласовывать участие менеджмента и
рабочих групп.
• В другой организации роль внутреннего аудита может быть минимальной. Служба внутреннего
аудита выступает только в качестве заинтересованной стороны и консультанта по процессу
самооценки контроля в целом, или в качестве последнего контролера, проверяющего оценки,
сделанные рабочими группами.
Однако для большинства компаний вклад внутреннего аудита в программы по проведению самооценок
контроля находится где-то посередине между указанными выше крайностями. Как только степень
участия внутреннего аудита в Программе самооценки контроля и совещаниях отдельных рабочих групп
возрастает, руководитель внутреннего аудита должен выполнить мониторинг объективности штатных
аудиторов и предпринять шаги по контролю объективности (если требуется), а также усилить надзор за
деятельностью внутреннего аудита. Это осуществляется с целью получения гарантий, что возможные
предвзятость или пристрастность не окажут влияния на объективность конечных оценок штатных
аудиторов. Как указывается в Стандарте 1120, «внутренние аудиторы должны быть беспристрастны и
непредвзяты в своей работе и избегать конфликта интересов любого рода».
Вопрос 50: Какой из трех основных подходов к программе самооценки контроля предполагает сбор
информации от рабочих групп, представляющих собой различные уровни в бизнес-подразделении
или функции?
b) Анкетирование (опросы).
98 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Самооценка (внутренняя оценка) контроля
Вопрос 51: В каком из форматов рабочих групп содействия работа начинается с перечисления всех
возможных барьеров, препятствий, угроз и рисков, которые могут помешать достижению
поставленных целей?
Вопрос 52: В каком из форматов рабочих групп содействия основная цель заключаются в оценке,
модернизации, подтверждении правильности, улучшении или даже оптимизации всего бизнес-
процесса и входящих в него отдельных компонентов?
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 99
Раздел Б – Введение CIA Часть 2
Раздел Б – Введение
В этом разделе мы остановимся на обсуждении того, как нужно руководить отдельными аудиторскими
заданиями. На долю раздела Б приходится примерно 40–50% экзамена по Части 2. Темы этого раздела
изучаются и экзаменуются на уровне профессиональной квалификации, если не указано иное.
Кроме того, хорошими справочными материалами в процессе подготовки к данному разделу экзамена
могут стать Стандарты и Практические указания, однако мы не рекомендуем вам стремиться заучивать
тексты этих документов.
100 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Планирование аудиторского задания
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 101
Планирование аудиторского задания CIA Часть 2
Примечание. Если в ходе выполнения аудиторского задания будет обнаружено, что некоторые
элементы были исключены из рабочей программы, аудитор должен сначала оценить, можно ли будет
успешно выполнить задание на основе имеющейся рабочей программы. Если такой программы будет
недостаточно, то об этом необходимо проинформировать руководителя внутреннего аудита, который
должен принять решение, каким образом следует продолжать выполнение задания.
Мы только что обсудили процесс планирования, и сейчас нам нужно понять какие факторы внутренний
аудитор должен учитывать при составлении рабочей программы аудиторского задания. Эти факторы
рассматриваются в Стандарте 2201.
задачи объекта аудиторского задания, а также средства, с помощью которых объект контролирует
свою деятельность;
Если организация получает сторонние услуги (например, если внешний поставщик услуг производит
расчет зарплаты для организации), то, скорее всего, от подразделения внутреннего аудита организации
потребуется провести аудит деятельности внешнего поставщика услуг. Это делается для того, чтобы
организация была уверена в том, что внешний поставщик имеет адекватные процедуры контроля и
систему безопасности при обработке данных организации.
Вопрос 53: Документы, которые требуются для планирования аудиторского задания, должны
содержать сведения о том, что:
(Адаптировано из CIA)
102 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Планирование аудиторского задания
Вопрос 54: В процессе планирования задания внутренний аудитор определяет цели этого задания с
тем, чтобы определить, что предполагается выполнить в рамках такого задания. Что из указанного
является одним из ключевых факторов, который необходимо учитывать при установлении целей
аудиторского задания?
(Адаптировано из CIA)
Вопрос 55: Служба внутреннего аудита определила в качестве цели предстоящего аудиторского
задания проверку правильности бухгалтерского учета производственных основных средств. Какой из
перечисленных подходов будет наиболее целесообразным для выполнения поставленной цели
задания?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 103
Предварительное обследование CIA Часть 2
• политики, планы, процедуры, законы и условия контрактов, которые могут оказывать влияние
на проверяемую деятельность;
Предварительное обследование
Функция предварительного обследования обсуждалась в Части 1 учебного пособия (Сбор информации).
В этом разделе мы снова вернулись к данной теме, поскольку предварительное обследование (также
называемое «обследование на месте») является первым этапом в процессе проведения аудита. Его цель
– дать внутреннему аудитору возможность начать сбор и ознакомление с предварительной информацией
об объекте аудита без её детальной и подробной проверки.
Значение такого обследования трудно переоценить. Успех или провал аудиторского задания во многом
может зависеть от того, насколько квалифицированно проведено предварительное обследование.
«Квалифицированно проведенное предварительное обследование имеет все шансы привести к
разработке грамотной программы аудиторского задания, а грамотно подготовленная программа задания,
в свою очередь, дает все шансы для надлежащего проведения аудиторского задания. Когда
предварительные обследования тщательно спланированы и реализованы, они становятся даже
большим, чем эффективная тактика ознакомления; они превращаются в определяющий фактор успеха
проводимого аудита». 4
4
Л.Б.Сойер, цит. соч., стр. 169.
104 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Предварительное обследование
• информационными системами.
• выявить внутренние риски, присущие подразделению или виду деятельности, которые являются
объектом аудита.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 105
Предварительное обследование CIA Часть 2
(Адаптировано из CIA)
Вопрос 57: При планировании задания по предоставлению гарантий обследование может помочь
выполнить все перечисленные ниже условия кроме:
(Адаптировано из CIA)
Опросные листы по обследованию клиента должны быть направлены менеджерам заранее, чтобы они
имели достаточно времени заполнить их до того, как состоится предварительная встреча. Аудиторам
нужны ответы до начала такой встречи. Примерные вопросы для проведения обследования могут быть
следующими:
• Какие направления деятельности выполняются? Какие из них самые важные и какие причиняют
наибольшие затруднения?
• Как часто случается невыполнение работы (отставание от графика), каковы их причины и как
это сказывается на затратах?
• Кто ваши основные внутренние поставщики и потребители? Как они взаимодействуют между
собой?
106 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Предварительное обследование
Эти вопросы помогут выявить ключевые области риска и методы, с помощью которых руководство
контролирует эти риски, а также степень, в которой им удается это сделать.
Примечание. Вместе со списком вопросов следует также направить список документов, которые
понадобятся для выполнения аудиторского задания. В этот список могут входить движение и/или
остатки по бухгалтерским счетам, Уставы и Положения, должностные инструкции и блок-схемы.
Предварительная встреча
Предварительная встреча с клиентом аудиторского задания должна способствовать установлению
атмосферы сотрудничества, которая будет сохраняться на протяжении всего хода выполнения задания.
В ходе такой встречи аудитор подробно рассказывает о предстоящем задании (за исключением того, что
касается расследования мошенничества) и подчеркивает, что все наблюдения и рекомендации будут
предварительно обсуждаться с клиентом, прежде чем оформляться в виде отчета для совета директоров.
Аудитор должен также объяснить клиенту, что все меры по устранению недостатков, выявленных в ходе
выполнения задания, которые будут предприняты до направления письменного отчета о результатах
выполнения этого задания, будут приняты во внимание и подтверждены внутренним аудитором в отчете.
В ходе первоначальной встречи аудитор подводит итоги анкетирования (ответов на вопросы) клиента;
при этом особое внимание уделяется тем аспектам, которые потребуют более внимательного изучения и
тестирования в ходе выполнения задания, а также тем вопросам, которые, по мнению аудитора, требуют
дальнейших пояснений клиента.
Еще одним итогом предварительной встречи с клиентом будет сбор максимально возможного количества
документов, имеющих отношение к целям предстоящего аудиторского задания, а также организация их
безотлагательной передачи аудитору.
Посещение аудитором служебных помещений клиента позволяет получить наглядную картину места
проведения предстоящего задания и лучше его спланировать. Кроме того, посещение служебных
помещений клиента дает аудитору возможность встретиться с персоналом и обсудить вопросы (в
пределах компетенции этих работников) управления рисками, контроля и корпоративного управления.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 107
Предварительное обследование CIA Часть 2
Вопрос 58: Что из перечисленного ниже с наименьшей степенью вероятности может стать предметом
обсуждения на предварительной встрече с клиентом аудиторского задания?
(Адаптировано из CIA)
Постоянный файл содержит постоянные документы по клиенту, которые могут использоваться для
выполнения каждого последующего аудиторского задания. В аудиторский архив заносятся такие
сведения, как цели и задачи деятельности организации клиента, организационная структура, адреса,
блок-схемы, данные о банковских счетах и прочее. Ответы на вопросы анкеты и хранящиеся в файле
документы помогут аудитору при составлении плана аудиторского задания и подготовке рабочих
документов по предстоящему аудиторскому заданию. Копия отчета по результатам предварительного
обследования направляется куратору аудиторского задания для сведения.
Вопрос 59: На стадии предварительного обследования при выполнении задания по аудиту кадровой
службы стало ясно, что расходы на оплату отеля и авиабилетов примерно равны. Бронирование и
заказ билетов на самолет и мест в отеле осуществляются секретарем кадровой службы. Учитывая эту
информацию, объем и содержание аудиторской проверки должны включать:
(Адаптировано из CIA)
(Адаптировано из CIA)
108 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Объем и содержание аудиторского задания
Объем и содержание аудиторского задания должны быть достаточными для достижения целей
задания.
Выполняя консультационное задание, внутренние аудиторы должны убедиться, что его объем и
содержание достаточны для достижения согласованных целей. Если внутренние аудиторы в процессе
выполнения задания испытывают сомнения в отношении объема и содержания задания, эти сомнения
подлежат обсуждению с клиентом, чтобы решить, продолжать ли выполнение задания.
Внутренние аудиторы должны определить объем ресурсов, необходимых для достижения целей
аудиторского задания, исходя из характера и степени сложности каждого аудиторского задания,
ограничений по срокам и доступных ресурсов.
Программа задания должна разрабатываться и оформляться письменно для каждого задания, которое
выполняет внутренний аудитор. На объем программы аудиторского задания оказывают влияние все
вышеперечисленные факторы. Некоторые программы работ могут быть очень короткими и состоять
всего из нескольких шагов или процедур, тогда как другие программы заданий могут быть длинными и
подробными. Внутренние аудиторы разрабатывают и документально утверждают программы задания до
начала выполнения аудиторского задания (обычно после завершения предварительного обследования),
однако бывают ситуации, когда в ходе выполнения задания программа работ нуждается в пересмотре.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 109
Процедуры аудиторского задания CIA Часть 2
Подготовка программы задания является частью процесса планирования каждого аудиторского задания
или проекта. Программа задания включает методологию проверки, которая будет использована
(например, компьютеризированные методы аудита, методики выборки, содержание работ и способы их
выполнения), и так же как во внешнем аудите она упрощает контроль и проверку выполняемой работы.
Программа аудиторского задания должна включать информацию о целях объекта аудита, описание
имеющейся системы контроля и контрольных процедур, а также тех контрольных процедур, которые
необходимы в этой сфере деятельности в целях достижения поставленных целей. В свою очередь, цели
объекта аудита определяют цели задания. Программы аудиторских заданий должны содержать описание
процедур, т.е. подробную последовательность действий при выполнении задания.
Вопрос 61: Подразделение внутреннего аудита планирует в течение 3-х лет провести аудиторские
проверки всех подразделений крупного международного агентства по аренде автомобилей.
Руководство особенно обеспокоено проблемами при выполнении стандартизированных операций в
бухгалтерии, отделе аренды машин и на складе. Какой тип программы проведения проверки больше
всего подходит для этого проекта?
(Адаптировано из CIA)
110 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Процедуры аудиторского задания
проверка наличия подписи на определенном документе), так и достаточно сложными (например, оценка
стоимости производного инвестиционного инструмента).
Все аудиторские доказательства должны быть в состоянии пройти тест на достаточность, уместность
и значимость, означая этим, что внутренние аудиторы должны собрать достаточный объем надежной,
уместной и значимой информации для достижения целей задания. Хотя эти термины уже обсуждались
подробно в Части 1 учебного пособия, мы вновь повторим их в этом разделе для закрепления знаний.
Тем не менее, необходимо помнить о том, что независимо от того, насколько хорошо работает система
внутреннего контроля клиента, аудитор должен всегда получить определенное количество прямых
доказательств для проверки и подтверждения правильности цифр, предоставленных клиентом. Если бы
аудитор полагался в своих заключениях исключительно на информацию, предоставленную ему клиентом
аудиторского задания без какой-либо проверки, то тогда вообще работа аудитора была бы не нужна.
Определяя «достаточность» аудиторских доказательств, аудитор должен учитывать существенность
аудируемого вопроса и присущий ему риск. Чем менее существенным и «рискованным» является
вопрос, тем меньше доказательств потребуется собрать аудитору.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 111
Процедуры аудиторского задания CIA Часть 2
Однако существует много данных, которые аудитор не может получить непосредственно сам, и поэтому
он вынужден будет полагаться на информацию, полученную из других источников. Следующими по
достоверности доказательствами для внутреннего аудитора будут данные, полученные напрямую от
независимой третьей стороны. Это значит, что доказательства получены не от клиента аудиторского
задания и не от стороны, которая непосредственно заинтересована в клиенте. (Примерами могут быть
подтверждения банка и дебиторов по состоянию взаиморасчетов, направляемые напрямую аудитору.)
Если доказательства не могут быть получены самостоятельно или от независимой третьей стороны, тогда
аудитор должен получить их непосредственно у клиента. Аудиторские доказательства, полученные
непосредственно от клиента, являются наименее надежными, и степень достоверности этих данных
для аудитора будет наименьшей; аудитору потребуется больше фактов для подтверждения
данных, полученных от клиента, чем данных, полученных от независимой третьей стороны.
Примечание. Чем эффективнее работает система внутреннего контроля клиента, тем убедительнее
будут доказательства, полученные напрямую от клиента. Однако вновь необходимо напомнить о том,
что независимо от того, насколько хорошо работает система внутреннего контроля клиента, аудитор
должен всегда проводить детальное тестирование на основе выборки, размер которой зависит от
эффективности работы внутреннего контроля.
Значимое доказательство
Для того чтобы информация рассматривалась как значимая, она должна иметь отношение к объекту,
который аудируется. Однако это не означает, что информацией, которая может быть незначимой для
данного аудиторского задания, можно пренебречь или полностью ее игнорировать. Информация может
оказаться значимой для другого планируемого аудиторского задания или процесса в компании. В этом
случае такая информация должна быть передана соответствующим руководителям компании.
Полезное доказательство
Полезным доказательством является информация, которая помогает организации достигать своих целей.
Процесс нахождения полезной информации является одной из главных задач и ролей внутреннего
аудита. Например, руководству необходимо удостовериться в правильности составления финансовой
отчетности. Таким образом, любое доказательство, выбранное аудитором, которое помогает руководству
в достижении этой цели, рассматривается как полезное.
Источники доказательств
Внутренние аудиторы собирают аудиторские доказательства, которые используются для обоснования
заключений аудиторской проверки. Существует два основных типа аудиторских доказательств: данные
бухгалтерского учета и подкрепляющие доказательства.
112 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Процедуры аудиторского задания
3) Анализ. Это процесс, в ходе которого аудитор стремится понять целое, изучая его отдельные
составные части. Анализ предполагает сравнение фактов, обнаружение тенденций, изучение
отклонений между фактическими и прогнозируемыми результатами. Аналитические процедуры
являются частью анализа, когда аудитор изучает взаимозависимость между двумя событиями,
чтобы понять, в какой степени её фактические характеристики соответствуют ожидаемым.
Например, если число работников за определенный период возросло на 10%, то ожидается, что
расходы по заработной плате за этот же период также увеличатся. Увеличатся ли расходы
точно на 10%, зависит от того, какие именно работники были приняты на работу и в какое
время. Тем не менее фонд заработной платы должен обязательно возрасти, если общее число
работников увеличилось на 10%.
5) Расследование. Это процесс поиска аудиторских доказательств или фактов, которые не лежат
на поверхности. Такой метод часто используется в тех случаях, когда кто-то подозревается в
неправомерных действиях (иногда метод называют «зондированием» или «прощупыванием»).
6) Оценка. Это процесс, в ходе которого аудитор собирает вместе всю доступную информацию и
на ее основе приходит к определенному заключению. Для окончательной оценки требуется
применение профессионального суждения, так как редко бывает, чтобы собранные аудиторские
данные и доказательства позволили аудитору полностью быть уверенным в своем заключении.
5
Л.Б.Сойер, цит. соч., стр.283.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 113
Процедуры аудиторского задания CIA Часть 2
Дедуктивное мышление – это такой процесс мышления, когда на основании мнения о целом
предмете делается вывод в отношении отдельной его части. Примером такого типа мышления можно
считать применение аудитором аналитических процедур для оценки точности остатков конкретного
бухгалтерского счета.
Практически в каждом аудиторском задании имеются транзакции, которые нужно отследить, и такие,
которые требуют проверки документарного подтверждения.
Документ-первоисточник
Отслеживание Документарное
подтверждение
Финансовая отчетность
114 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Процедуры аудиторского задания
Примечание. На экзамене будет несколько вопросов, где вас попросят указать наилучшую процедуру
для выполнения какого-либо действия, либо процедуру, которая наиболее или наименее вероятно
должна быть выполнена. Такого рода вопросы вызывают особые трудности, поскольку в разных
компаниях и разные аудиторы по-разному подходят к решению подобных задач. Кроме того, такие
вопросы могут быть использованы практически к неограниченному набору ситуаций. Для лучшей
подготовки к данным вопросам вам следует изучить вопросы предыдущих экзаменов в программе
ExamSuccess («Успех Экзамена»), чтобы понять, в какой форме чаще всего задавались подобные
вопросы, и что именно понимает ИВА под «подходящими процедурами» в различных ситуациях.
Некоторые из таких вопросов приведены на следующих страницах.
Вопрос 62: Начальник производственного отдела промышленной компании средних размеров начал
заказывать слишком большое количество сырья и материалов, поручая доставлять их на оптовое
предприятие, которым он владел в качестве дополнительного бизнеса. Начальник отдела подделал
приходные документы, утвердил и принял счета-фактуры к оплате. Какая из аудиторских процедур,
перечисленных ниже, будет с наибольшей вероятностью обнаруживать мошенничество?
(Адаптировано из CIA)
Вопрос 63: Крупная промышленная компания имеет в своей структуре транспортное подразделение,
которое снабжает бензином служебные транспортные средства компании. Бензин заправляется
техником, который отмечает количество отпущенного горючего в предварительно пронумерованных
формах учета бензина, которые затем передаются в бухгалтерию для соответствующего учета. Когда
количество бензина снижается до определенного уровня, техник на заправочной станции заполняет
заявку на покупку бензина и направляет ее в отдел снабжения, где на основании этой заявки
оформляется заказ на закупку, который регистрируется в журнале учета закупок бензина. Какая из
аудиторских процедур, перечисленных ниже, будет самой подходящей для проверки того, насколько
точно и полно производится учет расхода бензина в компании?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 115
Процедуры аудиторского задания CIA Часть 2
Вопрос 64: Внутренний аудитор занимается проверкой того, все ли операции дебетования счета
расходов на обеспечение безопасности компьютерной системы отражают соответствующие расходы.
Оптимальной аудиторской процедурой для выполнения этой задачи будет:
c) выборочная проверка соответствия сумм по дебету счета расходов первичным документам для
определения характера и правомерности расходов;
(Адаптировано из CIA)
Вопрос 65: Одна из целей задания по финансовому аудиту отдела учета дебиторской задолженности
состоит в проверке соблюдения отделом предписанных стандартных процедур при выдаче кредитов.
Какая из процедур позволит получить наиболее достоверную информацию?
(Адаптировано из CIA)
116 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Процедуры аудиторского задания
Вопрос 66: Аудитор установил, что программное приложение основного пользователя разработано в
виде электронной таблицы. Загрузка данных о предполагаемых перевозках грузов производится из
главного компьютера, а затем с помощью электронных таблиц определяется оптимальный вариант
перевозок. Когда программа была впервые использована два года назад, она привела к резкому
снижению издержек. Однако с тех пор расходы по перевозке грузов постоянно росли, и никто, кроме
разработчика этой программы, не проверял правильность работы электронных таблиц. Алгоритм
диспетчеризации грузов достаточно сложен, однако аудитор сумел разобраться в этом вопросе и
понимает действующий алгоритм вычисления. Теперь аудитор хочет получить подтверждение
правильности использования электронными таблицами этого алгоритма диспетчеризации грузов.
Какая из перечисленных ниже процедур поможет аудитору справиться с этой задачей?
I. Разработать новую электронную таблицу и «прогнать» тестовые данные через нее и через
электронную таблицу основного пользователя, а затем сравнить результаты.
II. Использовать программу для получения распечатки логики электронных таблиц основного
пользователя. Изучить эту логику и определить, правильно ли она встроена в электронные
таблицы основного пользователя.
III. Разработать набор эмпирических данных и вручную вычислить ожидаемые результаты.
«Прогнать» эти же данные через приложение основного пользователя.
a) Только вариант I.
c) Варианты I и III.
d) Варианты I, II и III.
(Адаптировано из CIA)
Вопрос 67: Представьте ситуацию, когда внутренний аудитор подозревает серьезное мошенничество
со стороны стоматологов, выставляющих счета страховой компании на оплату услуг, которые они в
действительности не оказывали. Так, пациентам могут просто провести процедуру гигиенической
чистки, а стоматологи выставляют счета на удаление зубов или на подготовку протезов. Наилучшая
процедура, позволяющая определить, действительно ли имеет место такое мошенничество, состоит в
следующем:
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 117
Контроль над выполнением задания CIA Часть 2
Руководитель внутреннего аудита несет ответственность за все задания службы внутреннего аудита и
обеспечивает надлежащий контроль выполнения заданий. Это помогает следить за тем, что достигаются
цели задания, обеспечивается надлежащее качество работы и повышается квалификация персонала.
Примечание. Требуемая степень контроля над выполнением аудиторского задания будет зависеть от
уровня профессионализма и опыта внутренних аудиторов, а также сложности задания.
Если для выполнения аудиторского задания требуются дополнительное время и ресурсы (по сравнению
с запланированным бюджетом), аудиторы должны немедленно сообщить об этом куратору задания, и
этот вопрос должен быть рассмотрен сразу после поступления информации от аудиторов.
118 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Контроль над выполнением задания
проверяться с тем, чтобы руководитель группы мог убедиться, что результаты их работы находятся в
соответствии с имеющимися фактическими данными (аудиторскими доказательствами). Ассистенты
аудитора должны быть проинструктированы о необходимости немедленно информировать руководителя
группы обо всех существенных проблемах, связанных с бухгалтерским учетом и аудитом. Проверка
рабочих документов, подготовленных в ходе аудиторского задания, должна быть документально
оформлена руководителем группы, обычно путем проставления своих инициалов и даты проверки на
каждой странице документа.
Проверяющие должны выявлять все пункты в рабочих документах, которые являются неполными,
неправильными, либо требуют доработки, и могут записывать возникающие вопросы и/или замечания.
Ассистенты аудитора также должны документально оформить ответы на вопросы, возникшие в процессе
контроля.
В ходе проверки рабочих документов особое внимание должно уделяться тому, чтобы убедиться:
• что при подготовке рабочих документов аудитор следовал всем соответствующим руководящим
указаниям компании в этой области.
• стать еще одним источником требований при решении вопросов о продвижении по службе,
выплате вознаграждений и/или увольнения аудиторов;
• оказать помощь РВА в необходимом обучении и профессиональной подготовке аудиторов;
• оказать помощь РВА в оценке методов для повышения эффективности работы внутренних
аудиторов;
• оказать помощь РВА в распределении будущих заданий между штатными аудиторами.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 119
Контроль над выполнением задания CIA Часть 2
При проведении оценки результатов работы штатных аудиторов во внимание могут быть приняты многие
факторы. Среди них учитывается, удалось ли внутреннему аудитору:
c) оценка результатов работы каждого внутреннего аудитора, минимум, один раз в год;
(Адаптировано из CIA)
Вопрос 69: Когда проведение внутреннего аудита поручается внештатным работникам, руководитель
внутреннего аудита несет ответственность за:
(Адаптировано из CIA)
120 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Контроль над выполнением задания
Вопрос 70: Что из указанного не является доказательством надлежащего контроля над выполнением
аудиторского задания?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 121
Информирование о результатах CIA Часть 2
Информирование о результатах
Стандарт 2400: Информирование о результатах
Данное утверждение кажется очевидным, однако важно позаботиться о том, чтобы информирование о
результатах выполнения задания осуществлялось надлежащим образом. Процесс надлежащего
информирования о результатах (промежуточных или итоговых) должен быть четким и понятным для
внутренних аудиторов. Существуют определенные этапы этого процесса, которые необходимо понимать
внутреннему аудитору, чтобы содержание текста сообщений по аудиторской отчетности было полностью
понятно заинтересованным сторонам.
Критерии информирования
Стандарт 2410: Критерии информирования
• заключения,
• рекомендации,
• планы действий.
Форма сообщения, среди прочего, будет зависеть от проверяемого объекта, объема аудита, срочности
вопроса и круга лиц, напрямую связанных с тем вопросом, о котором информируется в сообщении. Так,
об обнаруженных аудитором серьезных недостатках в функционировании системы внутреннего контроля
или угрозах риска для компании нужно сообщать незамедлительно (и в этом случае, возможно, в устной
форме), чем когда речь идет о плановых результатах аудита. Для сообщения информации, требующей
незамедлительных действий (внимания руководства) используются промежуточные отчеты.
122 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
менеджеров по достижению желаемых результатов. Они также могут использоваться для выполнения
определенных действий, нацеленных на совершенствование систем и операций организации.
Вопрос 71: Что из перечисленного не относится к числу основных целей аудиторской отчетности?
a) Информирование.
b) Получение результатов.
c) Распределение обязанностей.
d) Убеждение.
(Адаптировано из CIA)
Цель задания
В разделе о целях описываются задачи по заданию (они всегда должны указываться в отчете), а
также пользователи информируются о том, зачем выполнялось задание и чего предполагалось достичь
(например, снижения издержек, повышения эффективности труда и т.д.).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 123
Информирование о результатах CIA Часть 2
Примечание. В итоговом отчете также должна быть указана информация о любых ограничениях
объема и содержания аудиторского задания. Ограничение объема и содержания имеет место в тех
случаях, когда аудитор не имеет возможности выполнить все предписанные процедуры. Причина
ограничения объема и содержания задания в данном случае не имеет значения.
Результаты задания
В этом разделе отчета описываются результаты, которые включают наблюдения, выводы, мнения (или
заключения, если применимо), рекомендации и планы действий.
Наблюдения
Если в результате выполнения задания выясняется, что все условия (процессы, системы,
процедуры и пр.) соответствуют критериям (функционируют, как положено), можно сообщить о
том, что состояние дел удовлетворительно.
Выводы и заключения
124 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
Вопрос 72: В аудиторской отчетности по результатам выполнения задания в банке приводятся два
типа наблюдений: один тип наблюдений, «упущения», применительно к серьезным проблемам, а
другой тип наблюдений, «прочие области деятельности, требующие улучшения», применительно к
менее серьезным проблемам. Что из нижеследующего справедливо отнесено к «прочим областям
деятельности, требующим улучшения»?
d) В одном из отделений банка крупная сумма наличных денег лежала на переносном столике,
поставленном позади рабочих мест кассиров-операционистов.
(Адаптировано из CIA)
1) критерии: это стандарты, измерители или ожидания, используемые при оценке и/или
верификации (правильное состояние, т.е. то, что должно быть);
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 125
Информирование о результатах CIA Часть 2
Вопрос 73: По результатам выполнения аудиторского задания в банке внутренний аудитор включил
в итоговый отчет следующее наблюдение:
b) Текущее состояние.
c) Причины.
d) Последствия.
(Адаптировано из CIA)
(Адаптировано из CIA)
126 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
(Адаптировано из CIA)
Качество сообщений
Стандарт 2420: Качество сообщений
Далее мы конкретизируем, что означают точные, объективные, ясные, краткие, конструктивные, полные
и своевременные сообщения.
• Полными являются сообщения, которые для целевой аудитории содержат всю важную,
существенную и относящуюся к делу информацию и наблюдения, необходимые для
обоснования выводов и рекомендаций.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 127
Информирование о результатах CIA Часть 2
• Предложения должны быть короткими, но, когда этого требует сложное содержание отчета,
можно использовать длинные предложения.
Кроме того, автору отчета следует использовать активный залог вместо пассивного залога во всех
случаях, когда это представляется возможным (т.е. следует писать «Я ударил по мячу» вместо «Мяч был
ударен мною»).
Редактирование текста играет важную роль в подготовке отчетов, которые носят профессиональный
характер, как с точки зрения содержания, так и с точки зрения представления заинтересованным
сторонам. Поскольку итоговые отчеты зачастую содержат информацию, которая является крайне важной
для клиента, на редактирование текста отчета следует отводить достаточно времени. Специалист,
проверяющий материал в отчете, должен позаботиться о том, чтобы текст отчета был читабельным,
правильным (не содержал ошибок) и адекватным.
• Читабельность имеет отношение к тому, насколько ясно и понятно изложен материал с точки
зрения читающего отчет.
Заключительным этапом перед сдачей отчета является окончательная редакторская правка (вычитка)
текста. Необходимо должным образом проверить каждую ссылку в тексте отчета, сравнить каждое
заявление, каждый показатель, каждую дату и должность в отчете с данными из соответствующих
источников в рабочих документах.
Ошибки и упущения
Стандарт 2421: Ошибки и упущения
В данном контексте ошибка или упущение определяются как ненамеренное искажение или
случайный пропуск важной информации в итоговом отчете о результатах выполнения аудиторского
задания. В том случае, когда в окончательном отчете о результатах выполнения аудиторского задания
содержится существенная ошибка или упущение, РВА должен довести исправленную информацию до
сведения всех лиц, получивших первоначальный вариант отчета.
128 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
Вопрос 77: Что согласно Стандартам наилучшим образом характеризует сущность аудиторского
мнения, выражаемого в итоговом отчете аудитора?
(Адаптировано из CIA)
Вопрос 78: Служба внутреннего аудита сети розничных магазинов совсем недавно завершила
выполнение аудиторского задания по оценке корректировок объема продаж во всех магазинах юго-
восточного региона страны. В процессе выполнения задания выяснилось, что действия некоторых
магазинов обходятся компании в значительную сумму, поскольку эти магазины используют практику
увеличения кредитов на счетах покупателей вдвое. Итоговый отчет о результатах аудиторского
задания, опубликованный через восемь недель после его завершения, включал рекомендации
внутренних аудиторов в адрес руководства магазинов, направленные на предотвращение практики
увеличения вдвое кредитов на счетах покупателей. Какой из перечисленных ниже стандартов был
проигнорирован аудиторами в данном случае?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 129
Информирование о результатах CIA Часть 2
a) Установить минимальный размер пробега 2,5 тыс. миль в квартал в качестве критерия для
выделения транспортного средства группе пользователей.
(Адаптировано из CIA)
Вопрос 80: В ходе выполнения задания по аудиту работы складского хозяйства внутренний аудитор
обнаружил, что сотрудники склада не всегда должным образом проверяют заявки на получение,
прежде чем отпускать материальные средства. В результате, без соответствующего разрешения со
склада было отпущено материальных средств на сумму 5 тыс. долларов. Какое из перечисленных
заключений, включенных в итоговый отчет, поможет руководству оценить, достигаются ли цели
организации экономно и эффективно?
b) Материальные средства на общую сумму 5 тыс. долларов были отпущены со склада без
соответствующего разрешения, поскольку заявки на получение не всегда проверяются
должным образом.
c) Персонал отпустил со склада материальные средства на общую сумму 5 тыс. долларов без
соответствующего разрешения, поскольку заявки на получение не были проверены. Мы
рекомендуем, чтобы осуществлялась проверка каждой заявки, прежде чем материальные
средства отпускаются со склада.
(Адаптировано из CIA)
130 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
Сообщение результатов
Стандарт 2440: Сообщение результатов
Если объект аудита имеет существенное значение для операционной деятельности организации, то
получателем окончательной отчетности по аудиторскому заданию может быть совет директоров. Однако
в большинстве случаев Совет получает краткий отчет, который направляется ему руководителем
внутреннего аудита. Председатель правления в компании обычно не является получателем каких-либо
отчетов, однако при необходимости руководитель внутреннего аудита может направить краткий отчет по
наиболее существенным позициям аудиторского задания руководителям организации более высокого
уровня. Отчет по результатам аудиторского задания также направляется руководителем внутреннего
аудита другим заинтересованным или затронутым в отчете сторонам, таким как внешние аудиторы, если
это требуется Положением о внутреннем аудите или политикой организации.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 131
Информирование о результатах CIA Часть 2
• начальник или руководитель сами могут быть вовлечены в эту незаконную или неэтичную
деятельность; либо
В данной ситуации сотрудники могут посчитать необходимым доложить о своих опасениях на другой
уровень подотчетности – вышестоящему руководству. Сотрудники, исходя из необходимости, могут
информировать о сложившихся обстоятельствах директора более высокого уровня или, возможно,
один из комитетов совета директоров (например, комитет по аудиту), т.е. сообщить информацию за
пределы обычного канала коммуникаций, или даже вне организации. Сообщения такого рода обычно
называют «доносительством» («whistleblowing»). Акт сообщения негативной информации внутри
организации, но вне иерархии подчиненности называют внутренним «доносом», а раскрытие такой
информации государственному органу или иному регулятору вне организации называют внешним
«доносом». Вопросы доносительства рассматриваются в Практическом указании 2440-2 (Сообщение
чувствительной конфиденциальной информации внутри и вне иерархии подчиненности).
Главная проблема в связи с доносительством состоит в том, насколько защищены права «доносителей»
и обеспечена ли им защита от угрозы местью, что может включать угрозу быть уволенным, не получать
повышения по службе или даже быть подвергнутым остракизму со стороны коллег. Хотя большинство
«доносителей» часто защищены от угрозы местью, тем не менее, бывает много случаев, когда к лицам,
сообщающим о случаях нарушения законодательства или иных неправомерных действиях, применяют
наказание как средство устрашения. Однако во многих странах существуют отдельные законы в части,
касающейся доносительства граждан, обеспечивающие им защиту, если они сообщают информацию о
нарушениях определенных видов. В рамках защиты эти граждане могут предъявлять иски о возмещении
убытков от потери работы, если доказано, что увольнение стало местью за сообщение сведений о
незаконных или неправомерных деяниях.
132 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
очень удобным решением для сотрудников, когда они могут сообщить о незаконных и неправомерных
действиях в высшие органы управления организации, не называя себя. Эта информация, сама по себе,
не будет являться доказательством; но она будет служить сигналом тревоги для таких подразделений,
как внутренний аудит, дающим право на проведение расследования.
Вопрос 81: Кто из перечисленных ниже должностных лиц обычно не получает итоговый отчет о
результатах выполнения аудиторского задания по проверке закупочного цикла компании?
(Адаптировано из CIA)
Вопрос 82: С большой долей вероятности можно утверждать, что итоговый отчет о результатах
аудита снабженческих операций подразделения будет направлен:
d) внешним аудиторам организации, поскольку им будет нужна эта информация для проведения
последующих заданий.
(Адаптировано из CIA)
Вопрос 83: Заключительные совещания проводятся для того, чтобы удостовериться в точности
представления информации, использованной внутренним аудитором. Следующая по важности цель
заключительного совещания состоит в том, чтобы:
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 133
Информирование о результатах CIA Часть 2
Вопрос 84: Что из перечисленного ниже может являться потенциальным недостатком, когда проект
итогового отчета по аудиторскому заданию направляется руководителям клиента для рассмотрения
и последующих комментариев?
(Адаптировано из CIA)
Устные сообщения
Устное сообщение играет важную роль в обмене информацией в ходе выполнения аудиторского
задания, однако это средство общения следует использовать корректно и в надлежащих случаях. В
соответствии со своей природой в качестве средства информационного обмена, устные сообщения не
оставляют после себя регистрационных записей того, что было сказано. Такая особенность и является
источником проблемы, когда впоследствии возникают разногласия по поводу содержания устного
сообщения.
Тем не менее, имеется ряд преимуществ устного сообщения как средства обмена информацией:
Промежуточные отчеты
Промежуточные отчеты используются до выпуска итогового отчета. Промежуточные отчеты могут быть
письменными или устными и могут представляться формально или неформально. Промежуточные отчеты
используются для сообщения:
134 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Информирование о результатах
Вопрос 85: Внутренний аудитор завершил задание по проверке деятельности организации и готов
сдать итоговый отчет. Однако клиент аудиторского задания не согласен с заключениями аудитора. В
такой ситуации внутренний аудитор должен:
c) сдать итоговый отчет о результатах аудиторского задания, указав в нем, что позиция клиента
привела к ограничению объема и содержания аудиторского задания, что, в свою очередь,
вызвало расхождение во взглядах относительно заключений аудитора;
d) сдать итоговый отчет о результатах аудиторского задания, указав позиции обеих сторон и
причины возникновения разногласий.
(Адаптировано из CIA)
Вопрос 86: В процессе выполнения задания по оценке работы с наличностью, внутренний аудитор
обнаружил, что значительные суммы наличных остаются на ночь в рабочем помещении, в которое
можно легко попасть с оживленной улицы. Более того, нет ни системы обеспечения безопасности, ни
вооруженного охранника рядом. Когда аудитор начал обсуждать эту ситуацию с соответствующими
руководителями клиента, ему было заявлено следующее: «У нас никогда не случалось ограбления
или потери наличных. Так зачем нам тратить ненужные деньги на повышение безопасности?». Что
должен сделать внутренний аудитор?
b) Изложить все факты, но дать возможность руководству клиента высказать свою точку зрения,
в результате чего, вероятнее всего, будет принято решение о необходимости корректирующих
мер.
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 135
Мониторинг действий по результатам задания CIA Часть 2
Мониторинг является последним этапом аудиторского задания. Он является важной частью задания,
поскольку без надлежащего и своевременного мониторинга подразделение внутреннего аудита может
оставаться в неведении по поводу результатов сделанных им наблюдений и рекомендаций. Без такого
знания польза от деятельности внутреннего аудита для организации окажется существенно сниженной.
В некоторых случаях наблюдения и рекомендации внутренних аудиторов бывают столь важными, что
требуют немедленного внимания руководителей организации. Однако если высшее руководство
организации оказывается не в состоянии предпринять адекватные действия в ответ на эти наблюдения и
рекомендации, то оно должно будет принять на себя риск невыполнения корректирующих действий или
неприменения рекомендаций.
2) степени сложности и
• возможные последствия, которые могут стать результатом того, что корректирующие действия
не будут выполнены;
136 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Мониторинг действий по результатам задания
В отдельных случаях, если, по мнению руководителя внутреннего аудита, устный или письменный ответ
руководства свидетельствует о том, что принятые меры достаточны, учитывая степень важности
наблюдений или рекомендаций, внутренние аудиторы могут провести последующий мониторинг как
часть следующего аудиторского задания. При решении вопроса о масштабе/объеме последующего
мониторинга внутренние аудиторы также должны учитывать действия аналогичного характера,
выполняемые другими подразделениями организации.
Если руководитель внутреннего аудита приходит к выводу о том, что уровень риска, принятого
исполнительным руководством, не может быть приемлемым для организации, руководитель
внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если
руководитель внутреннего аудита приходит к выводу, что проблема по-прежнему осталась
нерешенной, руководитель внутреннего аудита должен проинформировать Совет по данному вопросу.
Как уже было отмечено выше, принятие решения о соответствующих мерах в ответ на аудиторские
наблюдения и рекомендации является ответственностью высшего руководства организации. Что же
касается ответственности руководителя внутреннего аудита, он должен оценить, в какой мере действия,
предпринятые исполнительным руководством организации в ответ на наблюдения и рекомендации
внутренних аудиторов, способствовали своевременному разрешению выявленных в рамках аудиторского
задания проблем.
Возможны ситуации, когда высшее руководство организации может принять риск неисправления
обнаруженного нарушения, принимая во внимание затраты или другие причины. Однако при условии,
что Совет проинформирован о решении высшего руководства организации принять риск невыполнения
действий или неприменения рекомендаций, обязательства внутреннего аудита перед организацией
считаются выполненными, даже в случае категорического несогласия с решением.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 137
Мониторинг действий по результатам задания CIA Часть 2
Вопрос 87: Последующий мониторинг может проводиться с тем, чтобы убедиться в выполнении
корректирующих действий в отношении конкретных наблюдений, сделанных в ходе выполнения
задания по предоставлению гарантий. Соответствующая ответственность службы внутреннего аудита
по выполнению последующего мониторинга должна быть определена:
(Адаптировано из CIA)
Вопрос 88: Допустим, что наблюдения внутренних аудиторов являются настолько серьезными, что,
по их мнению, требуют незамедлительных действий со стороны руководства организации. Какое из
следующих утверждений об ответственности внутренних аудиторов в части сообщения результатов и
проведения последующего мониторинга является верным?
II. Результаты первичных наблюдений должны быть доведены до сведения высшего руководства
и комитета по аудиту даже в том случае, если задание еще не завершено.
a) Только вариант I.
d) Варианты I, II и III.
(Адаптировано из CIA)
c) Обсудить проблему с лицами, ответственными за нее, поскольку они должны знать, как ее
устранить.
d) Предписать ответственным лицам устранить проблему. У них было достаточно времени, чтобы
сделать это.
(Адаптировано из CIA)
138 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел Б Мониторинг действий по результатам задания
Вопрос 90: Внутренние аудиторы организации провели ряд аудиторских заданий по предоставлению
гарантий. Итоговые рекомендации были с готовностью приняты клиентами аудиторских заданий
исходя из потенциальной экономии затрат. Учитывая экономию затрат от принятия рекомендаций по
выполненным заданиям, а также ограниченность ресурсов у службы внутреннего аудита, главный
аудитор, ответственный за выполнение этих заданий, принял решение о ненужности проведения
последующего мониторинга. Главный аудитор рассудил, что экономия затрат сама по себе является
достаточным стимулом для выполнения клиентом аудиторских рекомендаций. Так, последующий
мониторинг не был включен в план как часть следующего аудиторского задания. Является ли данное
решение главного аудитора правильным?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 139
Раздел В – Введение CIA Часть 2
Раздел В – Введение
Последним разделом экзамена CIA по Части 2 является раздел «Риски мошенничества и средства
контроля». На долю этого раздела приходится примерно 5–15% экзамена по Части 2. Темы указанного
раздела изучаются и тестируются на уровне профессиональной квалификации.
Поскольку на долю этого раздела приходится лишь 5–15% экзамена, подготовка к этой части экзамена
не должна вызывать затруднений и занимать слишком много времени при подготовке к экзамену. Для
эффективного изучения тем этого раздела, мы рекомендуем внимательно прочитать содержащийся здесь
материал, убедиться в понимании общих принципов и подходов и использовать вопросы предыдущих
экзаменов в программе HOCK ExamSuccess («Успех Экзамена») для лучшего знакомства с тем, на какие
аспекты делался акцент в прошлом.
140 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Один из главных вопросов для внутреннего аудита в отношении мошенничества – это осознание своей
роли в предотвращении, выявлении и преследовании мошеннических действий. Согласно требованиям
Стандарта 1210.А2:
Данное положение Стандарта означает, что сами внутренние аудиторы не несут ответственности за
предотвращение мошенничества, однако они должны уметь идентифицировать мошенничество,
когда оно имеет место. Это положение также означает, что внутренним аудиторам необходимо уметь
распознать признаки и ситуации, указывающие на возможность совершения мошеннических действий.
Мы начнем рассмотрение данной темы с определения типов мошенничества, а затем перейдем к более
детальному изучению роли внутренних аудиторов применительно к выполнению заданий по выявлению
и расследованию фактов мошенничества.
Типы мошенничества
Мошенничество может заключать в себе целый набор нарушений и незаконных действий, которые
характеризуются преднамеренным обманом. Мошенничество могут совершить как привлеченный со
стороны в организацию персонал, так и работники самой организации. Мошенничество может
совершаться в одном из двух случаев:
Ниже приведены примеры мошеннических действий, которые могут быть выгодными или полезными
для организации.
• Продажа или передача прав на получение фиктивных активов, либо активов, о которых была
представлена ложная информация.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 141
Риски мошенничества и средства контроля CIA Часть 2
• Налоговое мошенничество.
Далее приводятся примеры мошеннических действий, которые могут осуществляться в ущерб/во вред
организации.
• Растрата (кража), типичным примером которой является незаконное присвоение денег или
имущества, а также фальсификация финансовых документов для сокрытия совершенного
деяния, что в результате затрудняет его выявление.
• Требования об оплате товаров или услуг, которые в действительности не были проданы или
оказаны организации.
Совершение мошенничества
Обычно считается, что требуется наличие трех условий, чтобы человек мог совершить мошенничество:
142 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Мотивация
Мотивация является причиной, лежащей в основе мошенничества, – причиной, по которой человек
решается совершить мошенничество. Мотивация – это не просто какая-то одна причина, почему человек
совершает мошенничество, а некий набор широко распространенных причин, к которым относятся:
• Затруднительные обстоятельства в части оплаты своего стиля жизни и/или своих пороков
(например, расходы на азартные игры, казино, наркотики).
Возможность
Недостаточно просто желания, чтобы совершить мошенничество, если у человека нет возможности его
совершить. Просто потому, что нельзя совершить мошенничество, если нет возможности для этого. Ниже
перечислены некоторые факторы и условия, которые дают человеку такую возможность.
Ниже даны несколько примеров того, какое оправдание может найти человек, совершая мошенничество.
• Человек считает, что получает недостойное вознаграждение за свою работу. Он считает, что
компания не доплатила ему за работу, сделанную в прошлом. Поэтому кража денег – это для
него не кража, а скорее получение того, что по праву принадлежит ему.
• Может быть и так, что человек оправдывает мошенничество потому, что он планирует вернуть
украденные деньги в будущем.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 143
Риски мошенничества и средства контроля CIA Часть 2
Если имеется подозрение в совершении мошенничества, внутренний аудитор должен уведомить об этом
представителя соответствующего уровня управления организации. «Соответствующим уровнем
управления», скорее всего, являются комитет по аудиту и совет директоров. Доклад о подозреваемом
случае мошенничества должен направляться, как минимум, на один управленческий уровень выше того
уровня, на котором подозревается совершение мошеннических действий.
144 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Вопрос 91: В ходе исполнения своих обязанностей внутренние аудиторы должны быть начеку в
отношении мошенничества и других должностных преступлений. 6 Важным фактором, отличающим
мошенничество от других форм должностных преступлений, является то, что:
(Адаптировано из CIA)
Вопрос 92: Какое (какие) из приведенных ниже утверждений справедливо (-ы) в отношении
предупреждения мошенничества?
a) Только вариант I.
d) Вариант I, II и III.
(Адаптировано из CIA)
6
Должностное («беловоротничковое») преступление – это ненасильственное преступление, совершённое с целью
незаконного получения денежных средств.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 145
Риски мошенничества и средства контроля CIA Часть 2
• разработать методики аудиторских тестов, которые помогут выявлять аналогичные или схожие
типы мошенничества в будущем;
146 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
• Внутренние аудиторы не должны упускать из виду факторы, которые дают возможности для
совершения мошенничества, например, недостатки системы внутреннего контроля. Если
обнаружены существенные недостатки в работе системы внутреннего контроля, то подлежащие
проведению внутренними аудиторами дополнительные аудиторские тесты должны включать те,
которые будут направлены на выявление любых других признаков мошенничества. К таким
другим признакам мошенничества относятся: выполнение несанкционированных операций,
незаконная блокировка контролирующих механизмов, необъяснимые ошибки в расчете цен,
чрезмерно высокие потери продукции. Внутренние аудиторы должны понимать, что наличие
одновременно более чем одного признака повышает вероятность того, что в данном случае
могло иметь место мошенничество.
• Внутренние аудиторы должны оценить признаки того, что в данном конкретном случае могло
быть совершено мошенничество, и решить, есть ли необходимость предпринимать какие-либо
дальнейшие действия, или следует рекомендовать проведение расследования.
Как уже было отмечено выше, руководство организации несёт ответственность за формирование и
обеспечение функционирования эффективной и экономичной системы внутреннего контроля.
Внутренние аудиторы обязаны соблюдать принцип «профессионального отношения к работе» в
отношении обнаружения фактов мошенничества.
Вопрос 93: Руководитель внутреннего аудита (РВА) выявляет существенный факт мошенничества, в
котором, похоже, замешан исполнительный вице-президент организации, которому подотчетен РВА.
Что из перечисленного ниже должен предпринять руководитель внутреннего аудита?
(Адаптировано из CIA)
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 147
Риски мошенничества и средства контроля CIA Часть 2
b) заключение внутреннего аудитора о том, имеется ли достаточно информации для того, чтобы
провести полное расследование;
(Адаптировано из CIA)
Признаки мошенничества
В ходе планирования аудиторского задания внутренний аудитор должен учесть потенциальные области
совершения мошенничества, с которыми ему, возможно, придется иметь дело при выполнении задания.
Следовательно, внутренние аудиторы должны быть хорошо знакомы с факторами риска и «красными
флагами» (предупреждающими знаками, или признаками) мошенничества.
«Красными флагами» (предупреждающими знаками, или признаками) называют такие признаки или
действия, которые ассоциируются с мошенничеством или убедительно указывают на мошенническое
поведение. Эти знаки по своей сути субъективны. Поэтому вполне возможно, что какой-то из «красных
флагов» не попадет в поле зрения аудитора при выполнении правильно спланированного задания.
148 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Типы действующих в компании механизмов контроля, а также типы активов, которые имеет компания,
влияют на уровень риска незаконного присвоения (хищения) активов. Аудитор также должен запросить
руководителей о том, как они понимают риски мошенничества, и знают ли о фактах мошенничества,
которые имеют место или могут случиться в компании.
• Руководители организации иногда делают неосмотрительные шаги, после чего повернуть назад
уже не могут.
• Центры прибыли могут искажать факты, чтобы избежать или сдержать разукрупнение.
• Тот, кто контролирует и активы, и учетные записи по операциям с активами, имеет отличную
возможность фальсифицировать такие записи.
• Чрезмерно быстрый рост или весьма высокая рентабельность, особенно в сравнении с другими
компаниями в той же отрасли. (Например, корпорация Enron показала в отчетах за 2000 год
доходы в сумме 100 млрд. долл., что на 151% выше чем в 1999 году, в то время как вторая по
размеру компания в отрасли (трубопроводный транспорт) сообщила о доходах за 2000 год в
сумме менее 30 млрд. долл.).
7
Л.Б. Сойер, Internal Auditing, 5-е изд., стр. 1203-1205.
8
Tone at the Top, November 2003.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 149
Риски мошенничества и средства контроля CIA Часть 2
• Крупные суммы на банковских счетах, наличие дочерних компаний или отделений (филиалов) в
юрисдикциях, относящихся к «налоговому раю», причем отсутствуют ясные оправдывающие
основания деятельности.
• Проведение необычных, очень сложных операций на крупную сумму ближе к концу года.
(Адаптировано из CIA)
150 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Вопрос 96: Внутреннего аудитора должна тревожить возможность совершения мошенничества, если:
d) один и тот же работник, действующий в одиночку, имеет единоличный доступ к кассе (за
исключением случаев неожиданных проверок со стороны руководства или аудитора).
(Адаптировано из CIA)
Примечание. Закон Бенфорда (Benford’s Law) представляет собой формулу для распределения
вероятности первой цифры разных измерений и вычислений. Закон Бенфорда, или закон первой
цифры, гласит, что в таблицах чисел, основанных на данных источников из реальной жизни, цифра 1
на первом месте встречается гораздо чаще, чем все остальные – приблизительно в 30% случаев.
Более того, чем больше цифра, тем меньше вероятности, что она будет стоять на первом месте в
числе. По Закону Бендорфа, цифра 2 встречается на первом месте в 18% случаев, цифра 3 – в 12%,
4 – в 10%, 5 – в 8%, 6 – в 7%, 7 – в 6%, 8 – в 5%, 9 – в 4%. Закон применим к цифрам из обычного
мира и социальной сферы, будь это показания счётчика, цифры из газетной статьи, уличные адреса,
цены акций, количество населения, уровень смертности, длина рек, физические и математические
константы, и процессы, описываемые эмпирическими законами (которые весьма распространены в
природе). На основе Закона Бендорфа были разработаны математические тесты, которые введены в
практику работы аудитора для анализа и выявления нерегулярностей в данных клиентов при аудите.
Первый вопрос, на который должен ответить аудитор при проведении теста, – соответствует ли набор
неких данных распределению Бенфорда или нет. На основе правдоподобного допущения, что люди,
которые «придумывают» цифры для сокрытия недостач, обычно используют довольно равномерный
разброс цифр, простое сравнение вероятности первой цифры проверяемых данных на соответствие
распределению по Закону Бендорфа должно будет выявить нетиповые результаты. С учётом этого
допущения Закон Бендорфа можно использовать для выявления признаков «черной» бухгалтерии.
Другим методом выявления фактов мошенничества является выборка на обнаружение ошибок или
отклонений от нормы. Целью этой выборки обычно является обнаружение, по крайней мере, одной
позиции с определенными характеристиками, чтобы доказать случай имеющегося подозрения вместо
того, чтобы высказывать мнение обо всей совокупности в результате аудита выбранных образцов.
Поскольку количество позиций выборки, которые подвергаются аудиту, может быть различным, размер
выборки не устанавливается заранее. Именно аудитор принимает решение о достаточности размера
выборки в конкретных условиях для обоснования своего заключения или мнения, что совокупность не
содержит искомых характеристик. Кроме того, от аудитора также зависит и решение об оценке влияния
необнаруженных позиций в совокупности.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 151
Риски мошенничества и средства контроля CIA Часть 2
«Криминальный аудит»
Новым и быстро развивающимся направлением в области анализа хозяйственной деятельности и
бухгалтерского учета является так называемый «криминальный аудит» (по аналогии с понятным всем
определением «криминальное расследование»). «Криминальный аудит» представляет собой внутреннее
расследование возможных финансовых злоупотреблений по сигналу «красных флажков» (появившихся
по тем или иным причинам подозрений), и проводится сотрудниками собственной безопасности с
использованием навыков аудитора в отношении случаев, которые могут иметь потенциальные
юридические последствия (например, отмывание денег, перевод денежных средств террористам или
бандитам и прочее). Здесь роль эксперта-криминалиста заключается в оказании помощи внутренним
аудиторам в сборе доказательств, требуемых для подтверждения или отрицания подозрения, выявлении
замешанных в мошенничестве сторон и сборе и хранении доказательств, которые затем могут быть
использованы в ходе дисциплинарного или уголовного разбирательства. В таких обстоятельствах часто
привлекаются внешние эксперты. Это продиктовано рядом причин, прежде всего, необходимостью
сочетать традиционные методы расследования со сложными финансовыми расчетами, требующими
высокой квалификации, и, главное, соблюдать конфиденциальность, которую обеспечивать только
собственными силами не всегда возможно. Кроме того, расследование финансовых злоупотреблений
требует специальной подготовки и особых навыков. И, наконец, привлечение собственных бухгалтеров
совсем неуместно, когда кто-то из них находится под подозрением в причастности к расследуемым
злоупотреблениям.
Вопрос 97: Руководитель службы безопасности компании получил анонимный звонок, в котором
содержались обвинения в адрес руководителя отдела маркетинга в получении взяток от одного из
средств массовой информации. В результате, подразделение маркетинга превратилось в одного из
потенциальных клиентов аудиторских заданий в ближайшие годы. Положение о внутреннем аудите
предусматривает ответственность подразделения внутреннего аудита по расследованию фактов
мошенничества. Если получение доступа к документам и персоналу этого СМИ невозможно, то
наилучшим действием для внутреннего аудитора в целях расследования возможного получения
незаконных вознаграждений будет:
(Адаптировано из CIA)
Юридические риски
Когда внутренний аудитор участвует в расследовании мошенничества, он должен быть уверен в том, что
данное расследование ведется профессионально и с соблюдением всех необходимых правовых норм.
Несоблюдение требований правовых норм может привести к тому, что организация окажется под
угрозой дорогостоящей тяжбы, инициированной лицом, в адрес которого было выдвинуто обвинение в
мошенничестве.
152 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел В Риски мошенничества и средства контроля
Аудитор также должен быть в курсе вопросов, которые могут возникнуть в связи с признанием вины
подозреваемым в совершении преступления. Признание вины – это полное подтверждение обвиняемым
своих незаконных действий. Однако признание вины может считаться «опротестуемым» (сделанным
под давлением), если к подозреваемому лицу применялся любой вид принуждения (физическое или
психологическое, либо угроза физического или психологического воздействия) в момент признания.
Если признание вины не было сделано добровольно, то оно может быть оспорено (не признано) судом.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 153
Риски мошенничества и средства контроля CIA Часть 2
Вопрос 98: В ходе выполнения задания внутренний аудитор обнаружил пропажу денежных средств в
компании. Дальнейшее расследование позволило аудитору выявить возможного подозреваемого.
Когда расследование было завершено, аудитор согласился не сообщать об этом факте компетентным
органам при условии, что виновный вернет компании украденные средства. У внутреннего аудитора
было резонное основание считать, что подозреваемый действительно украл средства компании. Что
из перечисленного наилучшим образом объясняет действия этого аудитора?
a) Злонамеренное обвинение.
Вопрос 99: Что из перечисленного ниже является «красным флагом» (признаком), означающим, что
компания участвует в мошенничестве?
a) У компании имеются крупные денежные резервы, хотя доходы за последние полгода были
низкими.
b) В последние два года финансовые поступления у компании были на 10% выше, чем в среднем
по отрасли.
c) Проведение необычных, очень сложных операций на крупную сумму ближе к концу года.
154 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Приложение А Образец Кодекса корпоративного поведения
• Выступая на форумах, когда для аудитории естественно предположить, что мы выступаем как
представители [компании], мы выражаем только точку зрения [компании] и не высказываем
публично свое личное мнение.
• Мы используем все активы, принадлежащие [компании] или нашим клиентам, в том числе
материальные, интеллектуальные активы и активы, записанные в памяти ЭВМ, ответственно,
эффективно и надлежащим образом, и только для законных и официально разрешенных целей.
Профессиональная принципиальность
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 155
Образец Кодекса корпоративного поведения CIA Часть 2
9
Адаптировано из документа COSO «Управление рисками предприятия – Интегрированная модель» (модель ERM;
Enterprise Risk Management – Integrated Framework, COSO).
156 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Приложение Б Международные основы профессиональной практики
Элементы Определения
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 157
Международные основы профессиональной практики CIA Часть 2
Элементы Определения
158 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Приложение В Кодекс этики Института внутренних аудиторов
Вступление
Кодекс этики является необходимым и целесообразным документом для внутреннего аудита,
деятельность которого основывается на доверии к предоставлению независимых и объективных
гарантий в отношении процессов корпоративного управления, управления рисками и контроля.
Расширяя Определение внутреннего аудита, Кодекс этики международного Института внутренних
аудиторов включает два важных компонента: Принципы и Правила поведения.
Термин «внутренний аудитор» относится к членам Института внутренних аудиторов, получателям или
соискателям на получение профессиональных сертификаций Института внутренних аудиторов, а также к
тем специалистам, которые оказывают услуги по внутреннему аудиту в рамках Определения
внутреннего аудита.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 159
Кодекс этики Института внутренних аудиторов CIA Часть 2
Принципы
Внутренние аудиторы должны придерживаться следующих принципов.
1) Честность
Честность внутреннего аудитора является фундаментом, на котором основывается доверие к мнению
аудитора.
2) Объективность
Внутренние аудиторы демонстрируют наивысший уровень профессиональной объективности в процессе
сбора, оценки и передачи информации об объекте аудита. Внутренние аудиторы делают взвешенную
оценку всех относящихся к делу обстоятельств и в своих суждениях не подвержены влиянию своих
собственных интересов или интересов других лиц.
3) Конфиденциальность
Внутренние аудиторы уважительно относятся к праву собственности на информацию, которую они
получают в процессе своей деятельности, и не разглашают информацию без соответствующих на то
полномочий, за исключением случаев, когда раскрытие такой информации продиктовано юридическими
или профессиональными обязанностями.
4) Профессиональная компетентность
Внутренние аудиторы применяют знания, навыки и опыт, необходимые для оказания услуг в сфере
внутреннего аудита.
Правила поведения
Примечание: Пункты, изложенные курсивом, добавляются нами для последующего пояснения.
1) Честность
Внутренние аудиторы:
1.1. Должны выполнять свою работу честно, добросовестно и ответственно. [Другими словами,
аудитор делает все правильно.]
1.2. Должны действовать в рамках закона и, если того требует закон или профессиональные
стандарты, раскрывать соответствующую информацию.
1.4. Должны уважать юридически и этически оправданные цели своей организации и вносить
вклад в их достижение.
2) Объективность
Внутренние аудиторы:
160 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Приложение В Кодекс этики Института внутренних аудиторов
2.3. Должны раскрывать все известные им материальные факты, которые, не будучи раскрыты,
могут исказить отчеты об объекте аудита. [Например, определенные суммы были
капитализированы, а не отнесены на расходы. Этот факт должен быть доведен до сведения
руководителей организации и членов Комитета по аудиту.]
3) Конфиденциальность
Внутренние аудиторы:
3.2. Не должны использовать информацию в личных интересах или любым другим образом,
противоречащим закону или могущим нанести ущерб достижению юридически и этически
оправданных целей организации.
4) Профессиональная компетентность
Внутренние аудиторы:
4.1. Должны участвовать только в тех заданиях, для выполнения которых обладают
достаточными профессиональными знаниями, навыками и опытом.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 161
Ответы CIA Часть 2
Ответы
1 b – Любое засвидетельствование (выдача подтверждения), равно как и окончательное заключение о
результатах оценки (assessment) рисков делается силами только внешних аудиторов. Внутренний
аудитор может заниматься предварительной оценкой (evaluating) рисков и их анализом при условии, что
внешний аудитор делает заключение или проводит окончательную оценку рисков.
2 b – Одной из обязанностей руководителя внутреннего аудита является координация работы
внутренних и внешних аудиторов с целью выполнения своих профессиональных обязанностей и
недопущения дублирования работы внешнего аудитора.
3 a – Это одна из тех процедур, которая находится в русле обязанностей руководителя внутреннего
аудита по координации работы внешних и внутренних аудиторов с целью сокращения дублирования
этих работ.
4 d – Действительно, анализ и проверка процедур, используемых другими подразделениями, могут
снизить потребность в охвате аудиторскими проверками определенных функций и процессов.
5 a – Надзор за работой внешних аудиторов является обязанностью совета директоров компании.
Руководитель внутреннего аудита отвечает за координацию работ между внутренними и внешними
аудиторами. Вместе с тем, возможно, что совет директоров поручит руководителю внутреннего аудита
оказывать практическую помощь в работе внешнего аудитора.
6 b – Общий уровень профессионализма внутренних аудиторов заметно вырос, а возросшие расходы
организаций на внешний аудит сделали для них необходимым устранение дублирования работ
внутренних и внешних аудиторов и ведение контроля отработанных внешними аудиторами часов для
выполнения заданий.
7 b – При выполнении любого задания о характере всех недостатков, отмеченных внутренним
аудитором, необходимо докладывать в отчете руководителям организации. Вариант (c) является
неверным, поскольку проведение аудиторского задания может оказаться целесообразным, если
руководство организации хочет получить обратную связь по поводу нового кодекса в данный момент. В
самом деле, аудитор не определяет целесообразность того или иного аудиторского задания.
8 d – Четыре ключевых обязанности – это: 1) соблюдение принятых в обществе нормативно-правовых
актов; 2) соответствие общепринятым деловым нормам, этическим и моральным принципам и ожиданиям
определенных социальных ролей; 3) обеспечение общего преимущества для общества в целом и
соблюдение интересов конкретных заинтересованных групп как в долгосрочном, так и в краткосрочном
плане; 4) предоставление полной и правдивой отчетности своим владельцам, регулирующим органам,
другим заинтересованным сторонам, широкой общественности в целях обеспечения ответственности за
принятые решения, действия и результаты деятельности.
9 a – Рабочая программа аудиторского задания специфична для каждого отдельного задания; она не
влияет на определение перечня аудиторских заданий, которые необходимо выполнить.
10 c – Хотя совету директоров хотелось бы думать, что он может определять, какие именно аудиторские
задания следует выполнять, на самом деле это не так. Бюджет на проведение аудиторской проверки в
том или ином направлении деятельности также не является решающим фактором. Таким образом, из
всех перечисленных вариантов только риск финансового ущерба или наступление иных наносящих
ущерб обстоятельств должны приниматься во внимание.
11 b – Принятие в штат нового работника, вероятно, будет иметь меньшее значение, чем другие
перечисленные факторы. Вопросы, которые следует рассматривать при планировании аудиторских
заданий, включают: (а) период времени, прошедший с момента выполнения последнего задания в этой
области (подразделении, направлении деятельности); (б) запрос со стороны высшего руководства; (в)
изменения в бизнес-среде; (г) изменение ситуации в области рисков; (д) потенциальная польза от
выполнения задания; (е) изменения в практических навыках сотрудников внутреннего аудита.
12 b – В ответе на этот вопрос следует указать наименее значимый фактор из приведенных вариантов.
Из всех перечисленных факторов то обстоятельство, что в прошлом году упомянутое структурное
подразделение было проверено внешним аудитором, является наименее значимым. Хотя сам факт
прошлогодней проверки этого подразделения внешним аудитором является добрым знаком, никто не
освобождает внутренних аудиторов от обязанности заниматься постоянным мониторингом ситуации в
подразделении, которое подвержено потенциально высокому уровню рисков.
13 c – Во всех случаях распределение аудиторских заданий между менеджерами должно производиться
на основе результатов анализа рисков и оценки имеющихся навыков работников. Личные предпочтения
и желания, связанные с командировками, не должны становиться критериями распределения заданий.
14 d – Уровень компетентности персонала сложно оценить и измерить. Абсолютно приемлемо
использовать групповой консенсус для этой работы. Фактически групповой консенсус является более
162 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Ответы
правильным инструментом, чем индивидуальная оценка, поскольку групповой подход может позволить
избежать индивидуальных искажений в оценках. Вариант (a) неверен, поскольку оценка риска
предполагает учет как качественных, так и количественных показателей.
15 a – Риск и измерение рисков включают оценку вероятности реализации риска, а также размеры
потенциального ущерба. Поэтому варианты (b) и (c) неверны, т.к. каждый из них включает только по
одному из указанных параметров риска. Вариант (d) является неверным, поскольку оценка рисков не
всегда может быть сведена только к числовому значению. Управленческое суждение в той или иной
сфере деятельности может стать фактором риска. Чем больше руководителям приходится полагаться на
свои суждения, тем больше уровень риска.
16 a – Чтобы аудиторы могли расширить набор своих знаний, они должны выполнять задания в
различных областях. Эта задача решается путем ротации аудиторов и направления их на различные
задания.
17 b – Чтобы убедиться в том, что персонал подразделения внутреннего аудита подготовлен для
выполнения своих обязанностей, руководитель внутреннего аудита обязан обеспечивать наставничество
(консультировать персонал внутреннего аудита по вопросам их деятельности) и предоставлять
возможности для соответствующего обучения.
18 b – Установленные политики и процедуры зависят от размеров и структуры подразделения
внутреннего аудита и сложности выполняемой им работы. Вариант (a) неверный, так как одних только
правил и процедур недостаточно для обеспечения соблюдения стандартов деятельности. Они только
помогают в процессе деятельности. То же самое относится к варианту (c): политики и процедуры могут
только помочь в усилиях достичь стабильных результатов.
19 c – Небольшими службами внутреннего аудита можно управлять неформально, поскольку
персоналом в них можно руководить и контролировать путем ежедневного тщательного надзора. В
крупных службах внутреннего аудита обычно возникает необходимость в более формальных и
всеохватывающих политиках и процедурах в качестве руководства для персонала в последовательном
соблюдении требований Стандартов.
20 d – Отчеты о проделанной работе, периодически направляемые Совету и высшему руководству, не
должны включать сведения о еженедельных итогах работы каждого внутреннего аудитора. Совету и
высшему руководству нужны итоговые отчеты с указанием существенных для их внимания вопросов.
21 c – В качестве раздела в итоговом отчете о проделанной работе руководитель внутреннего аудита
должен привести сведения о статусе и степени выполнения аудиторских заданий в течение отчетного
года.
22 d – Из всех перечисленных вариантов поддержка комитетом по аудиту деятельности внутреннего
аудита по мониторингу реализации рекомендаций службы внутреннего аудита принесет ей наибольшую
пользу. Что касается других вариантов, то они относятся к тем видам деятельности, которыми комитет
никогда не будет или не сможет заниматься.
23 c – Первым шагом для внутренних аудиторов является обсуждение выводов и рекомендаций с
соответствующими руководителями организации. Такое обсуждение позволяет внутренним аудиторам
подтвердить точность и достоверность отчетности по результатам выполнения задания. Следующим
этапом является рассылка отчетов тем членам организации, которые обладают достаточными
полномочиями, чтобы определить, что результатам выполнения задания уделено должное внимание.
Такими полномочиями обладают, например, члены комитета по аудиту.
24 c – Проверка и анализ предыдущих отчетов о результатах оценки рисков не являются основной
целью процесса управления рисками. Внутренний аудитор должен установить, что принятые в
организации процессы управления рисками направлены на решение пяти основных целей, чтобы
сформировать мнение об общей адекватности этих процессов на уровне организации.
25 c – Это детальная проверка систем. Планируемое задание касается оценки адекватности новых
политик и процедур для поддержания соответствующего риск-профиля. Проверка только некоторых
инвестиций не решает этой задачи.
26 c – Обычное наблюдение за изменениями процентных ставок в течение времени предоставит очень
мало полезной информации для оценки текущей инвестиционной стратегии. На процентные ставки
влияют многие факторы, находящиеся вне контроля руководства, возможно, в значительной мере,
состояние экономики и экономическая среда в целом.
27 d – Из перечисленных навыков, этим навыком обладает, возможно, только внутренний аудитор.
Инженеры, ИТ - специалисты и бухгалтеры по учету затрат имеют более глубокие знания по вопросам,
перечисленным в пунктах (a), (b) и (c).
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 163
Ответы CIA Часть 2
164 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Ответы
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 165
Ответы CIA Часть 2
166 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Ответы
73 a – Внутренний аудитор должен был включить в наблюдение критерии или стандарты, которые
должны применяться в данной ситуации. Остальные элементы наблюдения были отмечены аудитором в
сообщении.
74 a – Поскольку отсутствует необходимость обосновывать командировочные расходы, работники
накапливают значительные суммы авансов. Кроме того, процедура выдачи авансов не требует
подтверждения. Поэтому отсутствие необходимости подтверждения больших сумм авансов и является
причиной проблемы.
75 d – Критерий «текущее состояние» аудиторского наблюдения относится к тому, что фактически
существует. Ситуация же состоит в том, что фактические суммы выдаваемых и накапливаемых
работниками авансов превышают установленные организацией максимальные лимиты.
76 b – Поскольку выборка включала только авансы, выплачиваемые торговым представителям, аудитор
не имеет оснований делать выводы об авансах во всей организации. Заключение, к которому пришел
аудитор, должно ограничиваться рамками авансов только в счет командировочных расходов. В
результате, заключение может быть только о том, что данные командировочные авансы не
контролируются в соответствии с правилами организации. Внутренний аудитор не вправе определять
адекватность действующей политики организации.
77 b – Мнение внутреннего аудитора – это сделанные внутренним аудитором оценки влияния
наблюдений на аудируемую деятельность.
78 d – Поскольку в процессе выполнения задания были выявлены обстоятельства, ведущие к потере
компанией своих доходов, информация об этом должна была быть передана незамедлительно, т. е. в
ходе выполнения задания. Поскольку итоговый отчет о результатах был выпущен только спустя 8
недель, то он был выпущен несвоевременно.
79 c – Чтобы предотвратить закупку ненужных транспортных средств, компания должна отложить
предлагаемую закупку транспортных средств до тех пор, пока их очевидная избыточность не будет
объяснена и устранена с помощью дополнительного анализа.
80 c – Отчет должен содержать не только описание возникшей ситуации, но и рекомендации
внутреннего аудитора по ее исправлению.
81 d – Итоговый отчет о результатах выполнения аудиторского задания по проверке закупочного цикла
компании имеет слишком специальный характер, чтобы направлять его председателю совета
директоров. Внешний аудитор может быть в числе получателей такого отчета, поскольку он имеет
отношение к выполняемой внешним аудитором работе.
82 a – Итоговые отчеты о результатах аудита снабженческих операций подразделения следует
направлять лицам, обладающим достаточными полномочиями для реализации мер в соответствии с
рекомендациями аудитора, либо лицам, которые несут ответственность за работу аудируемого
подразделения.
83 b – За счет организации заключительного совещания аудитор может улучшить отношения с клиентом
аудиторского задания, обсуждая с ним вопросы, возникшие по результатам выполненного задания.
84 d – Одним из недостатков предоставления проекта отчета по аудиторскому заданию руководителям
клиента заключается в том, что они попытаются внести изменения в отчет, либо станут оспаривать
наблюдения и рекомендации аудитора.
85 d – Когда клиент аудиторского задания не согласен с заключительным отчетом, аудитор должен
сдать итоговый отчет о результатах аудиторского задания, указав позиции обеих сторон и причины
возникновения разногласий. Аудитору не следует вносить изменения в текст отчета или менять объем
аудиторского задания в ответ на несогласие клиента аудиторского задания.
86 a – Любой риск, связанный с работой с наличными, имеет существенный характер, и тот факт, что в
прошлом не случалось воровства или грабежей, не имеет значения. Поэтому аудитор должен сделать
промежуточное сообщение в устной форме. В итоговом отчете о результатах аудиторского задания
сконцентрировать внимание на корректирующих мерах, которые следует предпринять клиенту для
улучшения положения дел.
87 a – Обязанности службы внутреннего аудита по осуществлению последующего мониторинга
выполнения корректирующих действий в отношении конкретных наблюдений, сделанных в ходе
выполнения задания по предоставлению гарантий, должны быть определены в Положении о внутреннем
аудите или в соглашении с клиентом аудиторского задания.
88 d – Определенные наблюдения и рекомендации могут носить настолько важный характер, что
требуют немедленных действий со стороны руководства организации. Внутренние аудиторы должны
активно осуществлять мониторинг действий по результатам задания до тех пор, пока недостатки не
будут исправлены или рекомендации выполнены. Руководитель внутреннего аудита устанавливает
процедуры, включающие: временные рамки для ответа руководства на результаты наблюдений
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 167
Ответы CIA Часть 2
168 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.