RCIA P2 Text Feb14 A4

Дипломированный
внутренний аудитор
Часть 2
Деятельность (практика)
внутреннего аудита
Если вы приобрели этот экземпляр книги непосредственно у компании
HOCK international или через уполномоченный учебный центр, то на
обложке книги вы обнаружите окрашенный в оранжевый цвет логотип
компании HOCK с изображением земного шара и с порядковым номером.
Если у приобретенного вами экземпляра книги отсутствует обложка, либо
на обложке отсутствует логотип компании HOCK, то данный экземпляр не
является подлинным изданием компании HOCK. Пожалуйста, сообщите о
приобретенном вами экземпляре без соответствующей обложки или
соответствующего логотипа, и мы поможем приобрести вам подлинный
экземпляр книги.
Если эта книга напечатана по вашему индивидуальному заказу, то на ней

имеются водяные знаки с указанием вашего имени. Данные экземпляры
предназначаются исключительно для личного пользования; они не могут
быть переданы для пользования другим лицам, копированы, проданы или
распространены каким-либо другим способом. Водяной знак не может быть
удален, отредактирован или изменен.
Использование подлинных экземпляров книг, подготовленных компанией

HOCK, является гарантией того, что вы получаете доступ к полным, точным
и содержащим новейшую информацию учебным материалам. Экземпляры,
приобретенные у неправомочных источников, скорее всего, являются
устаревшими и, кроме того, они не дают права доступа к нашей онлайновой
библиотеке и консультациям преподавателей компании HOCK.
Четвертое издание
CIA
Программа подготовки к сдаче экзаменов
Часть 2
Деятельность (практика)
Брайан Хок, CIA, CMA

и
Карл Берч, CIA, CMA
HOCK international, LLC
P.O. Box 6553
Columbus, OH 43206
(866) 807-HOCK or (866) 807-4625

(281) 652-5768
www.hockinternational.com
cia@hockinternational.com
Опубликовано в феврале 2014 г.
Благодарности
Авторы выражают благодарность Институту внутренних аудиторов за

предоставленное разрешение использовать вопросы и задачи, содержащиеся в
экзаменах для соискателей диплома внутреннего аудитора (Certified Internal Auditor
Examinations Copyright 1985-1996 by The Institute of Internal Auditors, Inc., 247
Maitland Avenue, Altamonte Springs, Florida 32701 USA.). Перепечатка с письменного
разрешения правообладателя.
Кроме того, мы признательны Институту дипломированных бухгалтеров по

управленческому учету за предоставленное разрешение на использование вопросов
и задач из прошлых экзаменов для соискателей дипломов бухгалтера по
управленческому учету и финансовому менеджменту. Институт дипломированных
бухгалтеров по управленческому учету обладает авторскими правами на эти
вопросы и неофициальные ответы; их перепечатка в настоящих материалах
произведена с письменного разрешения правообладателя.
Авторы хотели бы также выразить благодарность Институту ITGI (IT Governance

Institute) за разрешение использовать положения публикации «Цели контроля в
сфере информационных и связанных с ними технологиях» (Control Objectives for
Information and related Technology (COBIT)), 3rd Edition, © 2000, IT Governance
Institute, www.itgi.org. Перепечатка без письменного разрешения запрещена.
© 2014 HOCK international, LLC
Никакая часть настоящего издания не может быть использована или воспроизведена

в любой форме без предварительного письменного разрешения HOCK international,
LLC.
ISBN: 978-1-934494-91-2
Личные благодарности
Авторы выражают благодарность следующим лицам за их помощь в подготовке

настоящих материалов:
• Кевину Хоку за работу по форматированию текста и подготовке макета
данного издания,
• Всем сотрудникам HOCK Training и HOCK international за их терпеливое
отношение к многочисленным исправлениям в данных материалах,
• Слушателям HOCK Training и HOCK international во всех наших учебных
классах и в рамках Программы удаленного обучения – за их замечания,
комментарии и предложения в отношении данных материалов,
• Самое главное, - нашим супругам и остальным членам наших семей – за
проявленное терпение в течение того долгого времени и тех поездок,
которые понадобились, чтобы завершить эти материалы.
Предварительные замечания издателя
По ходу данных материалов мы стремились использовать определенную лексику,

грамматику, орфографию и структуру языка, чтобы обеспечить единообразие и
доступность для всех читателей. Учебные материалы, подготовленные компанией
HOCK, используются соискателями по всему миру, и для многих из них английский
является вторым языком. Мы отдаем себе отчет, что наш выбор не всегда
соответствует формальным языковым стандартам, однако наши усилия были
сосредоточены на том, чтобы сделать учебный процесс максимально простым и
доступным для соискателей. Несмотря на это, мы приветствуем ваши исправления,
замечания и идеи по созданию учебных материалов более высокого качества.
Данные материалы подготовлены исключительно для оказания помощи соискателям

в процессе подготовки к квалификационным экзаменам. Никакая информация,
содержащаяся в данных материалах, не должна рассматриваться в качестве
авторитетных советов в сфере бизнеса, бухгалтерского учета или консалтинга. Для
получения таких консультаций и советов мы рекомендуем обращаться к
соответствующим профессиональным специалистам.
Дорогие будущие дипломированные внутренние аудиторы:
Добро пожаловать в HOCK international! Сделав выбор стать соискателем на получение этого
престижного диплома, вы тем самым приняли на себя обязательство, которое важно как с личной,
так и профессиональной точки зрения. Процесс лицензирования является серьезной проверкой
ваших знаний, навыков и приверженности выполняемой вами работы.
Мы гордимся тем, что вы выбрали компанию HOCK в качестве партнера в этом процессе. Мы отдаем
себе отчет, что это большая ответственность, и поэтому наша цель заключается в том, чтобы
сделать этот процесс для вас максимально безболезненным и эффективным. Для этого компания
HOCK разработала следующие инструменты:
 Учебный план – направляет ваш учебный процесс неделю за неделей. Также вы можете
создать свой личный учебный план он-лайн, составив его в соответствии с вашим графиком.
Личный учебный план может направляться вам по электронной почте в начале каждой
недели.
 Учебник – это то, что вы сейчас читаете. Он является главным источником в процессе
вашей учебной подготовки и содержит все необходимые материалы для успешной сдачи
экзамена. Содержащиеся в нем материалы соответствуют структуре и содержанию
экзамена; они дают всю необходимую базовую информацию, поэтому вам не нужно
покупать и читать какие-то дополнительные книги или учебные пособия.
 Программа ExamSuccess компании HOCK – содержит вопросы, которые содержались в

предыдущих экзаменах для соискателей дипломов CIA и CMA, а также оригинальные
вопросы компании HOCK, соответствующие текущей учебной программе. Программа
включает не только сами вопросы, но и ответы на них, а также объяснения правильных и
неправильных вариантов.
 Флэш-карты – они содержат краткие обобщения и выводы по основным темам, а также

ключевые идеи и математические формулы. Они представлены в формате карт флэш-
памяти, поэтому вы легко можете использовать их для подготовки к экзаменам, когда у вас
появится несколько свободных минут, а учебника рядом не окажется.
 Тренировочный экзамен – для каждой части экзамена имеется свой тренировочный

вариант, который является заключительной стадией подготовки и который содержит
вопросы, с которыми вы до этого не сталкивались.
 Доступ к преподавателям – мы советуем вам обращаться к преподавателям компании

HOCK посредством электронной почты во всех случаях, когда в процессе подготовки к
экзамену у вас возникнут вопросы.
Мы осознаем степень вашей приверженности этим экзаменам, и, оказывая вам помощь, будем
стремиться соответствовать этой приверженности. Кроме того, мы понимаем, что время, которым вы
располагаете, слишком ценно для вас, чтобы повторно готовиться к этому экзамену. Поэтому мы
сделаем всё возможное, чтобы вы успешно сдали экзамен с первого раза.
Я желаю вам успеха в подготовке к экзамену и, если вам потребуется моя помощь, то, пожалуйста,
обращайтесь ко мне напрямую по адресу: brian.hock@hockinternational.com.
Искренне ваш,
Brian J. Hock, CIA, CMA

Президент и генеральный директор
CIA Часть 2 Содержание
Содержание
Продолжительность и структура экзамена................................................................. 1
Раздел A – Управление внутренним аудитом – Введение ....................................... 3

Управление внутренним аудитом ................................................................................. 5
Стратегическое назначение деятельности внутреннего аудита ............................. 5
Изменение экономической обстановки 5
Стратегическое (долгосрочное) планирование 7
Координация деятельности ........................................................................................... 8
Карта гарантий 8
Координация работы с внешним аудитором 9
Координация действий с контрольно-надзорными органами 12
Координация действий с другими внутренними поставщиками гарантий 12
Роль внутреннего аудита в процессе корпоративного управления .................... 14
Роль внутреннего аудита в развитии этической культуры организации 14
Функциональное назначение деятельности внутреннего аудита ........................ 18
Планирование ................................................................................................................ 18
Постановка целей деятельности внутреннего аудита 18
Составление плана-графика аудиторских заданий 19
Составление риск-ориентированного плана ............................................................ 19
Представление и утверждение планов и требуемых ресурсов ............................ 25
Управление ресурсами ................................................................................................. 25
Разработка политик и процедур ................................................................................. 29
Отчетность перед высшим исполнительным руководством и Советом ............ 31
Отчеты о проделанной работе 31
Существенные замечания по аудиторским заданиям 32
Взаимоотношения с комитетом по аудиту 32
Внешний поставщик услуг и ответственность за внутренний аудит ................... 36
Роль внутреннего аудита в процессе управления рисками .................................. 37
Оценка адекватности процессов управления рисками 37
Оценка адекватности процессов управления рисками в ходе предоставления официальных
консультационных услуг 40
Управление рисками внутреннего аудита ................................................................. 41
Типы услуг внутреннего аудита .................................................................................. 44
Предоставление гарантий ............................................................................................ 44
Задания по финансовому аудиту ............................................................................... 45
Документы и работники в циклах операций 46
Аудиторские задания по подтверждению нормативно-правового соответствия56
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. i
Содержание CIA Часть 2
Проведение экологического аудита 56

Аудиторские задания по оценке результатов деятельности ................................ 60
Аудит экономичности и продуктивности 60
Аудит результативности программы 61
Прочие виды заданий по операционному аудиту ................................................... 61
Аудиторские задания в сфере е-коммерции 62
Задания по комплексному финансово-правовому аудиту 66
Аудит планов по обеспечению непрерывности бизнеса 68
Аудит системы обеспечения качества ...................................................................... 71
Бенчмаркинг 72
Аудит соблюдения стандартов качества ISO 9000 75
Аудит средств физической защиты 77
Аудит третьих сторон 78
Аудит контрактов 79
Аудит системы сохранности персональных данных 81
Аудиторские задания по консультированию ........................................................... 85
Руководящие принципы выполнения заданий по консультированию внутренними аудиторами
86
Основания для формальных заданий по консультированию 88
Профессиональное отношение к работе при выполнении заданий по консультированию 90
Консультационные задания по проверке внутреннего контроля 92
Консультационные задания по анализу бизнес-процессов и их реорганизации 93
Самооценка (внутренняя оценка) контроля .............................................................. 94
Подходы к самооценке (внутренней оценке) контроля 94
Роль внутреннего аудита в Программе самооценки (внутренней оценки) контроля 98
Раздел Б – Введение ................................................................................................... 100

Планирование аудиторского задания ...................................................................... 101
Процесс планирования аудиторского задания 101
Что необходимо учитывать при планировании 102
Цели аудиторского задания 103
Оценка риска при планировании задания 104
Предварительное обследование .............................................................................. 104
Документирование предварительного обследования 108
Объем и содержание аудиторского задания .......................................................... 109
Распределение ресурсов на выполнение аудиторского задания ...................... 109
Программа аудиторского задания ............................................................................ 109
Процедуры аудиторского задания ........................................................................... 110
Достаточность аудиторских доказательств 111
Достоверность аудиторских доказательств 111
ii © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Содержание
Значимое доказательство 112

Полезное доказательство 112
Источники доказательств 112
Аудиторские процедуры получения аудиторских доказательств 113
Отслеживание операции и проверка документарного подтверждения 114
Контроль над выполнением задания....................................................................... 118
Проверка рабочих документов 119
Оценка результатов работы штатных аудиторов по выполнению заданий 119
Информирование о результатах............................................................................... 122
Критерии информирования 122
Содержание итогового отчета 123
Качество сообщений 127
Ошибки и упущения 128
Сообщение результатов 131
Сообщение о фактах коррупции или незаконной деятельности 132
Устные сообщения 134
Промежуточные отчеты 134
Мониторинг действий по результатам задания ..................................................... 136
Информирование о принятых рисках 137
Раздел В – Введение ................................................................................................... 140

Риски мошенничества и средства контроля ........................................................... 141
Типы мошенничества 141
Совершение мошенничества 142
Ответственность внутреннего аудитора 144
Расследование фактов мошенничества 145
Ответственность за обнаружение фактов мошенничества 147
Мошенничество со стороны руководителей (менеджеров) организации 149
«Криминальный аудит» 152
Приложение А: Образец Кодекса корпоративного поведения ............................ 155

Приложение Б: Международные основы профессиональной практики ........... 157
Приложение В: Кодекс этики Института внутренних аудиторов ........................ 159
Кодекс этики ИВА 159
Принципы 160
Правила поведения 160
Ответы ........................................................................................................................... 162
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. iii
Содержание CIA Часть 2
(Эта страница намеренно оставлена незаполненной)
iv © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
CIA Часть 2 Введение
Продолжительность и структура экзамена

Продолжительность экзамена на получение квалификации «Дипломированный внутренний аудитор» по
Части 2 – Деятельность (практика) внутреннего аудита – составляет 120 минут (2 часа). Он состоит
из 100 вопросов с предложенными вариантами ответов, из которых нужно выбрать правильный ответ.
Эта часть экзамена посвящена вопросам управления внутренним аудитом посредством стратегического и
функционального назначения деятельности внутреннего аудита и составления риск-ориентированного
плана деятельности; а также этапам контроля над выполнением конкретных аудиторских заданий
(планирование, контроль, сообщение результатов и мониторинг действий по результатам аудита);
управлению рисками мошенничества и их контролю.
Более подробную информацию об экзаменах можно получить на вебсайте международного Института

внутренних аудиторов (ИВА): www.theiia.org.
Программа международного Института внутренних аудиторов (ИВА) по Части II экзамена CIA состоит из
трех тематических разделов. Международный Институт внутренних аудиторов (ИВА) называет такие
тематические области изучения «Предметные области», но в наших учебных материалах мы будем
называть их «Разделы». Названия разделов и их доля в процентах от общего количества вопросов на
экзамене приводятся ниже:
• Раздел А: Управление внутренним аудитом (40–50%).
• Раздел Б: Контроль над выполнением аудиторского задания (40-50%).
• Раздел В: Риски мошенничества и средства контроля (5-15%).
Кроме того, учебный план международного Института внутренних аудиторов предусматривает наличие у
кандидатов на получение квалификации «Дипломированный внутренний аудитор» надлежащего уровня
профессиональной квалификации и знаний.
• Профессиональная квалификация – кандидат должен продемонстрировать должный

уровень профессиональной квалификации (полное и глубокое понимание концепций и умение
их применять) в указанных тематических рамках учебного материала.
• Знания – кандидат должен продемонстрировать должный уровень знаний (понимание

принципов и знание соответствующей терминологии) в указанных тематических рамках
учебного материала.
При подготовке к экзамену следует иметь в виду, что в дополнение к содержащимся в настоящем
учебнике материалам необходимо также использовать программу HOCK ExamSuccess («Успех
Экзамена»), которая содержит вопросы из предыдущих экзаменов. Многие темы, которые относятся к
экзамену на получение диплома CIA, весьма обширны. Поэтому практика ответов на вопросы из
предыдущих экзаменов позволит вам лучше понять, как именно и насколько глубоко та или иная тема
экзаменовалась ранее.
© 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена. 1
Введение CIA Часть 2
(Эта страница намеренно оставлена незаполненной)
2 © 2014 HOCK international, LLC. Только для личного пользования первичным покупателем. Перепродажа запрещена.
Раздел А Раздел A – Управление внутренним аудитом – Введение
Раздел A – Управление внутренним аудитом – Введение

Первый раздел экзамена CIA по Части 2 посвящен теме «Управление внутренним аудитом». На этот
раздел приходится примерно 40–50% экзамена по Части 2. Все темы раздела изучаются и экзаменуются
на уровне профессиональной квалификации, если не указано иное.
Данный раздел включает шесть указанных ниже тем.
1) Стратегическое назначение деятельности внутреннего аудита. Экономическая

обстановка находится в состоянии постоянного движения и изменения. Быстрый прогресс в
развитии технологий, жёсткая конкуренция, а также изощрённые вкусы потребителей и их
знание рынка означают, что на своем пути к успеху компании сталкиваются с бесконечным
потоком новых задач. В условиях такого сильного давления конкурирующего рынка
деятельность внутреннего аудита должна обеспечивать организации возможность достижения
ею своих стратегических целей и задач.
2) Функциональное назначение деятельности внутреннего аудита. Деятельностью

внутреннего аудита, как и любым другим направлением деятельности организации, необходимо
соответственно управлять. С точки зрения операционной деятельности, руководитель
внутреннего аудита (РВА) должен обеспечивать и следить за тем, чтобы:
• запланированные аудиторские задания выполнялись в установленные сроки;
• требуемые для выполнения запланированных аудиторских заданий ресурсы распределялись

надлежащим образом и в достаточной мере;
• результаты аудиторских заданий доводились до сведения всех заинтересованных сторон в

установленном порядке.
3) Составление риск-ориентированного плана деятельности внутреннего аудита.

Руководитель внутреннего аудита (РВА) должен составить риск-ориентированный план,
определяющий приоритеты внутреннего аудита в соответствии с целями организации. Риск
является главным фактором при определении того, какие именно аудиторские задания должны
быть проведены; однако это не единственный фактор, который учитывается при определении
приоритетов в планировании конкретных аудиторских заданий. Внутренний аудитор должен
понимать критерии ранжирования аудиторских заданий с учётом всех факторов.
4) Роль внутреннего аудита в процессе управления рисками. В этой части раздела

рассматривается роль внутреннего аудитора в процессе управления рисками организации.
5) Управление рисками внутреннего аудита. Эта часть раздела посвящена рассмотрению

различных типов рисков, с которыми приходится сталкиваться внутреннему аудиту в своей
деятельности. К таким рискам относятся: аудиторский риск, риск предоставления ложной
гарантии и репутационный риск (риск потери деловой репутации) внутреннего аудита.
6) Типы заданий внутреннего аудита. Эта часть раздела посвящена специальным типам
заданий по предоставлению гарантий и оказанию консультационных услуг, которые могут
выполнять внутренние аудиторы. Эти задания подразделяются на три основные категории:
• Аудиторские задания по финансовому аудиту. Это анализ экономической деятельности

согласно определенным методам бухгалтерского учета и отчетности.
• Аудиторские задания по подтверждению нормативно-правового соответствия. Это

проверка средств финансового и операционного контроля и хозяйственных операций в
части их соответствия требованиям действующего законодательства, нормативных актов,
установленных процедур и стандартов.
• Аудиторские задания по операционному аудиту. Это проверка эффективности и

результативности деятельности организации.
Раздел A – Управление внутренним аудитом – Введение CIA Часть 2
Вопросы по темам данного раздела, вероятнее всего, будут двух типов: (1) имеющие отношение к
определениям (или к базовому применению этих определений); или (2) применяемые к конкретной
ситуации (в которой необходимо будет определить лучшее или худшее аудиторское доказательство,
либо лучшую или худшую аудиторскую процедуру из предлагаемых в вариантах ответов).
Если первый тип вопросов, как правило, не вызывает затруднений (вы либо знаете, либо не знаете
определение данного термина), то второй тип потребует от вас определенной практики в решении задач
и терпения. Чтобы лучше подготовиться к вопросам второго типа, вам потребуется изучить вопросы и
ответы из предыдущих экзаменов и понять, каким образом формулируются вопросы и какие ответы
считаются правильными в различных ситуациях. Как может показаться, на некоторые вопросы дается
более одного правильного варианта ответа, однако чаще всего в формулировке этих вопросов
содержится короткая фраза, которая привязывает его к конкретной области, теме или проблеме,
помогая тем самым определить правильный ответ. Вы должны уметь идентифицировать такие фразы,
что значительно облегчит вам выбор правильного ответа.
Хотелось бы также предупредить читателей, что термины, используемые в этом разделе (равно как и в
других разделах данных учебных материалов), могут отличаться от тех, которые вы используете в своей
повседневной работе. Такая ситуация совершенно нормальна, не забывайте, что эти материалы и
используемые в них термины предназначены исключительно для целей экзамена. Кроме того, не
забывайте, что внутренний аудит относится к внутренней функции компании и не является объектом
регулирования со стороны внешних органов, которые могли бы устанавливать единые, стандартные
термины для каждой организации.
Кроме того, хорошими справочными материалами в процессе подготовки к этому разделу экзамена могут
стать Стандарты и Практические указания, однако мы не рекомендуем стремиться заучивать тексты этих
документов.
В тексте данного пособия используется термин «деятельность внутреннего аудита» (IAA), что также
относится к подразделению внутреннего аудита. Также, для обозначения термина «руководитель
внутреннего аудита» (CAE) используется аббревиатура РВА.
Раздел А Управление внутренним аудитом
Управление внутренним аудитом

Стандарт 2000: Управление внутренним аудитом
Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита

таким образом, чтобы обеспечить его полезность для организации.
Внутренний аудит приносит пользу организации (и её заинтересованным лицам), когда руководитель

внутреннего аудита управляет подразделением внутреннего аудита таким образом, чтобы обеспечивать
выполнение следующих условий:
• результаты, достигнутые в ходе работы службы внутреннего аудита, соответствуют целям и

обязанностям, содержащимся в Положении о внутреннем аудите, которое было утверждено
высшим руководством организации и принято советом директоров (или комитетом по аудиту);
• деятельность внутреннего аудита соответствует Определению внутреннего аудита и

Стандартам;
• лица, работающие в подразделении внутреннего аудита, демонстрируют соответствие

требованиям Кодекса этики и Стандартов.
В Стандартах международного Института внутренних аудиторов указывается, что «внутренний аудит

приносит пользу организации (и её заинтересованным лицам), когда он предоставляет объективные и
компетентные гарантии, способствует повышению эффективности и результативности корпоративного
управления, управления рисками и процессов контроля».
Помимо выполнения указанных целей и задач, внутренний аудит должен быть дальновидным в своей
деятельности, закладывая основу текущего успеха и создавая задел для успешной деятельности в
будущем. В этой части раздела будет рассматриваться стратегическое и функциональное назначение
деятельности внутреннего аудита.
Стратегическое назначение деятельности внутреннего аудита

Чтобы внутренний аудит имел возможность исполнять свои обязанности, он должен иметь надлежащий
статус внутри организации, а внутренние аудиторы должны ощущать постоянную поддержку со стороны
высшего руководства, совета директоров и комитета по аудиту. Поддержка высшего руководства и
Совета призвана продемонстрировать, что деятельность аудиторов рассматривается как исключительно
важная для организации и приносящая пользу. На начальном этапе своего развития внутренний аудит
занимался просто проверкой процессов и средств контроля, делая лишь заключения об эффективности
или неэффективности контроля. Однако за последние несколько десятилетий внутренний аудит
претерпел существенные изменения: он стал включать новые области знаний и вышел за границы
сугубо финансовых и бухгалтерских аспектов. Усиление давления, направленного на получение
прибылей, а также стремительное развитие бизнес-среды означает, что роль внутреннего аудита в
настоящее время существенно повысилась и вышла за рамки того, чтобы просто помогать организации в
реализации её общей стратегии по успешному выполнению поставленных целей и задач.
Далее в этом разделе мы рассмотрим ограничения, с которыми сталкивается в своей деятельности

внутренний аудит, а также стратегическое назначение его деятельности для организации.
Изменение экономической обстановки

Высокий уровень технологических достижений и все более избирательные и взыскательные
запросы потребителей заставляют компании модернизировать свою продукцию и сокращать
время вывода на рынок новой продукции. В результате компании испытывают необходимость в
конкурентном преимуществе, которое давало бы им возможность выжить в конкурентной борьбе.
Считается, что компания имеет конкурентное преимущество, когда её деятельность является более
рентабельной, чем в среднем по отрасли.
Стратегическое назначение деятельности внутреннего аудита CIA Часть 2
Открытые акционерные компании (акции которых котируются на бирже) обязаны своим акционерам, а
акционеры хотят прибыльного роста, что предполагает высокую рентабельность и устойчивые темпы
роста прибыли. Общее правило заключается в том, что компания, имеющая прибыль, но низкие (или
никакие) темпы роста прибыли не будет оцениваться так же высоко, как рентабельная компания,
демонстрирующая устойчивый рост прибыли. Реализация этих двух задач – получение рентабельности и
обеспечение темпов роста прибыли – является одной из наиболее сложных и серьёзных проблем,
стоящих перед руководством компаний.
Для повышения рентабельности и сохранения устойчивых темпов роста прибыли руководители должны
сформулировать такие стратегии, которые позволяли бы компании добиться конкурентного
преимущества. Стратегические лидеры компании несут ответственность за эффективное управление
процессом по выработке стратегии компании, направленной на повышение результатов деятельности и
максимизацию её стоимости для акционеров. Стратегии, которым следует руководство компании, и
будут определять результативность деятельности компании по отношению к деятельности её
конкурентов.
Внутренний аудит как деятельность, базирующаяся на оценочных суждениях

Насколько ценной и значимой может или должна быть деятельность внутреннего аудита? С позиции
правительства, внутренний аудит корпораций имеет высокую ценность и большое значение. Кодексы
корпоративного управления, такие как Закон Сарбейнса-Оксли и другие, требуют и рекомендуют, чтобы
корпорации имели подразделения внутреннего аудита, а 90% стран-членов Европейского Союза
требуют и рекомендуют, чтобы подразделения внутреннего аудита были в компаниях, акции которых
котируются на рынке.
Однако с точки зрения корпораций ценность и польза внутреннего аудита имеет в некотором смысле
двоякое значение. Учитывая, что традиционно деятельность внутреннего аудита фокусировалась на
проверке выполнения установленных требований к представлению финансовой отчетности и
соблюдения требований (норм и стандартов), то эта деятельность касалась главным образом
прошлых результатов компании (того, «что было») и её текущих результатов (того, «что есть»). Другими
словами, такая деятельность внутреннего аудита имела весьма отдаленное отношение к тому, чтобы
действовать на опережение, способствуя усилению импульса роста компании. Более того, ни требования
Закона Сарбейнса-Оксли, ни требования стран ЕС не устанавливают и не определяют конкретно тот
уровень поддержки, которую должен получать в организации внутренний аудит. И поэтому компании
свободны в своих решениях о том, какой размер финансовых средств они выделяют на деятельность
внутреннего аудита. К тому же, подразделение внутреннего аудита относится к центру затрат,
следовательно, его деятельность не приносит дохода. И если руководство компании примет решение о
необходимости мер по оптимизации затрат с целью повышения рентабельности, то подразделение
внутреннего аудита вряд ли избежит сокращения бюджета.
Поэтому руководитель внутреннего аудита (РВА) обязан убедить высшее руководство и Совет компании
в том, что деятельность внутреннего аудита может иметь высокую ценность для компании и должна
получать поддержку высшего руководства, комитета по аудиту и Совета. Ключевая роль РВА состоит в
умении продемонстрировать возможности внутреннего аудита стать активным участником будущего
роста компании (того, «что должно быть»). Как только высшее руководство и Совет осознают, какую
важную роль выполняет внутренний аудит, помогая компании в достижении целей роста и развития, для
РВА станет намного легче обеспечивать надлежащую поддержку деятельности внутреннего аудита и
получить необходимые финансовые ресурсы, позволяющие внутреннему аудиту выполнять свои задачи.
Раздел А Стратегическое назначение деятельности внутреннего аудита
Стратегическое (долгосрочное) планирование

Международный Институт внутренних аудиторов определяет стратегию как «процесс формулирования
долговременных целей и намерений организации и выбор надлежащих направлений деятельности, а
также соответствующее распределение ресурсов, которые необходимы для достижения поставленных
целей». В конечном счете, стратегия деятельности внутреннего аудита должна создавать условия для
распределения финансовых и людских ресурсов таким образом, чтобы оказывать содействие высшему
руководству и Совету в достижении долгосрочных целей всей организации. Более того, стратегический
план деятельности внутреннего аудита должен представляться на утверждение высшему руководству и
Совету организации. Как устанавливается Стандартом 2060 (Отчетность перед высшим исполнительным
руководством и Советом): «Руководитель внутреннего аудита должен периодически отчитываться перед
высшим исполнительным руководством и Советом о целях, полномочиях и обязанностях внутреннего
аудита, а также о ходе выполнения плана работы».
Этот стратегический (долгосрочный) план должен обеспечивать проведение аудиторских проверок всех
областей и направлений деятельности организации с той периодичностью, которая соответствует их
уровню риска. В некоторых областях и направлениях деятельности организации (с наибольшим уровнем
риска) потребуется проведение аудиторских проверок раз в год и даже чаще; в других подразделениях
или областях бизнеса будет достаточно проводить аудит один раз в два или три года. Без подготовки
долгосрочного плана появляется опасность, что какое-либо направление деятельности организации
останется неохваченным аудиторскими проверками, поскольку это направление деятельности никогда
не будет соответствовать условиям, определяющим необходимость проведения аудиторских проверок в
краткосрочном периоде. Правильно составленный долгосрочный план аудиторских проверок может
использоваться в следующих целях:
• быть ориентиром деятельности внутреннего аудита в долгосрочной перспективе;

• являться основанием для составления бюджетов;
• служить средством вовлечения высшего руководства и Совета в процесс планирования аудита;
• быть средством оценки результатов работы внутренних аудиторов;
• информировать внешних аудиторов о планируемых аудиторских проверках.
Кроме того, в стратегическом плане должны быть учтены вопросы, планы и цели всей организации.
Внутренний аудит должен быть заранее готов к изменениям в потребностях в тех или иных ресурсах,
необходимых для реализации крупных инициатив в будущем.
Пересмотр стратегического (долгосрочного) плана

Подобно стратегическому плану организации, стратегический план деятельности внутреннего аудита
должен периодически пересматриваться и по необходимости уточняться. Ниже перечислены некоторые
факторы, влияющие на частоту пересмотра стратегического плана деятельности внутреннего аудита.
• Изменение стратегии организации.

• Масштабы роста и развития организации.
• Существенные изменения в ресурсообеспеченности внутреннего аудита.
• Существенные изменения в нормативно-правовом регулировании.
• Существенные изменения в политиках и процедурах организации.
• Важные изменения в составе высшего руководства и совета директоров организации.
• Оценка выполнения стратегического плана внутренним аудитом с точки зрения качественных и
количественных показателей.
• Результаты внутренних и внешних оценок деятельности внутреннего аудита в соответствии с
требованиями Программы гарантии и повышения качества.
• Способность подразделения внутреннего аудита координировать свою деятельность с другими
службами по предоставлению гарантий.
Координация деятельности CIA Часть 2
Как следует из Стандартов, РВА должен приводить в соответствие имеющиеся ресурсы с приоритетами
деятельности, определять акценты деятельности внутреннего аудита и координировать деятельность с
другими внутренними и внешними сторонами, оказывающими услуги по предоставлению гарантий и
консультаций (рассматривается ниже). Эти другие поставщики гарантий также проявляют устойчивый
интерес к процессам управления рисками и контроля; и поэтому руководителю внутреннего аудита
целесообразно координировать деятельность с такими поставщиками гарантий в целях обеспечения
надлежащего охвата и минимизации двойной работы. В конечном итоге такая координация деятельности
будет способствовать выполнению внутренним аудитом своих стратегических целей и задач.
Координация деятельности
Стандарт 2050: Координация деятельности
В целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего

аудита следует обмениваться информацией и координировать деятельность с другими внутренними и
внешними сторонами, оказывающими услуги по предоставлению гарантий и консультаций.
Руководитель внутреннего аудита несет также ответственность за обмен информацией и координацию

деятельности с другими внутренними и внешними сторонами, оказывающими услуги по предоставлению
гарантий и консультаций, в целях обеспечения надлежащего охвата и минимизации двойной работы. В
число таких внутренних и внешних сторон могут входить:
• внешние аудиторы;
• органы регулирования и надзора (например, государственные аудиторы);
• прочие внутренние поставщики гарантий (например, отдел охраны труда).
Карта гарантий
Международный Институт внутренних аудиторов определяет услуги по предоставлению гарантий
как «объективный анализ имеющихся аудиторских доказательств в целях представления независимой
оценки процессов корпоративного управления, управления рисками и контроля». Как мы только что
упомянули, руководитель внутреннего аудита должен координировать деятельность подразделения
внутреннего аудита с внешними аудиторами и другими внутренними поставщиками гарантий (такими как
отдел контроля качества, отдел охраны окружающей среды и пр.) с целью обеспечения полноты охвата
проверками всей деятельности организации. Обеспечение полноты охвата означает, что каждый вид и
направление деятельности организации, которые подлежат проверке, действительно будут проверены
или подразделением внутреннего аудита, или внешним аудитором, или другим внутренним поставщиком
гарантий.
В достижении этой цели большую помощь оказывает использование карты гарантий. Как поясняется в
ПУ 2050-2 (Схема предоставляемых гарантий), схема предоставляемых гарантий составляется по всей
организации, чтобы понять, где в целом рассредоточены роли и ответственность по управлению рисками
и предоставлению гарантий. Цель использования такой карты гарантий состоит в том, чтобы убедиться в
наличии продуманного процесса управления рисками и предоставления гарантий без дублирования
усилий или потенциальных пробелов. По сути дела, карта гарантий представляет собой распределение
аудиторских проверок, проводимых всеми поставщиками гарантий по карте рисков организации таким
образом, чтобы проверки были запланированы для всех областей деятельности с «ключевыми» рисками.
Это процесс позволяет компании найти и учесть пробелы в процессе управления рисками, что позволяет
всем заинтересованным сторонам быть уверенными в том, что все риски выявлены и находятся под
контролем, и что все законодательные требования соблюдаются.
Раздел А Координация деятельности
Координация работы с внешним аудитором

Координация работы с внешним аудитором очень важна для организации, поскольку она способствует
потенциальному росту эффективности обеих форм аудита и снижению затрат на внешний аудит.
Необходимость координации работы внутренних и внешних аудиторов возникает потому, что их работа
взаимосвязана и частично совпадает по ряду областей. Тем не менее, её нельзя назвать идентичной, т.к.
в работе внутреннего и внешнего аудиторов преобладают различные акценты. Внутренний аудитор в
большей степени занят вопросами операционной (основной) деятельности и процессами контроля
внутри организации, тогда как внешнего аудитора почти всегда интересуют исключительно вопросы
представления финансовой отчетности. Несмотря на различия в акцентах, внутренние аудиторы делают
такую работу, на которую могут полагаться внешние аудиторы, а они, в свою очередь, выполняют
работу, которая помогает в работе внутренних аудиторов. Именно руководитель внутреннего аудита
обязан координировать работу внутреннего и внешнего аудита, и обладает наилучшими возможностями
для координации усилий двух видов аудита – координации, которая позволит выявить и извлечь
дополнительную выгоду для организации за счет повышения эффективности совместной работы и
экономии ресурсов.
Существует две причины, объясняющие все возрастающий уровень координации работы внутреннего и
внешнего аудита и все увеличивающееся значение этой координации для нужд компаний в современных
условиях:
• Возрастание уровня квалификации и профессионализма специалистов службы

внутреннего аудита: все больше работников этой службы являются профессиональными
внутренними аудиторами либо в прошлом были внешними аудиторами. Эта тенденция привела к
повышению качества выполняемой внутренними аудиторами работы, а также к увеличению
объема и содержания их проверок.
• Затраты на проведение внешнего аудита в последние годы выросли настолько сильно, что
многие компании стали всерьез задумываться о возможностях снижения этих издержек. Эта
задача может быть решена с помощью создания сильной, объективной и компетентной службы
внутреннего аудита, на которую могут полагаться и внешние аудиторы.
Примечание. Несмотря на то, что внутренний аудит должен быть независимым, а внутренние
аудиторы должны быть объективными при выполнении своих обязанностей, внешний аудитор очень
осторожно подходит к вопросу о выборе работ, которые он позволит выполнять внутренним
аудиторам в ходе внешнего аудита организации. Внешний аудитор не может позволить внутренним
аудиторам заниматься оценкой рисков или давать свои заключения по поводу показателей или
итоговых сумм, содержащихся в финансовой отчетности. Внешний аудитор может попросить
внутренних аудиторов предоставить информацию об областях или направлениях бизнеса, которые в
наибольшей степени подвержены рискам, а также о текущих проблемах и слабых сторонах в области
внутреннего контроля, однако он сам будет проверять эту информацию и делать окончательную
оценку рисков. То же самое относится и к данным в финансовой отчетности: внешний аудитор может
запросить у внутренних аудиторов информацию о потенциальных рисках с их точки зрения, однако
окончательные выводы он будет делать самостоятельно.
Помощь со стороны внутренних аудиторов

Это именно та область применения, в которой в наибольшей степени заинтересован руководитель
внутреннего аудита, поскольку именно здесь он может добиться снижения стоимости внешнего аудита
за счет обеспечения поддержки со стороны внутренних аудиторов и их участия в ряде проверок в
рамках задания, выполняемого внешним аудитором. Однако прежде чем внешний аудитор сможет
полагаться (хотя бы частично) на результаты работы внутренних аудиторов, он в первую очередь
должен оценить их компетентность (профессионализм) и объективность.
• Компетентность заключается в наличии у сотрудников внутреннего аудита знаний, умений и

навыков, позволяющих им выполнять работу на должном профессиональном уровне.
• Объективность – это степень беспристрастности и непредвзятости внутренних аудиторов,

позволяющая подразделению внутреннего аудита выполнять возложенные на него обязанности
независимо, без вмешательства со стороны менеджмента или других лиц и органов в компании.
Если внешнего аудитора устраивает уровень профессионализма и объективности внутренних аудиторов,

то он может полагаться на результаты выполняемой ими работы, но ему все равно следует проверять
результаты работы службы внутреннего аудита.
Примечание. Внешнему аудитору следует оценивать уровень профессионализма и объективности

внутренних аудиторов только в том случае, если он планирует полагаться на работу подразделения
внутреннего аудита. В том случае, когда в организации имеется служба внутреннего аудита, однако
внешний аудитор не планирует полагаться на её работу для целей внешнего аудита (например, когда
внутренние аудиторы не выполняли заданий в той области, которая является объектом внешнего
аудита), то внешнему аудитору не нужно проводить такую оценку.
Помощь со стороны внешнего аудитора

Хотя обычно мы рассматриваем координацию работы внутреннего и внешнего аудита с точки зрения
оказания помощи и поддержки внешним аудиторам, которую стремятся оказать внутренние аудиторы,
чтобы таким образом снизить стоимость внешнего аудита, бывают случаи и обратного взаимодействия. В
ряде случаев работа внешнего аудитора может приносить пользу и прямую выгоду службе внутреннего
аудита. Когда это случается, внутренние аудиторы могут полагаться на результаты (или на некоторые из
этих результатов) работы внешнего аудитора при условии, что руководитель внутреннего аудита
удовлетворен результатами работы внешнего аудитора.
Только потому, что работа была сделана внешним аудитором, еще не означает, что представляемая им
отчетная информация будет совершенной, и что внутренние аудиторы должны без вопросов полагаться
на выводы внешнего аудитора. Точно так же как внешний аудитор оценивает и анализирует работу
внутреннего аудита, так и внутренний аудитор вправе оценивать работу внешнего аудитора и проверять
сделанные им заключения. Подобная проверка потребует согласия со стороны внешнего аудитора и
является частью работы по выстраиванию взаимоотношений с внешними аудиторами, ответственность за
которые несет руководитель внутреннего аудита.
Контроль над рабочими документами аудиторов и их использование

Рабочие документы содержат описание всей работы и всех проверок, выполненных в ходе аудиторского
задания. Они служат основой для выводов и заключений аудиторов. По мере того как координация
работы внешних и внутренних аудиторов становится все более тесной, рано или поздно возникает
вопрос о принадлежности рабочих документов. Рабочие документы принадлежат той стороне, которая
их разработала и подготовила. Это означает, что рабочие документы по внешнему аудиту принадлежат
внешнему аудитору, а рабочие документы по внутреннему аудиту – внутреннему аудитору.
Следовательно, ни один внутренний аудитор, включая руководителя внутреннего аудита, не имеет

права передавать рабочие документы внешних аудиторов третьей стороне (даже если речь идет о
филиале или дочерней компании в составе одной и той же группы) без разрешения внешнего аудитора.
Руководитель внутреннего аудита может передавать копии рабочих документов внутреннего аудита
кому он посчитает нужным, однако внешний аудитор не вправе передавать рабочие документы,
принадлежащие службе внутреннего аудита, третьей стороне без разрешения внутреннего аудитора.
Примечание. В тех случаях, когда представители внешних организаций, не являющихся внешними

аудиторами, запрашивают доступ к рабочим документам внутренних аудиторов, руководитель
внутреннего аудита должен сначала получить согласие высшего исполнительного руководства и/или
юридической службы организации на их предоставление.
Оценка работы внешнего аудитора

Руководитель внутреннего аудита несет ответственность за координацию работы между внутренними и
внешними аудиторами и проводит оценку работы внешних аудиторов по запросу высшего руководства и
Совета. Такая оценка должна проводиться, по крайней мере, один раз в год и затрагивать следующее:
• профессиональные знания и опыт;
• независимость;
• знание отрасли, к которой принадлежит деятельность организации;
• наличие специализированных услуг;
• готовность удовлетворять запросы организации;
• уровень качества рабочих взаимоотношений;
• пользу, приносимую организации.
Руководитель внутреннего аудита должен доводить результаты такой оценки до высшего руководства и
Совета вместе с соответствующей информацией по результатам работы внешнего аудитора, включая
уместные комментарии по оценке деятельности внешних аудиторов.
Вопрос 1: Службу внутреннего аудита нередко просят координировать свою работу с работой
внешних аудиторов. Какая из перечисленных ниже сфер деятельности, вероятнее всего, будет
относиться исключительно к компетенции внешних аудиторов?
a) Оценка системы контроля при проведении инкассации и других подобных операций.
b) Выдача подтверждения относительно точности представления данных о кассовом остатке.
c) Оценка адекватности общей системы внутреннего контроля в организации.
d) Проверка функционирующей в организации системы, призванной обеспечивать соответствие

нормативно-правовым актам и положениям заключенных контрактов.
(Адаптировано из CIA)
Вопрос 2: Руководитель внутреннего аудита хочет встретиться с независимым внешним аудитором

для обсуждения возможности совместной работы в ходе предстоящего внешнего аудита пенсионного
плана организации. Раньше этот внешний аудитор выполнял всю работу по внешнему аудиту в
указанной области. Цель руководителя внутреннего аудита на этой встрече состоит в том, чтобы:
a) еще раз убедиться, что работа в данной области не может быть проделана силами только
внутренних аудиторов;
b) скоординировать работу внешнего аудита с тем, чтобы выполнить свои профессиональные

обязанности и не допустить дублирования работы независимого внешнего аудитора;
c) уточнить, остатки по каким счетам проверялись внешним аудитором с тем, чтобы внутренние
аудиторы организации могли проверить эффективность процедур внутреннего контроля для
подтверждения достоверности сведений об остатках на этих счетах;
d) определить, могут ли процедуры, методы и терминология, используемые внешним аудитором,

использоваться внутренними аудиторами для их соответствия тем, которые были использованы
при выполнении предшествующей работы, либо для их соответствия процедурам и методам,
используемым другими внутренними аудиторами.
Вопрос 3: Обмен информацией о ходе и результатах выполнения аудиторских заданий и

служебными письмами между внутренними и внешними аудиторами:
a) входит в обязанности руководителя внутреннего аудита по координации работы внешних и

внутренних аудиторов;
b) не соответствует обеспечению независимости внутреннего аудита, предусмотренной в

Стандартах;
c) является нарушением Кодекса этики внутренних аудиторов;
d) не рассматривается в Стандартах.
Координация действий с контрольно-надзорными органами

На некоторые отрасли распространяются более жесткие правила проведения аудита. Если речь идет о
компании, работающей в такой отрасли, то руководитель внутреннего аудита должен координировать
работу по проведению аудита с контролирующим органом, осуществляющим надзор за деятельностью
этой компании. Координация работ должна производиться с согласия совета директоров. Насколько
всесторонней окажется такая координация аудита, зависит от политики контрольно-надзорного органа.
Примечание. Классическими примерами таких регулируемых отраслей являются банковское дело,

страхование и энергоснабжающие компании. В большинстве стран компании этих отраслей являются
объектами жесткого регулирования и подлежат частым внешним аудиторским проверкам, которые
выполняются представителями регуляторов. Такой внешний контроль заставляет компании создавать
и поддерживать у себя сильные системы внутреннего контроля и службы внутреннего аудита.
Координация работы внутреннего аудита с контрольно-надзорными органами приносит пользу компании

в том смысле, что внутренние аудиторы имеют шанс предоставить свидетельства проверок соответствия
практик и процедур организации требованиям директивных указаний и нормативных актов посредством
демонстрации внутренних рабочих документов и других материалов.
Координация действий с другими внутренними поставщиками гарантий

Внутренний аудит – не единственная служба в организации, которая заинтересована в обеспечении
контроля. Как правило, в компании существуют и другие подразделения, также озабоченные состоянием
процессов контроля. Хотя участие этих подразделений во внутреннем контроле будет осуществляться
скорее с технической стороны, их меры по контролю могут «дополнять участие службы внутреннего
1
аудита в административных формах контроля». К таким службам и подразделениям относятся:
• служба безопасности, которая осуществляет контроль в отношении определенных нарушений

нормального процесса работы в организации;
• служба контроля качества, которая осуществляет контроль надежности продукции

компании, а также её соответствия техническим спецификациям;
• отдел по охране труда и технике безопасности, который осуществляет контроль в области

предупреждения несчастных случаев;
• производственно-технический отдел, который осуществляет контроль методов и процедур

эксплуатации.
1
Л.Б.Сойер. Внутренний аудит, 5-е изд., 2003, стр.970.
Очень важно, чтобы внутренние аудиторы поддерживали на должном уровне связь с перечисленными
службами и отделами в процессе организации и планирования аудиторских заданий. Вполне вероятно,
что, поддерживая надлежащий уровень взаимосвязи, внутренние аудиторы смогут получать от таких
служб и подразделений ценную информацию, которая поможет минимизировать «дублирование в сфере
2
надзора» и «выявлять области бизнеса, где может потребоваться особое внимание аудиторов».
Вопрос 4: Производя оценку функции или процесса, служба внутреннего аудита должна учитывать
результаты деятельности других подразделений компании, которые отвечают за анализ и проверку
работы этой функции или этого процесса, поскольку:
a) внутренний аудитор может оказать дополнительную техническую помощь подразделению;
b) внутренний аудитор может предоставить гарантию, что такие процесс или функция имеют
адекватный уровень контроля, без необходимости проведения дальнейшей проверки;
c) внутренний аудитор может разработать лучшие модели прогнозирования для менеджмента;
d) анализ и проверка контрольных процедур других подразделений могут снизить потребность в

охвате аудиторскими проверками определенных функций и процессов.
(Вопрос подготовлен компанией HOCK)
Вопрос 5: Какое из приведенных ниже утверждений о взаимоотношениях между внутренними и

внешними аудиторами является ложным?
a) Надзор за работой внешних аудиторов – это обязанность руководителя внутреннего аудита.
b) Должно быть запланировано достаточное число совещаний с участием внутренних и внешних

аудиторов, чтобы обеспечить своевременное и эффективное выполнение работы.
c) Внутренние и внешние аудиторы могут обмениваться между собой сообщениями о ходе и

результатах выполнения заданий и служебными письмами.
d) Внутренние аудиторы могут передавать внешним аудиторам рабочие программы и рабочие

документы по аудиторским заданиям.
Вопрос 6: Действие каких двух факторов в последние годы обусловило изменения в характере
взаимоотношений между внутренними и внешними аудиторами таким образом, что внутренние
аудиторы все в большей степени становятся партнерами внешних аудиторов, а не их подчиненными?
a) Возросшая ответственность внешних аудиторов и возрастающий профессионализм внутренних

аудиторов.
b) Возрастающий профессионализм внутренних аудиторов и развитие экономических аспектов

внешнего аудита.
c) Использование компьютерных систем бухгалтерского учета и развитие экономических

аспектов внешнего аудита.
d) Глобализация компаний, оказывающих аудиторские услуги, и возросшая доля организаций,

полагающихся в своей деятельности на компьютерные системы бухгалтерского учета.
2
Там же, стр.971.
Роль внутреннего аудита в процессе корпоративного управления CIA Часть 2
Роль внутреннего аудита в процессе корпоративного управления

Стандарт 2110: Корпоративное управление
Внутренний аудит должен давать оценку и соответствующие рекомендации по совершенствованию

корпоративного управления применительно к следующим задачам:
· популяризация этических норм и ценностей внутри организации;
· обеспечение эффективного управления деятельностью организации и ответственного отношения к

работе;
· передача соответствующей информации по вопросам рисков и контроля внутри организации;
· координация деятельности и обмен информацией между Советом, внешними и внутренними

аудиторами и исполнительным руководством организации.
Качество корпоративного управления всегда имело огромное значение для акционеров, высшего
руководства и совета директоров, но приобрело еще большее значение после драматического падения
таких компаний, как «Энрон», «УорлдКом», «Адельфия» и других в начале 2000-х годов. Эффективное
корпоративное управление не просто целесообразно, а является совершенно необходимым, поскольку
система корпоративного управления компании существует не сама по себе, а взаимосвязана с системой
внутреннего контроля и управления рисками. Последний мировой финансовый кризис, начавшийся в
2008 году, вновь поднял проблему эффективности корпоративного управления. Акционерным
компаниям было настоятельно рекомендовано усилить их документальную базу и активизировать
деятельность по проверке систем внутреннего контроля, что стало обязательным требованиям согласно
Статье 404 Закона Сарбейнса-Оксли и другим кодексам корпоративного управления, включая
Объединённый кодекс корпоративного управления (Великобритания). Внутренний аудит проявил
инициативу в этом направлении, добиваясь соблюдения этих требований. Вместе с тем, мировой
финансовый кризис 2008-09 гг. привлек внимание общественности к ещё одной очень важной проблеме
в области корпоративного управления – к этической культуре организаций. Это привело к тому, что
многие службы внутреннего аудита стали играть более активную роль в поддержке этических норм и
ценностей внутри организации, делая рекомендации высшему руководству и Советам по вопросам
корпоративного управления, в том числе по вопросам этики и этических ценностей.
Роль внутреннего аудита в развитии этической культуры организации

Стандартом 2110.A1 устанавливается, что «внутренний аудит должен оценивать дизайн, реализацию и
эффективность целей, программ и деятельности организации в вопросах, связанных с этикой». Другими
словами, служба внутреннего аудита является «глазами и ушами» высшего руководства, комитета по
аудиту и внешних аудиторов, и как таковая она может играть важную роль в процессе корпоративного
управления организацией.
Корпоративная культура играет исключительно важную роль в процессе формирования нравственно-

этического климата в организации. Хотя в значительной мере этот климат определяется поведением и
действиями руководителей организации, все сотрудники, и в особенности внутренние аудиторы, должны
быть защитниками этических ценностей. Благоприятная рабочая атмосфера и этическая культура в
организации должны поддерживаться положениями Кодекса поведения и Кодекса этики, принятыми в
организации.
Совместная ответственность за развитие этической культуры организации

Как отмечалось выше, все люди, так или иначе связанные с организацией, несут определенную долю
ответственности за уровень этической культуры в этой организации. Из-за сложности и расхождения
процессов принятия решений в разных компаниях всех работников необходимо вдохновлять становиться
сторонниками популяризации этических норм и ценностей внутри организации независимо от того,
выполняется ли это по официальному распоряжению или в результате неформальной деятельности.
Раздел А Роль внутреннего аудита в процессе корпоративного управления
Кодексы поведения и заявления о видении и политике являются важными декларациями организации в

отношении этических ценностей и целей, а также поведения, которое организация ожидает от своих
членов, и стратегий, направленных на создание и сохранение корпоративной культуры, идущей в русле
ее правовых, этических и социальных обязанностей и обязательств. Все большее число организаций
вводит штатную единицу главного должностного лица по этике (директора по вопросам этики), который
является советником для высшего исполнительного руководства, менеджеров и остальных сотрудников
организации по этическим вопросам и служит для всех её членов неким «эталоном» того, «как
поступать правильно».
Функция внутреннего аудита как защитника этических норм

Подразделение внутреннего аудита и внутренние аудиторы должны играть активную роль в поддержке
этических норм и ценностей внутри организации. Внутренние аудиторы пользуются высоким уровнем
доверия у сотрудников организации, обладают высокими моральными качествами и навыками, которые
позволяют им быть эффективными защитниками этической культуры организации. Притом они обладают
достаточной компетенцией и возможностью обращаться к руководителям и менеджерам, а также ко всем
остальным сотрудникам организации с призывами соблюдать любые правовые, этические и социальные
обязанности и обязательства организации.
В качестве защитника этических норм и ценностей организации внутренний аудит может исполнять
несколько разных ролей. Это может быть главное должностное лицо по вопросам этики (омбудсмен 3,
специалист по комплаенсу, советник руководства по вопросам этики или эксперт по вопросам этики);
член совета по внутрикорпоративной этике или специалист по оценке корпоративного нравственно-
этического климата. Однако в некоторых случаях роль директора по вопросам этики (если он есть в
компании) может противоречить условию соблюдения независимости деятельности внутреннего аудита.
Оценка нравственно-этического климата в организации

Внутренний аудит должен с регулярной периодичностью оценивать состояние нравственно-этического
климата в организации и также эффективность ее стратегии, тактики, коммуникаций и других процессов
по достижению желаемого уровня соответствия существующим правовым и этическим нормам. Понятие
«хороший нравственно-этический климат» подразумевает соблюдение следующих условий:
• наличие официального Кодекса поведения, написанного четким и понятным языком, а также

четких заявлений, обязательных процедур (включая процедуры, касающиеся мошенничества и
коррупции) и других наглядных проявлений стремления организации к достижению высокого
уровня этической культуры;
• постоянный обмен информацией по вопросам этики и демонстрация поведения и отношений,

соответствующих этическим нормам, со стороны наиболее авторитетных и влиятельных лидеров
организации;
• наличие четко сформулированных стратегий в поддержку развития корпоративной

нравственно-этической культуры и постоянно действующих программ, направленных на
подтверждение и усиление степени приверженности организации принципам этической
культуры;
• наличие доступных для сотрудников способов подачи заявлений о предположительно имевших

место нарушениях Кодекса поведения, политик организации и других нарушениях этических
норм и правил;
• регулярные подтверждения сотрудниками, поставщиками и потребителями своего понимания и

признания требований об этичном поведении при ведении дел с организацией;
3
Здесь: должностное лицо, которое рассматривает претензии и жалобы рядовых работников организации. (Прим.
переводчика).
Роль внутреннего аудита в процессе корпоративного управления CIA Часть 2
• установление четких полномочий с целью обеспечения того, чтобы последствия нарушений

этических норм оценивались, создавались условия для доверительных бесед, расследовались
заявления о неэтичном поведении членов организации, и по обнаруженным фактам нарушений
этических норм и результатам расследования формировалась необходимая отчетность;
• наличие доступа к обучающим программам, помогающим работникам организации становиться

приверженцами и защитниками этических норм;
• положительные примеры этичного поведения персонала организации, которые стимулируют

каждого работника вносить свой вклад в развитие и улучшение нравственно-этического
климата организации;
• регулярные опросы работников, поставщиков и потребителей с целью оценки состояния

нравственно-этического климата в организации;
• регулярный анализ формальных и неформальных процессов в организации, которые могут

приводить к возникновению напряженных ситуаций и личной предубеждённости, разрушающих
основы этической культуры;
• регулярные проверки рекомендаций и предыдущего опыта работы при найме работников,

включая тесты на честность, проверки на наркотическую зависимость и другие меры.
Написание четкого и ясного Кодекса поведения не обязательно является гарантией, что в организации
установятся более высокие стандарты этичного поведения. Вместе с тем, отсутствие Кодекса поведения
отнюдь не мешает внутреннему аудитору с успехом справляться с заданиями по проверке и оценке
соблюдения этических норм поведения, поскольку такое поведение уже могло быть зафиксировано в
документах компании. Внедрение мониторинга соответствия поведения работников этическим нормам
должно стать важным добавлением к существующему у организации Кодексу и другим документам,
фиксирующим этические нормы.
Образец Кодекса поведения приведен в Приложении A.
Раздел А Роль внутреннего аудита в процессе корпоративного управления
Вопрос 7: Руководители организации направили в службу внутреннего аудита запрос о проведении

аудита соблюдения недавно принятого корпоративного Кодекса поведения. В процессе подготовки к
выполнению задания внутренний аудитор проанализировал новый Кодекс поведения организации и
сравнил его с аналогичными кодексами нескольких других компаний сравнимого уровня и статуса. В
результате, аудитор пришел к заключению, что новый Кодекс поведения, принятый организацией,
имеет серьезные недостатки. Основываясь на данном заключении, аудитор должен:
a) запланировать проведение аудита с целью проверки выполнения предлагаемого руководством

Кодекса поведения и соответствия кодекса организации «образцам передовой практики»,
содержащимся в кодексах других компаний, поскольку это является наилучшим из имеющихся
критериев для сравнения;
b) доложить о характере недостатков в официальном отчете руководству организации;
c) проинформировать руководство организации о проблемах с новым кодексом и доложить о

нецелесообразности проведения порученного ему аудиторского задания до тех пор, пока не
будут внесены изменения и поправки в новый кодекс с учетом «образцов передовой
практики» в отрасли;
d) провести аудиторское задание в соответствии с запросом руководства организации, указав в

отчете только о выявленных фактах несоблюдения требований нового кодекса.
Вопрос 8: Что из перечисленного ниже относится к ключевым обязанностям, которые составляют

основу процесса корпоративного управления?
I. Соблюдение принятых в обществе нормативно-правовых актов.
II. Соответствие общепринятым деловым нормам, этическим принципам и социальным ожиданиям

общества.
III. Обеспечение общего преимущества для общества в целом и соблюдение интересов конкретных
заинтересованных групп как в долгосрочном, так и в краткосрочном плане.
IV. Оказание дополнительной помощи в консолидации финансовой отчетности.
a) Только варианты I и II.
b) Варианты I, II и IV.
c) Варианты I, II, III и IV.
d) Варианты I, II и III.
Функциональное назначение деятельности внутреннего аудита CIA Часть 2
Функциональное назначение деятельности внутреннего аудита

Функциональное назначение деятельности внутреннего аудита заключается в том, что подразделению
внутреннего аудита необходимо правильно осуществлять процесс планирования аудиторских заданий,
представлять план работы на утверждение высшему руководству и совету директоров организации,
обеспечивать наличие соответствующих и достаточных ресурсов (человеческих и финансовых) и, кроме
того, их эффективное использование для выполнения утвержденного плана. А также, периодически
отчитываться перед высшим руководством и Советом о ходе выполнения плана работы и информировать
о результатах выполнения аудиторских заданий. Руководитель внутреннего аудита должен эффективно
управлять подразделением внутреннего аудита, чтобы обеспечить его полезность для организации.
Ниже рассматривается роль внутреннего аудита в комплексном управлении рисками организации.
Планирование
Стандарт 2010: Планирование
Руководитель внутреннего аудита должен составить риск-ориентированный план, определяющий

приоритеты внутреннего аудита в соответствии с целями организации.
Руководитель внутреннего аудита составляет риск-ориентированный план, определяющий приоритеты

внутреннего аудита в соответствии с целями организации. В процессе оценки рисков руководитель
внутреннего аудита принимает во внимание концепцию управления рисками, принятую в организации,
включая использование определенных высшим руководством уровней риск-аппетита, установленных
для различных видов деятельности или подразделений организации. Если руководство еще не
разработало риск-профиль организации, руководитель внутреннего аудита применяет собственное
суждение о рисках, сформированное после консультаций с высшим руководством и Советом.
Общий процесс планирования включает четыре раздела, за подготовку которых отвечает руководитель
внутреннего аудита и которые охватывают:
• цели и планы деятельности внутреннего аудита;
• планы-графики работ/аудиторских заданий;
• штатные расписания и финансовые бюджеты;
• отчеты о проделанной работе.
Постановка целей деятельности внутреннего аудита

Цели подразделения внутреннего аудита должны быть:
• Конкретными – Цели должны быть четко и конкретно определены.
• Измеримыми – Должны быть определены критерии достижения цели. Без этого руководитель
внутреннего аудита (комитет по аудиту и совет директоров) не смогут оценить, достигнуты ли
поставленные цели и в какой степени, а также пользу от деятельности внутреннего аудита.
• Согласованными – Цели должны быть согласованы между всеми заинтересованными сторонами.

Заинтересованные стороны включают высшее исполнительное руководство и совет директоров.
• Реалистичными и Достижимыми – Цели должны быть реальными и выполнимыми. Иначе цели

будут излишними и ненужными.
• Определенными по времени – Достижение цели должно соотноситься с конкретным сроком.
Примечание. Как можно видеть, из начальных английских букв характеристик целей получается
слово SMART – Specific, Measurable, Agreed, Realistic, Timely (goals) – «умные» цели.
Раздел А Составление риск-ориентированного плана
Составление плана-графика аудиторских заданий

Составление планов-графиков выполнения работ является одной из главных обязанностей руководителя
внутреннего аудита – как общих планов проведения аудиторских проверок на уровне подразделения
внутреннего аудита в целом, так и планов выполнения работ по отдельным аудиторским заданиям.
Общий процесс планирования и график конкретных аудиторских заданий должен включать следующие
элементы:
• какие именно аудиторские задания должны быть проведены;
• когда они должны быть проведены;
• сколько времени потребуется на их выполнение, учитывая общий объем и содержание

работ, а также характер и объем сопутствующих работ, выполняемых другими лицами; и
• определение приоритетности выполнения аудиторских заданий.
Как только ответы на перечисленные вопросы будут найдены, можно начинать составление программы
запланированных аудиторских заданий. Ниже мы рассмотрим сначала вопросы определения перечня
планируемых аудиторских заданий, а затем перейдем к рассмотрению вопросов планирования отдельно
взятого аудиторского задания.
Составление риск-ориентированного плана

В конечном счете, именно руководитель внутреннего аудита должен принимать окончательное решение
о том, какие аудиторские задания будут выполняться. Принимая решение, руководитель внутреннего
аудита обязан учитывать множество разных факторов. Начальным шагом для такого анализа может
стать обновление аудиторской «вселенной», которая представляет собой перечень всех возможных
аудиторских заданий. Для того чтобы составить такой перечень, руководителю внутреннего аудита
необходимо провести встречи с высшим руководством и Советом и обсудить уровень рисков во всех
областях деятельности организации. Если деятельности внутреннего аудита в организации находится на
должном уровне, и если эта деятельность является в должной степени независимой и объективной, то
руководитель внутреннего аудита сможет принять решение по поводу перечня аудиторских заданий при
минимальном участии и вмешательстве со стороны высшего руководства и совета директоров.
При назначении приоритетов и установлении очередности проведения аудиторских заданий одним из

наиболее важных элементов является риск; иными словами, области деятельности с высоким уровнем
риска имеют преимущественное значение по отношению к областям деятельности с низким уровнем
риска. (В данном контексте под риском мы понимаем вероятность того, что цели и задачи, стоящие
перед организацией, не будут выполнены.) В матрице, представленной ниже, определение уровня риска
происходит с учетом вероятности его реализации и степени влияния, которое он может оказать на
деятельность организации. Матрица отражает приоритетность рисков при ограниченных ресурсах
внутреннего аудита. Высокой вероятности рисков отдается наивысший приоритет по сравнению со
средней вероятностью риска, независимо от степени влияния и финансовых последствий, а наименьший
приоритет получают риски с низкой вероятностью их реализации.
Вероятность, %
Низкая Средняя Высокая
Высокая (7) (4) (1)
Степень влияния Средняя (8) (5) (2)

(в денежном
выражении)
Низкая (9) (6) (3)
Составление риск-ориентированного плана CIA Часть 2
Прочие факторы, учитываемые при определении перечня аудиторских заданий

Именно соображения, касающиеся уровня оценки рисков организации, обычно находятся во главе угла
при определении приоритетов аудиторских заданий. Но уровень рисков организации является далеко не
единственным критерием ранжирования аудиторских заданий; имеются и другие факторы, а именно:
• период времени, прошедший с момента выполнения последнего аудиторского задания в данной

области (подразделении, направлении деятельности);
• наличие запросов со стороны высшего исполнительного руководства, комитета по аудиту или

других руководящих органов организации;
• взаимосвязь аудиторских заданий с проверками, проводимыми в рамках внешнего аудита;
• изменения в области бизнеса, деятельности, программ, систем и средств контроля организации;
• изменение ситуации в области управления рисками или в процедурах контроля;
• потенциальная польза, которая может быть получена в результате выполнения того или иного
аудиторского задания;
• изменения в практических навыках сотрудников внутреннего аудита (возможно, что новый

сотрудник будет обладать новыми, т.е. отсутствовавшими ранее в подразделении внутреннего
аудита навыками, или что проведенный тренинг способствовал появлению новых навыков у
штатного сотрудника), поскольку изменения в имеющихся навыках могут позволить проводить
новые типы аудиторских заданий.
Тем не менее, из всех приведенных выше факторов оценка рисков обычно считается самой важной.
Одной из особенностей оценки является проведение как количественной (числовой), так и качественной
(характеристической) оценки рисков. Количественные оценки включают денежную величину активов,
находящуюся под риском, либо потенциальные убытки. Качественные оценки включают такие аспекты,
как риски, связанные с мошенническими действиями, и степень важности того или иного подразделения
для функционирования организации в целом.
Одним из способов количественного измерения рисков в различных областях является умножение

денежной величины активов, находящейся под угрозой риска потерь, на процентную вероятность
наступления потерь. Таким способом руководитель внутреннего аудита может, например, установить,
что, несмотря на угрозу риска, которой подвержена наличность в кассе организации по причине
неадекватности мер, предпринимаемых для ее охраны, в целом, под угрозой риска находятся очень
небольшие суммы, поскольку единовременно в этой кассе находятся весьма незначительные суммы.
Принимая во внимание все эти факторы, можно прийти к выводу, что вопрос о наличности в кассе,
скорее всего, будет иметь меньший приоритет, чем какая-либо другая операция, которая имеет
меньшую вероятность риска потерь, однако размер понесенного ущерба окажется намного более
существенным.
Приведенное выше обсуждение было сосредоточено на денежном измерении риска. Однако существуют
и другие типы рисков, которые напрямую не связаны с денежной величиной активов компании, но
которые тоже подлежат оценке. Например, процедуры контроля (или, точнее, их недостаточность)
также могут представлять собой область повышенного риска, в которой следует провести проверку.
Следующий пример иллюстрирует, как руководитель внутреннего аудита может расставить приоритеты
для шести аудиторских заданий на основании трех факторов.
• Потенциальная способность аудиторского задания снизить риск для выполнения деятельности.
• Потенциальные преимущества, которые могут быть получены в результате выполнения

задания.
• Изменение обстоятельств в выполнении деятельности.
Руководитель внутреннего аудита оценивает значение каждого фактора по шкале (высокий / средний
/ низкий) (возможно применение и другой шкалы). Первый шаг в процессе определения приоритетов
состоит в оценке каждого аудиторского задания как показано в таблице.
Снижение уровня Потенциальные Изменение

Аудиторское риска преимущества обстоятельств
задание
1 Средний Средний Средний
2 Средний Низкий Низкий
3 Средний Средний Низкий
4 Средний Средний Высокий
5 Высокий Высокий Высокий
6 Высокий Высокий Средний
Затем руководитель внутреннего аудита может присвоить удельный вес каждому фактору посредством
присвоения условных значений. В этом примере мы присвоим условные значения следующим образом:
Уровень: Высокий / Средний / Низкий
Условное значение: 3 / 2 / 1
После этого руководитель внутреннего аудита может присвоить условное значение каждому из
факторов, посчитать общий балл и определить приоритеты аудиторских заданий.
Аудиторское Снижение Потенциальные Изменение Общий балл Уровень

задание уровня риска преимущества обстоятельств приоритета
1 Средний (2) Средний (2) Средний (2) 6 4
2 Средний (2) Низкий (1) Низкий (1) 4 6
3 Средний (2) Средний (2) Низкий (1) 5 5
4 Средний (2) Средний (2) Высокий (3) 7 3
5 Высокий (3) Высокий (3) Высокий (3) 9 1
6 Высокий (3) Высокий (3) Средний (2) 8 2
Примечание. Списки контрольных вопросов и анкеты часто используются в процессе оценки рисков.
Хотя эти инструменты весьма полезны, в их применении существуют и определенные недостатки, а
именно:
1) У штатных сотрудников может появиться ложное чувство самоуспокоенности, когда заполнение

списка контрольных вопросов завершено, и создается впечатление, что все аспекты учтены. Это
верно только в том случае, если такой перечень действительно охватывает все без исключения
области, которые могут быть подвержены рискам.
2) У работника, знакомящегося со списком контрольных вопросов, может создаться впечатление о

том, что все они имеют одинаковое значение.
3) Использование списка контрольных вопросов может ослаблять уровень профессионального

скептицизма и независимости суждений аудитора, который может придать большее значение
ответу на какой-то один вопрос в списке, а не более общей картине, частью которой должны
стать данные вопросы.
Вопрос 9: Какой из перечисленных ниже факторов не учитывается при составлении плана-графика

аудиторских заданий?
a) Рабочие программы аудиторских заданий.
b) Эффективность процессов контроля и управления рисками.
c) Требования к рабочей нагрузке (на человека).
d) Вопросы корпоративного управления в организации.
Вопрос 10: Какой (какие) из приведенных ниже комментариев справедлив(ы) по отношению к

оценке рисков, связанных с двумя проектами, только один из которых может быть предпринят в
условиях ограниченности ресурсов у службы внутреннего аудита?
I. Направления деятельности, в которых совет директоров посчитал необходимым провести

аудиторскую проверку, всегда должны считаться направлениями с более высокой степенью
риска, чем те направления, в которых проверка проводится по запросу исполнительного
руководства организации.
II. Направления деятельности, на проверку которых выделяются большие финансовые бюджеты,
должны всегда рассматриваться как направления с более высокой степенью риска, чем те
направления, для проверки которых выделяются меньшие бюджеты.
III. Риск всегда следует измерять путем оценки потенциального ущерба для организации в
денежной или иной форме.
a) Только вариант I.
b) Только вариант II.
c) Только вариант III.
d) Варианты I и III.
Вопрос 11: Руководитель внутреннего аудита, который готовит перечень аудиторских заданий на
следующий бюджетный год, имеет ограниченные ресурсы. При принятии решения о выборе между
подразделением материально-технического снабжения и подразделением управления персоналом в
качестве объекта будущего аудиторского задания, какой из перечисленных ниже факторов должен
иметь для руководителя внутреннего аудита наименьшее значение?
a) В работе одного из подразделений произошли коренные изменения.
b) В штат подразделения внутреннего аудита недавно был принят новый специалист с опытом
работы в одной из перечисленных областей.
c) У одного из подразделений больше возможностей получить выгоды от своей деятельности для

компании, чем у другого.
d) Уточненная оценка уровня риска в одном из подразделений значительно выше, чем в другом.
Вопрос 12: Какой из перечисленных факторов считается наименее важным при принятии решения о
целесообразности переброски ресурсов внутреннего аудита с текущего задания по подтверждению
нормативно-правового соответствия на задание по аудиту структурного подразделения, запрос о
котором был получен от руководства организации?
a) Вероятность мошенничества в деятельности, которая является предметом текущего задания.
b) Финансовый аудит указанного в запросе структурного подразделения, который был проведен

год назад внешним аудитором.
c) Рост уровня расходов, отмеченный в данном подразделении за последний год.
d) Вероятность крупного штрафа, который может быть наложен регулирующими инстанциями в

связи с деятельностью, являющейся предметом текущей аудиторской проверки.
Вопрос 13: На встрече с менеджерами службы внутреннего аудита руководитель внутреннего аудита
согласовывает план-график аудиторских заданий в рамках плана на будущий год. Какой из
перечисленных ниже методов будет гарантировать, что каждый из менеджеров получит адекватную
часть заданий и ресурсов, необходимых для их успешного выполнения?
a) Каждый из менеджеров самостоятельно отбирает задания, основываясь на собственных

предпочтениях по отношению к той или иной сфере деятельности и предпочтениях по работе с
теми или иными исполнительными руководителями.
b) Каждый из менеджеров выбирает задания исходя из общего количества рабочих часов,

имеющихся у них в распоряжении.
c) Задания распределяются среди менеджеров на основе результатов анализа рисков и

имеющихся у них навыков.
d) Полный перечень всех планируемых заданий вывешен для обозрения штатными сотрудниками,
и конкретные аудиторские задания распределяются с учетом их карьерных предпочтений и
заинтересованности в командировках.
Вопрос 14: Руководитель внутреннего аудита разработал электронную таблицу для упрощения
процесса оценки рисков, который затрагивает целый ряд различных подразделений организации. В
электронную таблицу внесены следующие факторы риска: 1) давление, которое оказывается на
руководителей подразделений с целью достижения установленных показателей прибыли; 2)
сложность операций; 3) уровень компетентности персонала подразделений; и 4) денежная сумма на
счетах подразделений, которые подвержены субъективному влиянию, в частности, счета, в
отношении которых управленческое суждение может повлиять на величину расходов, например,
пенсионные пособия.
На собрании менеджеров подразделения внутреннего аудита руководитель внутреннего аудита

достиг согласия по вопросу об уровне компетентности персонала подразделений.
Руководитель внутреннего аудита и менеджеры подразделения внутреннего аудита, ответственные

за проведение заданий в том или ином подразделении, оценили уровни других перечисленных
факторов как «высокий», «средний» или «низкий». Затем руководитель внутреннего аудита
присвоил весовой коэффициент каждому фактору в диапазоне от 0,5 до 1,0 и подсчитал суммарную
оценку рисков.
Какое из перечисленных ниже утверждений верно по отношению к процессу оценки рисков?
a) Анализ рисков был проведен неадекватно, поскольку в нем были смешаны количественные и
качественные факторы, в результате чего расчет ожидаемых значений риска оказался не
возможен.
b) Оценка факторов риска путем использования их дискретных уровней («низкий», «средний»,

«высокий») неадекватна для процесса анализа рисков, поскольку такие рейтинги не могут
подлежать точной количественной оценке.
c) Присвоение факторам весовых коэффициентов носит субъективный характер; следовало

использовать другой инструмент их оценки – множественный регрессионный анализ.
d) Использование субъективного группового консенсуса для оценки уровня компетентности

персонала является адекватным инструментом.
Вопрос 15: Внутренний аудитор собирается провести анализ рисков, результаты которого должны
стать основой для определения тех областей деятельности организации, в которых должны быть
проведены аудиторские проверки. Какое из приведенных ниже утверждений является верным в
отношении анализа рисков?
a) Степень, в которой требуется использование суждений руководства (а не абсолютно точной

информации) в той или иной области, является фактором риска, учитываемым внутренним
аудитором при проведении сравнительного анализа рисков.
b) Наибольший уровень риска всегда должен присваиваться той сфере деятельности, которая
подвержена риску наибольших потенциальных убытков.
c) Наибольший уровень риска всегда должен присваиваться той сфере деятельности, в которой
вероятность возникновения этого риска является самой высокой.
d) Анализ степени риска должен сводиться к количественной оценке, чтобы иметь возможность
провести целенаправленное сравнение различных подразделений и направлений деятельности
Раздел А Представление и утверждение планов и требуемых ресурсов
Представление и утверждение планов и требуемых ресурсов

Стандарт 2020: Представление и утверждение планов
Руководитель внутреннего аудита должен представлять на рассмотрение и утверждение высшему

исполнительному руководству и Совету планы работы внутреннего аудита с указанием ресурсов,
необходимых для их выполнения, а также информацию о существенных изменениях планов в течение
отчетного периода. Руководитель внутреннего аудита также должен сообщать о влиянии ограничений
в ресурсах на деятельность внутреннего аудита.
Руководитель внутреннего аудита должен обеспечивать рассмотрение и утверждение планов работы

внутреннего аудита с указанием необходимых для их выполнения ресурсов высшим руководством и
Советом. Он также должен сообщать о существенных изменениях планов в течение отчетного периода и
о влиянии ограничений в ресурсах на деятельность внутреннего аудита.
Планы работы внутреннего аудита направляются на рассмотрение и утверждение высшему руководству

и Совету ежегодно и должны включать основные положения годового плана работы внутреннего аудита,
планы-графики работ, штатное расписание и финансовый бюджет. Эта информация позволит высшему
руководству и Совету удостовериться, что цели и планы деятельности внутреннего аудита находятся в
соответствии с целями и планами деятельности организации и Совета, а также отвечают требованиям
Положения о внутреннем аудите.
Управление ресурсами
Стандарт 2030: Управление ресурсами
Руководитель внутреннего аудита должен обеспечивать наличие соответствующих и достаточных

ресурсов, а также их эффективное использование для выполнения утвержденного плана.
Руководитель внутреннего аудита несет главную ответственность за подбор профессиональных кадров

для штата внутренних аудиторов. Говоря о профессиональных кадрах, мы имеем в виду, что именно те
люди, которые нужны, занимают надлежащие штатные должности. Существует утверждение, что лучше
быть недоукомплектованными, чем нанимать неподходящих людей, которые могут быстро разрушить
доверие к подразделению внутреннего аудита.
Стандартом 2030 устанавливается, что ресурсы для внутреннего аудита должны быть «эффективными,
достаточными и эффективно использоваться». Термин «соответствующий» предполагает сочетание
знаний, навыков и других компетенций, необходимых для выполнения плана. Термин «достаточный»
относится к количеству ресурсов, необходимых для выполнения плана. И эти ресурсы используются
эффективно, если выполнение утвержденного плана достигается наиболее оптимальным образом.
Руководитель внутреннего аудита обязан осуществлять надзор за должным распределением сотрудников

подразделения внутреннего аудита по конкретным аудиторским проектам. Эта работа осуществляется с
учетом целей как в краткосрочной, так и в долгосрочной перспективе. В краткосрочной перспективе
необходимо обеспечить выполнение всех аудиторских проверок на самом высоком уровне, что требует
соответствующим образом подготовленных и квалифицированных внутренних аудиторов. В то же время,
для целей долгосрочного развития распределение работ между аудиторами должно производиться таким
образом, чтобы внутренние аудиторы получали новый опыт и имели возможность профессионального
развития.
Такой перспективный подход требует от руководителя внутреннего аудита иногда давать аудиторские
задания тем специалистам службы внутреннего аудита, которые пока не обладают всеми необходимыми
навыками и опытом для успешного выполнения этих заданий. В каждом из таких случаев руководитель
внутреннего аудита должен следить за тем, чтобы руководство этим заданием осуществлялось опытным
куратором, который при необходимости сможет обеспечить менее опытному аудитору достаточную
поддержку и направить его в верном направлении. Кроме того, этому аудитору может быть предложено
Управление ресурсами CIA Часть 2
пройти дополнительное обучение, либо ему могут быть предоставлены дополнительные ресурсы с целью
обеспечения необходимой помощи в процессе выполнения аудиторского задания.
Назначая внутренних аудиторов на конкретные аудиторские задания, руководитель внутреннего аудита

должен учитывать целый ряд факторов, а именно:
• сложность задания;
• достаточность имеющихся в распоряжении службы внутреннего аудита ресурсов;
• опыт (уровень квалификации) штатных сотрудников;
• потребности в дополнительном обучении и профессиональном развитии штатных сотрудников

внутреннего аудита.
Подбор и продвижение персонала

С вопросом кадрового обеспечения отдельных аудиторских заданий непосредственно связаны вопросы
найма квалифицированного персонала в штат внутреннего аудита и удержания этих работников в
организации. Необходимость участия руководителя внутреннего аудита в решении этих вопросов
очевидна, но при этом ему не обойтись и без участия подразделения по управлению персоналом. Когда
речь идет о приеме на работу штатных сотрудников, важнейшими критериями являются уровень
образования и опыт работы кандидата. Кандидат должен иметь определенные технические знания и
соответствующий уровень квалификации, чтобы успешно справляться с порученной работой. Это вовсе
не означает, что все принимаемые на работу штатные сотрудники должны иметь квалификацию
«Дипломированный внутренний аудитор» (CIA), однако должны быть свидетельства того, что кандидат
сможет выполнять работу аудитора. Это может подтверждаться их формальным образованием или
опытом кандидата на предыдущем месте работы, который был связан с выполнением обязанностей
внутреннего аудитора. Не все сотрудники внутреннего аудита должны быть
высококвалифицированными и опытными бухгалтерами, поскольку существует множество аудиторских
заданий, которые не связаны с бухгалтерской или финансовой отчетностью.
При приеме на работу необходимо учитывать такие способности кандидата, как умение передавать
информацию (в устной и письменной форме), а также его навыки межличностного общения в целом. Обе
эти характеристики являются критически важными элементами функции внутреннего аудита, поскольку
работник, имеющий технические знания, но не обладающий способностью работать с другими в одной
команде и передавать им имеющиеся у него знания, будет гораздо менее эффективен как внутренний
аудитор.
После того как штат подразделения внутреннего аудита укомплектован, следующим этапом в работе с
персоналом становится продвижение специалистов по карьерной лестнице и заполнение вакантных
более высоких должностей в подразделении. Когда возникает вакансия на ответственной должности, у
руководителя внутреннего аудита есть два варианта заполнить её. Он может пригласить специалиста,
работающего в организации, либо искать кандидата на освободившееся место за пределами компании.
Подбор кандидата на вакантную должность в подразделении внутреннего аудита из числа работников

организации зачастую может быть сделан быстрее (чем в случае, когда поиск кандидата ведется за
пределами организации). И, кроме того, это потребует от специалиста меньше времени на
«привыкание» к новому месту работы, поскольку сотрудник уже знаком с организационной средой, а
также политиками и процедурами, действующими в организации. Также, эта практика сопряжена с
меньшим риском, так как руководитель внутреннего аудита уже имел опыт совместной работы с данным
кандидатом, знает его возможности, сильные и слабые стороны. Наконец, подбор кандидатов внутри
организации является хорошим мотивирующим фактором для других сотрудников внутреннего аудита,
поскольку они будут знать, что хорошая работа в организации вознаграждается повышением в
должности. Вместе с тем, если на вакантную должность был принят «не тот» работник, либо если
человек получил продвижение по причинам, не связанным с его трудовыми навыками и умениями, то
Раздел А Управление ресурсами
подобная практика может оказать негативное влияние на других специалистов в подразделении

Прием на работу на вакантную должность сотрудника из числа кандидатов за пределами

организации сопряжен с большим риском, однако такая практика тоже имеет свои преимущества,
указанные ниже.
• Специалист «со стороны» принесет на данный участок работы и в организацию в целом новые
идеи и новое видение перспектив развития.
• Новичок может обладать навыками и опытом, которые отсутствовали в организации.
• Также возможно, что затраты на подготовку руководящих кадров для внутреннего аудита могут
быть снижены, поскольку предполагается, что человек имеет достаточную квалификацию и не
нуждается в дополнительном обучении.
Должностные инструкции
Важным элементом в подборе кадров и продвижении специалистов по службе являются должностные
инструкции. Должностные инструкции должны быть подготовлены в письменной форме и утверждены
для всех штатных должностей. Для каждой штатной должности в инструкции должны быть указаны
требования и необходимая квалификация. Наличие должностных инструкций и их использование в
процессе найма сотрудников делает этот процесс более спокойным и легким, поскольку каждый из
кандидатов на вакантную должность знает, что именно необходимо для продвижения по службе, и что
только специалисты с требуемым уровнем квалификации будут приняты на эту работу.
Наличие полных и подробных должностных инструкций помогает руководителю внутреннего аудита

оценить степень укомплектованности персонала в подразделении внутреннего аудита. Если работники
на всех должностях имеют квалификацию и практические навыки в соответствии с требованиями их
должностных инструкций, тогда подразделение внутреннего аудита будет считаться укомплектованным
надлежащим образом. Но если на некоторых должностях в подразделении внутреннего аудита работают
сотрудники, не имеющие соответствующей должностным инструкциям квалификации, то для решения
проблемы отсутствующих навыков потребуется либо повышение уровня профессиональной подготовки у
существующих недостаточно квалифицированных работников, либо дополнительный набор сотрудников,
обладающих нужными навыками.
Обучение, развитие персонала и оценка результатов деятельности

Кроме перечисленных выше обязанностей, руководитель внутреннего аудита также отвечает за
обучение и профессиональную подготовку сотрудников внутреннего аудита, оценку результатов их
деятельности и наставничество. Профессиональная подготовка проводится как в краткосрочных целях
(обучение персонала навыкам, необходимым при выполнении конкретного аудиторского задания), так и
в долгосрочных целях (расширение и повышение квалификации в плане долговременного развития
персонала). Работники рассматривают наличие системы профессиональной подготовки в организации
как ее преимущество, что позволяет говорить о такой системе как об отличном инструменте, важном для
найма перспективных работников.
В системе профессиональной подготовки во внимание должны приниматься индивидуальные интересы и

предпочтения, однако необходимо учитывать и другие обстоятельства. Это означает, что не исключена
вероятность ситуации, когда сотрудники будут проходить дополнительную подготовку в тех областях и
назначаться для выполнения тех заданий, которые не представляются им интересными. Не следует
забывать о том, что профессиональная подготовка должна не только приносить пользу сотрудникам,
которые проходят эту подготовку, но также должна помогать подразделению внутреннего аудита решать
определенные организационные задачи. Поэтому некоторые штатные сотрудники могут направляться на
обучение и профессиональную подготовку в тех областях, где для деятельности внутреннего аудита в
настоящее время требуются специфические навыки.
Управление ресурсами CIA Часть 2
Наставничество (или менторство) становится все более важным элементом в системе развития
персонала и повышения квалификации штатных сотрудников. Руководитель внутреннего аудита несет
ответственность за наставничество и помощь штатным сотрудникам службы внутреннего аудита в их
профессиональном и карьерном росте в организации. Это не значит, что руководитель внутреннего
аудита должен еженедельно проводить индивидуальные беседы с каждым сотрудником внутреннего
аудита, однако он должен вмешиваться в ситуацию по мере необходимости. В крупных аудиторских
подразделениях нередко существует официальная программа наставничества, и тогда руководитель
внутреннего аудита может быть ответственным за управление программой и надзор за ее исполнением.
Руководитель внутреннего аудита может также быть наставником для некоторых старших работников
подразделения внутреннего аудита.
Оценка результатов деятельности/аттестация сотрудников должна проводиться как минимум один

раз в год, а в случае необходимости и чаще. Аттестация сотрудников должна быть нацелена на оценку
тех навыков работника, которые необходимы ему для выполнения заданий и важны для успешной
работы внутреннего аудита в целом. Проведение аттестации сотрудников внутреннего аудита должно
рассматриваться как средство, позволяющее выявить слабые стороны и усовершенствовать работу
внутренних аудиторов. Оценка не должна основываться на личных пристрастиях и предубеждениях
руководителя и не должна включать факторы, которые не имеют отношения к работе оцениваемого
специалиста. Это особенно важно в тех случаях, когда оцениваются результаты работы специалиста в
рамках конкретного аудиторского задания, а не общие результаты его деятельности по итогам года.
Для проведения ежегодной аттестации все участвующие стороны должны иметь достаточно времени на
подготовку. Обычно в рамках такой подготовки аудитор и его менеджер заполняют специальные
оценочные листы и готовятся к беседе. Сама беседа должна быть запланирована таким образом, чтобы
ее участники имели достаточно времени для обсуждения и решения возникающих вопросов, а не
торопились поскорее закончить с оценкой из-за других дел.
Оценочные листы могут быть стандартной формы (и обычно бывают таковыми в крупных компаниях),
что позволяет сосредоточить внимание на тех областях, которые представляются наиболее важными для
оценки результатов деятельности конкретного работника. Однако для того, чтобы процесс оценки был
максимально эффективным, осуществляющему оценку руководителю необходимо тщательно продумать
все мелочи и избегать, в частности, общих комментариев, которые могут быть адресованы всем без
исключения работникам. В процессе оценки необходимо как можно чаще использовать конкретные
примеры и факты.
Вопрос 16: Важной частью плана развития и повышения квалификации персонала внутреннего
аудита должно быть обучение в процессе работы. Какое из перечисленных действий будет наиболее
важным с точки зрения получения новых знаний штатными внутренними аудиторами?
a) Ротация штатных внутренних аудиторов (т.е. назначение их на выполнение разнообразных

аудиторских заданий).
b) Развитие узкой специализации внутренних аудиторов в отдельно взятых областях за счет

направления одних и тех же специалистов для выполнения заданий в этих областях.
c) Предоставление штатным внутренним аудиторам права самостоятельного выбора проектов и

аудиторских заданий.
d) Прикрепление штатных внутренних аудиторов к определенному куратору-наставнику на

длительные периоды времени.
Раздел А Разработка политик и процедур
Вопрос 17: Наилучший способ для руководителя внутреннего аудита убедиться в том, что персонал
подразделения внутреннего аудита подготовлен для выполнения своих обязанностей, предполагает:
a) строго придерживаться существующих критериев найма и отбора кандидатов для работы в

подразделении внутреннего аудита;
b) обеспечивать наставничество/консультировать персонал внутреннего аудита по результатам

их работы и предоставлять возможности для соответствующего обучения;
c) использовать опытных внутренних аудиторов для осуществления тщательного надзора за

выполнением заданий сотрудниками;
d) проводить формальные оценки результатов работы аудиторов после завершения каждого

задания.
Разработка политик и процедур

Стандарт 2040: Политики и процедуры
Руководитель внутреннего аудита должен внедрить внутренние политики и процедуры,

регулирующие деятельность подразделения внутреннего аудита.
Еще одной обязанностью руководителя внутреннего аудита является разработка политик и процедур,
регулирующих деятельность подразделения внутреннего аудита, и которыми должен в своей работе
руководствоваться каждый внутренний аудитор. Эти политики и процедуры играют ключевую роль для
штатных аудиторов, так как помогают им соблюдать требования стандартов деятельности внутреннего
аудита. Форма и содержание, а также уровень формализации политик и процедур зависят от размера и
структуры подразделения внутреннего аудита и от сложности выполняемой им работы. В небольших
службах внутреннего аудита, работающих в структурно простой организации, формализации политик и
процедур обычно уделяется меньше внимания, чем в многонациональной компании, функционирующей
в сложной экономической среде.
В небольших службах внутреннего аудита обычно превалирует неформальный стиль управления.

Руководство и контроль осуществляются посредством встреч и внутренней переписки. В крупных
службах внутреннего аудита, где контакты между руководителями и их подчиненными не носят
постоянного характера, наличие формализованных и детализированных политик и процедур в качестве
руководства для персонала в своей повседневной работе является необходимым.
Вопрос 18: Политики и процедуры, касающиеся управления службой внутреннего аудита, должны:
a) обеспечивать соблюдение требований стандартов деятельности;
b) учитывать структуру подразделения внутреннего аудита и сложность выполняемой им работы;
c) приводить к стабильным результатам работы внутреннего аудита;
d) предписывать формат и порядок передачи аудиторской отчетности по результатам выполнения

заданий и классификацию замечаний аудиторов.
Разработка политик и процедур CIA Часть 2
Вопрос 19: В большинстве случаев служба внутреннего аудита должна иметь документально
оформленные политики и процедуры, чтобы обеспечивать стабильность и высокое качество своей
работы. Исключение из этого правила имеет непосредственное отношение к:
a) процессу построения организационной структуры;
b) характеру разделения труда;
c) размеру службы внутреннего аудита;
d) сфере полномочий.
Раздел А Отчетность перед высшим исполнительным руководством и Советом
Отчетность перед высшим исполнительным руководством и Советом

Стандарт 2060: Отчетность перед высшим исполнительным руководством и Советом
Руководитель внутреннего аудита должен периодически отчитываться перед высшим исполнительным

руководством и Советом о целях, полномочиях и обязанностях внутреннего аудита, а также о ходе
выполнения плана работы. Отчет должен также содержать информацию о существенных рисках и
проблемах контроля, включая риски мошенничества, проблемах корпоративного управления, другие
сведения, необходимые высшему исполнительному руководству и Совету.
Периодичность представления отчетности и ее содержание определяются в ходе обсуждений с высшим

исполнительным руководством и Советом и зависят от важности сообщаемой информации и срочности
действий, требуемых со стороны высшего исполнительного руководства и Совета. Существует два типа
отчетов, которые руководитель внутреннего аудита готовит для высшего руководства и Совета: один
касается выполнения плана деятельности (отчеты о проделанной работе), а другой содержит описание
обнаруженных недостатков (отчеты об оценке).
Отчеты о проделанной работе

Руководителю внутреннего аудита необходимо периодически представлять на рассмотрение высшего
руководства и Совета отчеты о проделанной работе, которые должны представляться не реже одного
раза в год либо чаще, если объем работы или содержание аудиторских проверок являются объектами
более пристального внимания Совета. Это может иметь место в том случае, когда аудит проводится в тех
областях бизнеса, которые подвержены высокой степени риска, и Совет захочет иметь оперативные
сведения о ходе выполнения таких заданий.
Отчеты о проделанной работе должны:
• направляться высшему руководству и Совету предпочтительно в письменной форме;
• включать существенные замечания, сделанные по ходу аудиторских проверок (аудиторские

замечания являются существенными, если, по мнению руководителя внутреннего аудита,
описанные в них недостатки могут отрицательно повлиять на деятельность всей организации);
Примечание. Существенные замечания и рекомендации по результатам аудиторских заданий

обычно сначала обсуждаются с заинтересованным подразделением, и информация о мерах,
предпринятых с целью устранения выявленных недостатков, также включается в отчеты,
представляемые в совет директоров руководителем внутреннего аудита.
• включать рекомендации по результатам выполнения аудиторских заданий;
• содержать информацию по сопоставлению запланированных аудиторских заданий с фактически

выполненными заданиями (и причины невыполнения запланированных заданий должны быть
указаны в отчетах);
• содержать информацию по сравнению фактических результатов деятельности подразделения

внутреннего аудита с намеченными целями и графиками работ;
• содержать анализ фактических расходов в сравнении с запланированными в бюджете

затратами (в отчетах должны указываться причины существенных расхождений между
фактическими и запланированными расходами, а также предпринятые или необходимые в
отношении данных отклонений действия).
Примечание. Отчет о проделанной работе должен предоставляться Совету и другим получателям до

начала заседания. Это позволит директорам и высшему руководству прочитать и лучше понять отчет,
а также подготовиться к его обсуждению на заседании.
Отчетность перед высшим исполнительным руководством и СоветомCIA Часть 2
Руководитель внутреннего аудита должен с осторожностью относиться к объему этих отчетов, поскольку
они могут стать настолько пространными, что будет утрачена их основная цель – содержать краткий
итог результатов деятельности подразделения внутреннего аудита. Отчеты могут быть представлены
просто в виде перечисления всех мероприятий, выполненных подразделением внутреннего аудита.
Существенные замечания по аудиторским заданиям

Аудиторские замечания являются существенными, если, по мнению руководителя внутреннего аудита,
описанные в них недостатки могут отрицательно сказаться на организации. Например, существенные
замечания по аудиторским заданиям могут включать обстоятельства, связанные с мошенничеством,
нарушениями правил, незаконными действиями, ошибками, неэкономичностью и неэффективностью,
потерями, конфликтами интересов и уязвимостью системы внутреннего контроля. После обсуждения
таких недостатков с высшим руководством, руководитель внутреннего аудита должен информировать
Совет о решениях, принятых высшим руководством по внедрению аудиторских рекомендаций в целях
устранения выявленных недостатков независимо от того, были ли устранены эти недостатки или нет.
Ответственность высшего руководства за принятие решений в отношении существенных

замечаний и рекомендаций по аудиторским заданиям
Внутренний аудитор должен только предоставлять информацию по всем существенным замечаниям и
рекомендовать предпочтительные и возможные альтернативные действия. Внутренний аудитор может
давать рекомендации по исправлению обнаруженных нарушений, однако внутренний аудитор не может
принимать решение по поводу того, какое именно действие следует предпринять. Высшее руководство
несет ответственность за принятие решений о соответствующих действиях, которые следует
предпринять в отношении существенных замечаний и рекомендаций аудиторов. Высшее руководство
может принять риск неисправления обнаруженного нарушения, принимая во внимание затраты или
другие причины. Совет должен быть проинформирован о принятых высшим руководством решениях в
отношении всех существенных замечаний и рекомендаций по аудиторским заданиям.
Повторное информирование Совета о существенных замечаниях и рекомендациях по

аудиторским заданиям
Руководитель внутреннего аудита решает, следует ли вновь информировать Совет о существенных
замечаниях и рекомендациях по аудиторским заданиям в тех случаях, когда высшее руководство и
Совет приняли риск неисправления обнаруженного нарушения. В том случае, когда Совет осознает риск
неисправления обнаруженного нарушения и принял решение о его неисправлении, то руководителю
внутреннего аудита, скорее всего, нет необходимости каждый год отражать этот вопрос в отчете о
проделанной работе. Однако необходимость снова включить в отчет описание этого нарушения может
возникнуть в том случае, когда в структуре организации, в составе совета директоров или высшего
руководства происходят существенные изменения, чтобы новый состав высшего руководства и совета
директоров мог определить наиболее целесообразный курс действий.
Взаимоотношения с комитетом по аудиту

Эффективное функционирование системы корпоративного управления зависит от синергии между ее
четырьмя основными компонентами:
• советом директоров;
• высшим руководством;
• внутренними аудиторами;
• внешними аудиторами.
В рамках такой структуры корпоративного управления внутренний аудит и комитет по аудиту оказывают
взаимную поддержку друг другу. Внутренние аудиторы – это «глаза и уши» комитета по аудиту. Они
являются доверенными советниками и экспертами комитета. Соответственно, взаимоотношения между
руководителем внутреннего аудита и комитетом по аудиту должны строиться вокруг ключевой роли
руководителя внутреннего аудита. Эта роль заключается в том, чтобы гарантировать и следить за тем,
что комитет по аудиту понимает значение и поддерживает деятельность внутреннего аудита и, в свою
очередь, получает от внутреннего аудита любую необходимую помощь и содействие.
Ключ к успеху во взаимоотношениях между Советом, высшим руководством, внутренними аудиторами и

внешними аудиторами – это три указанные задачи, которые возлагаются на руководителя внутреннего
аудита.
• Оказание эффективного содействия комитету по аудиту с тем, чтобы Положение о комитете по

аудиту, деятельность и процедуры отвечали выполнению его обязанностей.
• Обеспечение условий, при которых Положение о внутреннем аудите, роль и деятельность

внутреннего аудита полностью понятны и отвечают потребностям комитета по аудиту и Совета.
• Поддержание открытых, действенных контактов и эффективной коммуникации с комитетом по

аудиту и его председателем.
Помощь руководителя внутреннего аудита комитету по аудиту

Руководитель внутреннего аудита должен оказывать содействие комитету по аудиту с тем, чтобы
Положение о комитете по аудиту, деятельность и процедуры отвечали выполнению его обязанностей.
Руководитель внутреннего аудита может играть важную роль для комитета по аудиту, помогая ему
проводить периодический анализ деятельности и предлагая меры по ее совершенствованию. В этом
смысле руководитель внутреннего аудита является для комитета по аудиту ценным советником.
Примерами обязанностей, которые может брать на себя руководитель внутреннего аудита, являются:
• Обзор Положения о комитете по аудиту не реже одного раза в год с последующим сообщением
комитету своих выводов о том, в какой степени это Положение соответствует обязанностям,
возложенным на комитет по аудиту советом директоров. Обращение в комитет по аудиту по
вопросу рассмотрения и утверждения Положения о внутреннем аудите организации (не реже
одного раза в год).
• Ведение планируемой повестки дня заседания комитета по аудиту. В повестку дня должны быть
включены все обязательные направления деятельности комитета, текущее состояние или итоги
деятельности. Это помогает комитету по аудиту отчитываться совету директоров о выполнении
возложенных на него обязанностей.
• Подготовка повесток дня заседаний комитета по аудиту для утверждения их председателем.
Оказание помощи в передаче материалов для рассмотрения на заседании комитета по аудиту
его членам. Ведение протоколов заседаний комитета по аудиту.
• Содействие комитету по аудиту в проведении периодических проверок своей деятельности и
методов работы в сравнении с образцами современной передовой практики с целью убедиться,
что работа комитета по аудиту соответствует таким образцам.
• Организация встреч с председателем комитета по аудиту для обсуждения вопросов,
касающихся того, в какой мере материалы и информация, предоставляемые членам комитета,
соответствуют их потребностям.
• Выяснение мнения комитета по аудиту о целесообразности организации рабочих заседаний и
презентаций в образовательных или информационных целях (например, в целях повышения
профессиональной подготовки новых членов комитета по аудиту в сфере управления рисками и
внутреннего контроля).
• Выяснение мнения членов комитета по аудиту о том, устраивают ли их существующая частота и
продолжительность заседаний.
Отчетность перед высшим исполнительным руководством и СоветомCIA Часть 2
Связь с комитетом по аудиту

Эффективность взаимоотношений между руководителем внутреннего аудита и комитетом по аудиту в
значительной степени будет зависеть от того, насколько хорошо организована связь между ними. В
настоящее время комитеты по аудиту ожидают высокую степень открытости и прямоты в отношениях со
службой внутреннего аудита. Руководитель внутреннего аудита может быть надежным советником для
членов комитета по аудиту только при эффективно построенных взаимоотношениях. В соответствии со
своим определением, внутренний аудит имеет возможность помогать комитету по аудиту выполнять
поставленные задачи путем реализации системного и регламентированного подхода к его деятельности.
Однако это возможно только при условии эффективного обмена информацией.
«Налаживанию связи» между руководителем внутреннего аудита и комитетом по аудиту способствуют

следующие условия:
• регулярные встречи с комитетом по аудиту в неофициальном порядке для обсуждения вопросов

конфиденциального характера;
• представление в комитет по аудиту ежегодного итогового отчета или оценки по результатам

деятельности службы внутреннего аудита применительно к поставленным задачам и объему
аудиторских заданий;
• подготовка периодических отчетов о результатах работы внутреннего аудита для комитета по

аудиту и высшего руководства организации;
• своевременное информирование членов комитета по аудиту о новых тенденциях и образцах

передовой практики в области внутреннего аудита;
• обсуждение совместно с внешними аудиторами вопросов удовлетворения информационных

потребностей комитета по аудиту;
• осуществление проверок поступающей в комитет по аудиту информации на предмет её полноты

и точности;
• подтверждение существования действенной и эффективной координации работы внутренних и

внешних аудиторов, а также проверка на наличие дублирования в деятельности внутренних и
внешних аудиторов (и объяснение причин такого дублирования).
Вопрос 20: Подготовленный руководителем внутреннего аудита отчет о проделанной работе не

должен:
a) перечислять существенные замечания и рекомендации по важным аудиторским заданиям;
b) содержать сопоставление запланированных заданий с фактически выполненными заданиями;
c) перечислять ситуации, которые не были исправлены;
d) содержать сведения о еженедельных итогах работы каждого внутреннего аудитора.
Вопрос 21: Итоговый годовой отчет о выполненных аудиторских заданиях, который руководитель
внутреннего аудита направляет высшему руководству и Совету, должен:
a) содержать обсуждение административных условий, в которых служба внутреннего аудита

осуществляет свою деятельность;
b) информировать руководителей организации об объемах предполагаемых аудиторских заданий

на следующий год;
c) содержать информацию о статусе и степени выполнения службой внутреннего аудита плана

аудиторских заданий;
d) делать акцент на количестве существенных замечаний внутренних аудиторов по аудиторским

заданиям.
Вопрос 22: Какое из перечисленных ниже направлений деятельности комитета по аудиту способно
принести наибольшую пользу деятельности службы внутреннего аудита?
a) Анализ и утверждение рабочих программ аудиторских заданий.
b) Гарантирование, что внешний аудитор будет полагаться на работу внутреннего аудита во всех
случаях, когда это будет возможно.
c) Проверка и утверждение всей информации в рамках аудиторских заданий, исходящей от

службы внутреннего аудита, до её фактической передачи адресатам.
d) Поддержка мониторинга реализации рекомендаций службы внутреннего аудита.
Вопрос 23: Традиционно служба внутреннего аудита имеет двойную систему взаимоотношений с
руководством компании и комитетом по аудиту. Это означает, что:
a) руководство компании должно оказывать помощь службе внутреннего аудита в проверке и

направлении отчетности по результатам выполнения заданий в адрес комитета по аудиту;
b) служба внутреннего аудита должна напрямую передавать отчеты комитету по аудиту без
подтверждения отчетной информации высшим руководством;
c) точность отчетной информации по результатам выполнения аудиторских заданий должна быть

подтверждена соответствующими руководителями, и только после этого служба внутреннего
аудита должна направлять отчеты руководству и комитету по аудиту;
d) в идеальном случае служба внутреннего аудита работает под руководством комитета по

аудиту, но при этом отчитывается исполнительному директору по основной деятельности по
всем аудиторским заданиям, имеющим отношений к основной деятельности.
Внешний поставщик услуг и ответственность за внутренний аудит CIA Часть 2
Внешний поставщик услуг и ответственность за внутренний аудит

Стандарт 2070: Внешний поставщик услуг и ответственность за внутренний аудит
Внешний поставщик услуг, осуществляющий внутренний аудит, обязан уведомить проверяемую

организацию об ответственности последней за обеспечение эффективного функционирования
До этих пор мы обсуждали деятельность внутреннего аудита только в его традиционном виде в качестве
структурного подразделения организации. В то же время, возможна частичная или полная передача
функций подразделения внутреннего аудита внешнему поставщику услуг. Согласно Стандарту 2070
устанавливается, что внешний поставщик услуг, осуществляющий внутренний аудит, обязан уведомить
проверяемую организацию о её ответственности за обеспечение эффективного функционирования
внутреннего аудита. Эффективность деятельности внешнего поставщика услуг может оцениваться при
помощи использования Программы гарантии и повышения качества, которая рассматривалась ранее в
учебном пособии по Части 1 экзамена.
Согласно положениям закона Сарбейнса-Оксли (SOX), компании, акции которых котируются на биржах,
обязаны иметь функцию внутреннего аудита, тем не менее, закон не уточняет, должна ли эта функция
быть штатной, или она может осуществляться внешним поставщиком услуг. Для привлечения внешнего
поставщика услуг внутреннего аудита могут быть следующие причины:
• экономия времени на решение кадровых вопросов (подбор, оценка, повышение квалификации),
• возможность быстрого начала проведения аудиторских проверок,
• возможность получения доступа к большому количеству профессиональных навыков и умений,
• потенциально большая степень независимости и объективности в связи с тем, что внутренние

аудиторы не будут являться сотрудниками организации.
В большинстве случаев услугами внешних поставщиков для проведения внутреннего аудита пользуются
компании малого и среднего бизнеса. Основным недостатком привлечения внешних поставщиков
для проведения внутреннего аудита является недостаточное знание такими поставщиками особенностей
режима деятельности организации. Кроме того, деятельность внутренних аудиторов призвана приносить
пользу организации, но эта польза будет ограничена в случае привлечения внешних поставщиков для
проведения внутреннего аудита и неполноценного взаимодействия с высшим руководством и Советом.
Книги компании HOCK international разрешены только для индивидуального

пользования, их копирование, продажа, передача во временное пользование и
распространение иным образом без разрешения HOCK international запрещены.
Если вы получили этот экземпляр книги не напрямую от HOCK international, то это

не подлинный учебник компании HOCK. Используя оригинальные издания НОСК, вы
используете самые последние, полные и точные материалы. Книги, приобретенные из
неуполномоченных источников, могут не содержать последних изменений. Они не имеют
доступа к нашей онлайновой библиотеке и доступа к преподавателям НОСК.
Если вы приобрели этот экземпляр в HOCK international или в авторизованном

учебном центре, то на обложке книги должен быть логотип «НОСК» оранжевого
цвета на фоне глобуса с индивидуальным номером. Если у приобретенной вами
книги нет обложки или логотипа «HOCK», то ваш экземпляр не является оригиналом. В
таком случае, пожалуйста, сообщите нам о вашей покупке, и мы поможем вам приобрести
оригинал.
Раздел А Роль внутреннего аудита в процессе управления рисками
Роль внутреннего аудита в процессе управления рисками

Управление рисками является ключевой обязанностью руководства организации, однако внутренний
аудитор играет свою роль в этом процессе. Внутренние аудиторы, выступая в роли консультантов, могут
помочь высшему руководству, комитету по аудиту и Совету в проверке, оценке и совершенствовании
достаточности и эффективности систем управления рисками и внутреннего контроля. Руководствуясь
выводами и рекомендациями внутреннего аудитора по результатам выполнения аудиторского задания,
высшее руководство и Совет могут осуществлять контроль, определяя, существуют ли необходимые
процессы управления рисками и контроля и являются ли эти процессы адекватными и эффективными.
Оценка процессов управления рисками, формирование отчетности и/или разработка рекомендаций по

повышению адекватности и эффективности процессов управления рисками является одной из наиболее
приоритетных областей для внутреннего аудита. Ожидания высшего руководства и Совета, касающиеся
роли внутреннего аудита в процессах управления рисками и контроля, должны быть четко отражены в
Положении о подразделении внутреннего аудита. Эта роль будет подвержена влиянию таких факторов,
как культура организации, уровень квалификации внутренних аудиторов, местные условия и традиции
страны.
Если внутренние аудиторы обнаруживают факторы риска во время любой аудиторской проверки, они
должны определить степень подверженности риску, даже если это и не было целью текущей проверки.
Важно помнить, что роль внутреннего аудита в процессе управления рисками не является раз и
навсегда зафиксированной и (скорее всего) будет меняться с течением времени. В соответствии с
Практическим указанием 2120-1 (Оценка адекватности процессов управления рисками), роль
внутреннего аудита в процессах управления рисками организации может сводиться к следующей
степени вовлеченности:
• аудит процессов управления рисками как часть плана деятельности внутреннего аудита;
• активная постоянная поддержка и вовлеченность в процессы управления рисками (например,

участие в надзорных комитетах, процессах мониторинга, формировании отчетности о состоянии
процесса);
• управление и координация процессов управления рисками (в этом случае внутренний аудитор

не принимает на себя ответственности за фактический риск, он несет ответственность только за
процесс управления);
• отсутствие роли.
Определение роли внутреннего аудита в процессах управления рисками осуществляется, в конечном

счете, высшим руководством и Советом.
Оценка адекватности процессов управления рисками

Согласно Стандарту 2120.A1, «внутренний аудит должен оценивать риски, связанные с корпоративным
управлением, операционной деятельностью организации и её информационными системами, в части:
• достижения стратегических целей организации;

• достоверности и целостности информации о финансово-хозяйственной деятельности;
• эффективности и результативности операций и программ;
• сохранности активов;
• соответствия требованиям законов, нормативных актов, политики, процедур и договорных
обязательств».
У каждой организации имеются свои особенности, в частности, собственная методология осуществления

процесса управления рисками. Внутренний аудитор должен убедиться в том, что ключевые группы
организации, включая совет директоров и комитет по аудиту, одинаково понимают эту методологию.
Роль внутреннего аудита в процессе управления рисками CIA Часть 2
Чтобы сделать заключение об адекватности процессов управления рисками, внутренние аудиторы

должны убедиться в достижении указанных пяти ключевых целей процессов управления рисками.
• Риски, которые могут появиться в процессе реализации бизнес-стратегии и осуществлении

деятельности организации, выявляются и оцениваются.
• Высшее руководство и Совет определили приемлемый уровень риска для организации (то есть,
определили риск-аппетит).
• Выбираются такие меры реагирования на риски, которые позволяют удерживать риски в рамках
риск-аппетита организации.
• Риски регулярно переоцениваются.
• Результаты оценки рисков периодически направляются исполнительному руководству и Совету.
Служба внутреннего аудита должна оценить степень выполнения данных целей, чтобы сформировать и
выразить мнение об адекватности процессов управления рисками в организации. Эта задача должна
выполняться службой внутреннего аудита не только в ходе проведения отдельных проверок, а
напротив, она должна выполняться в ходе проведения всех проверок. Аудиторы должны постоянно
осуществлять поиск признаков существования проблем или причин для беспокойства в сфере
управления рисками.
Для формирования (выражения) мнения об адекватности процессов управления рисками внутренним

аудиторам необходимо получить достаточные, должные доказательства в отношении того, что ключевые
цели процессов управления рисками достигаются. В процессе получения этих доказательств внутренний
аудитор может использовать следующие аудиторские процедуры:
• исследование и анализ соответствующих справочных материалов и базовой информации по

методологии управления рисками, которые могут служить основой для оценки адекватности
процессов управления рисками организации и их соответствия образцам передовой практики в
отрасли;
• исследование и анализ текущих разработок, тенденций, отраслевой информации, касающейся

деятельности организации, и других уместных источников информации, чтобы определить
риски и их последствия, которые могут повлиять на организацию, и соответствующих
контрольных процедур, используемых для реагирования на риски, их мониторинга и
переоценки;
• анализ корпоративной политики и протоколов заседаний Совета и комитета по аудиту, чтобы

понять стратегию организации, философию и методологию управления рисками, риск-аппетит и
условия принятия рисков;
• анализ предыдущих отчетов об оценке рисков, подготовленных руководством, внутренними и

внешними аудиторами или из других источников;
• проведение опроса линейных и высших руководителей для определения целей бизнес-

единицы, соответствующих рисков и используемых руководством методов снижения рисков и
процедур мониторинга системы внутреннего контроля;
• обработка информации с целью независимой оценки эффективности процедур снижения

рисков, мониторинга и информирования о рисках и соответствующих контрольных процедурах;
• оценка адекватности системы подотчетности по вопросам мониторинга рисков;
• оценка адекватности и своевременности отчетности о результатах управления рисками;
• проверка полноты анализа рисков, проведенного руководством, и действий, предпринятых для

устранения недостатков, выявленных в процессе управления рисками, и предложений по
улучшениям;
Раздел А Роль внутреннего аудита в процессе управления рисками
• определение эффективности осуществляемых руководством процессов самооценки путем

осуществления наблюдений, прямого тестирования контрольных процедур и мониторинга,
проверки надежности информации, используемой в процессах мониторинга, и применения
других соответствующих методов;
• проверка других, связанных с рисками проблем, которые могут указывать на недостатки

практики управления рисками, и, при необходимости, обсуждение их с высшим руководством,
комитетом по аудиту и Советом. Если, по мнению аудитора, принятый руководством уровень
риска не соответствует стратегии и политике организации в отношении управления рисками,
или такой риск неприемлем для организации, ему при дальнейших действиях следует
руководствоваться Стандартом 2600 (Информирование о принятых рисках) и соответствующими
указаниями.
К сожалению, оценка рисков не всегда может быть выполнена по конкретной формуле или измерена
количественно. Успешная оценка рисков очень часто основывается на профессиональных суждениях и
опыте внутренних аудиторов и руководителя внутреннего аудита.
Методы, используемые различными организациями в практике управления рисками, могут существенно

различаться. Исходя из масштабов и сложности деятельности организации, процессы управления
рисками могут быть:
• формальными или неформальными;
• количественными или субъективными;
• внедренными в бизнес-единицах или централизованными на корпоративном уровне.
Организация выстраивает процессы в соответствии со своей культурой, стилем управления и целями

деятельности. Например, использование организацией деривативов или других сложных инструментов
рынков капитала может потребовать использования количественных методов управления рисками.
Менее крупные и сложные организации могут создавать неформальный комитет по рискам для
обсуждения профиля рисков организации и инициирования регулярных корректирующих действий.
Внутренний аудитор определяет, является ли выбранная организацией методология достаточно полной
и соответствующей характеру деятельности организации.
Вопрос 24: Чтобы сделать заключение об адекватности процессов управления рисками, внутренние
аудиторы должны убедиться в достижении пяти ключевых целей процессов управления рисками Что
из перечисленного ниже не относится к числу ключевых целей процесса управления рисками?
a) Риски, которые могут появиться в процессе реализации бизнес-стратегии и осуществлении

деятельности организации, выявляются и оцениваются.
b) Выбираются такие меры реагирования на риски, которые позволяют удерживать риски в

рамках риск-аппетита организации.
c) Анализ предыдущих отчетов об оценке рисков, подготовленных руководством, внутренними и

внешними аудиторами или из других источников.
d) Риски регулярно переоцениваются.
Роль внутреннего аудита в процессе управления рисками CIA Часть 2
Оценка адекватности процессов управления рисками в ходе предоставления

официальных консультационных услуг
Так же, как и при выполнении заданий по предоставлению гарантий, в ходе выполнения заданий по
консультированию внутренние аудиторы должны учитывать риски в соответствии с целями задания,
а также быть готовыми к наличию других существенных рисков (см.: Стандарт 2120.С1). Предоставляя
консультационные услуги, подразделение внутреннего аудита приносит пользу для деятельности
организации. Например, перед внутренним аудитом может быть поставлена задача оказать содействие,
внедрить или усовершенствовать процессы управления рисками. Внутренним аудиторам в этом случае
следует занимать активную позицию, в частности, когда речь идет об управлении рисками, поскольку
при выполнении заданий по предоставлению консультационных услуг аудиторы должны сохранять
независимость и объективность.
Примечание. Консультационные услуги определяются как деятельность по предоставлению

клиенту советов, рекомендаций и т.д., характер и содержание которой согласовываются с клиентом.
Эта деятельность нацелена на оказание помощи и совершенствование процессов корпоративного
управления, управления рисками и контроля, исключающая принятие внутренними аудиторами
ответственности за управленческие решения. В качестве примера можно привести предоставление
советов и рекомендаций, оказание помощи в проведении процедуры самооценки, и обучение
персонала.
Внутренние аудиторы должны использовать знания о рисках, полученные в ходе выполнения заданий
по консультированию, в процессе оценки процессов управления рисками организации. Если выявляются
существенные риски либо обнаруживаются существенные недостатки системы внутреннего контроля, то
аудиторы должны довести эту информацию до сведения руководства. В некоторых случаях, в частности,
когда выявляются существенные риски, от внутренних аудиторов может требоваться проинформировать
об этом Совет или комитет по аудиту.
Так же как в ходе выполнения аудиторских проверок, при оказании консультационных услуг
внутренний аудитор должен применять свое профессиональное суждение, чтобы:
• определить существенность степени подверженности рискам или недостатки системы контроля,

а также эффективность действий, предпринятых или предусмотренных для снижения таких
рисков или устранения недостатков системы контроля; и
• определить ожидания высшего исполнительного руководства, комитета по аудиту и Совета в

отношении информированности по указанным выше вопросам.
Как и в случае с аудиторскими проверками, внутренние аудиторы должны соблюдать осторожность и не

участвовать в управлении рисками, а также не принимать управленческих решений (см.: Стандарт
2120.С3). Если это происходит, такой случай рассматривается как проявление несостоятельности
внутреннего аудита, и оказывает негативное влияние на деятельность подразделения внутреннего
аудита. Ниже мы рассматриваем меры, которые могут помочь руководителю внутреннего аудита
управлять рисками, с которыми сталкивается подразделение внутреннего аудита в своей деятельности.
Раздел А Управление рисками внутреннего аудита
Управление рисками внутреннего аудита

В условиях современного постоянно расширяющегося конкурентного рынка усиливается давление на
службу внутреннего аудита в части выявления и оценки рисков, а также получения рекомендаций о
способах снижения финансовых, операционных рисков, рисков в области информационных технологий,
нормативно-правовых рисков, рисков несоответствия законодательству и стратегических рисков. Однако
на фоне невысокого спроса на проведение внутреннего аудита, подразделению внутреннего аудита еще
сложней привлечь и удержать квалифицированных специалистов. В некоторых случаях это приводит к
тому, что подразделение внутреннего аудита не может достичь своих целей, что само по себе является
риском. Принимая это во внимание, руководитель внутреннего аудита вынужден постоянно думать о
способах управления рисками деятельности подразделения внутреннего аудита.
В Практическом указании 2120-2 (Управление рисками внутреннего аудита) определены три основные
группы рисков непосредственной деятельности внутреннего аудита: риск аудиторской ошибки, риск
предоставления ложной гарантии («ложная гарантия») и риск потери деловой репутации
(репутационные риски).
Риск аудиторской ошибки

Ниже перечислены некоторые причины, приводящие к появлению аудиторской ошибки.
• Несоблюдение Международных стандартов профессиональной практики внутреннего аудита.
• Неспособность организовать эффективные процедуры и средства внутреннего аудита для

оценки (тестирования) «реальных» рисков.
• Неспособность оценить адекватность организации и операционной эффективности контроля в

рамках процедур внутреннего аудита.
• Неспособность проявить повышенный профессиональный скептицизм и применить

расширенные процедуры внутреннего аудита в отношении обнаруженных нарушений и
недостатков системы внутреннего контроля.
• Привлечение неопытных или непрофессиональных сотрудников.
• Неспособность обеспечить адекватный надзор за деятельностью внутреннего аудита.
• Принятие неверного решения при обнаружении фактов, имеющих признаки мошенничества

(например, утверждая: «это, вероятно, не существенно» или «у нас нет специалистов, чтобы
разобраться с этим вопросом»).
• Неинформирование уполномоченных лиц о подозрительных фактах.
• Ненадлежащее представление отчетности по результатам внутреннего аудита.
Поскольку нет абсолютной гарантии, что аудиторские ошибки не появятся, деятельность внутреннего
аудита может предусматривать следующие механизмы для снижения подобного рода рисков.
• Реализация Программы гарантии и повышения качества в соответствии со Стандартом 1300.
• Периодический пересмотр перечня потенциальных объектов аудита («вселенной внутреннего

аудита») в соответствии с риск-профилем компании.
• Эффективное планирование аудита и периодический пересмотр текущего плана аудиторских

проверок для определения заданий, которые могут иметь больший риск.
• Разработка эффективной программы аудита. Это значит, что необходимо потратить достаточно
времени на понимание и анализ организации системы внутреннего контроля перед началом её
тестирования на эффективность, чтобы определить, обеспечивает ли такая система адекватный
уровень контроля.
Управление рисками внутреннего аудита CIA Часть 2
• Правильное и адекватное распределение ресурсов. Это означает, что необходимо назначать

только требуемых сотрудников для выполнения аудиторского задания.
• Осуществление эффективного управленческого анализа. Необходимо обеспечивать

надлежащий контроль за ходом выполнения аудиторского задания (т.е. проверку рабочих
документов и пр.).
Риск предоставления «ложной гарантии»

С одной стороны, высшее руководство и Совет, как правило, ожидают высокого уровня гарантий,
предоставляемых подразделением внутреннего аудита. Им может казаться разумным предположить, что
математическая точность вычислений в ходе выполнения аудиторских проверок неизменно приводит к
убедительным и неоспоримым выводам. С другой стороны, существуют ограничения в плане уровня
гарантий, которые подразделение внутреннего аудита способно реально обеспечивать. Иногда это
называют «разрывом ожиданий», который сопровождает работу подразделения внутреннего аудита.
Хотя способа полностью исключить риск выдачи ошибочного заключения не существует, подразделение
внутреннего аудита может эффективно управлять им. Ключевой момент в управлении этим риском
состоит в наличии регулярной и четкой связи с комитетом по аудиту, руководством и другими важными
заинтересованными лицами. Чем больше информации о тонкостях и непредвиденных обстоятельствах,
сопряженных с внутренним аудитом, будут получать руководители и Совет, тем реалистичнее будут их
ожидания. С другой стороны, чем глубже и точнее внутренний аудитор понимает процесс мышления
руководства и Совета, тем эффективнее он будет решать проблемы, вызывающие их озабоченность.
Риск потери деловой репутации

По существу деятельность внутреннего аудита – это создание имиджа (или деловой репутации), которые
формируются в течение многих лет кропотливой работы. Годами упорной и неизменно качественной
работы внутренний аудитор добивается признания и упорно создает себе репутацию добросовестного
работника подразделения внутреннего аудита в той или иной компании. Сохранение деловой репутации
является жизненно важным для успешной деятельности внутреннего аудита, поскольку руководство и
Совет должны быть уверены в том, что могут доверять результатам аудиторских проверок для принятия
правильных решений, направленных на дальнейшее процветание и содействие успешной деятельности
компании. К сожалению, всегда есть риск потери деловой репутации, и для разрушения имиджа
службы внутреннего аудита требуется только одно неблагоприятное событие. Например, хотя бы одно
плохо выполненное аудиторское задание, внесение ряда существенных изменений в финансовую
отчетность или проведение расследований со стороны надзорных органов могут повлиять на репутацию
службы внутреннего аудита. Как минимум, всё это может бросить тень на эффективность деятельности
внутреннего аудита в будущем, а в худшем случае компания может ликвидировать подразделение
внутреннего аудита совсем.
Если происходят события, которые оказывают влияние на деятельность службы внутреннего аудита и
его репутацию внутри организации (и как следствие, на репутацию в обществе самой организации), то
руководитель внутреннего аудита обязан проверить характер происходящих событий, понять основную
причину возникшей проблемы и внести любые необходимые изменения в работу службы внутреннего
аудита. При определенных обстоятельствах может потребоваться объявление выговоров или увольнение
виновных сотрудников. Без такой действенной реакции и немедленного исправления ситуации деловая
репутация внутреннего аудита может быть настолько испорчена, что на её восстановление потребуются
годы, если вообще её удастся восстановить. И наоборот, незамедлительные и эффективные меры по
устранению недостатков могут восстановить репутацию внутреннего аудита, если не до её прежнего
уровня, то хотя бы до того состояния, когда окажется возможным вновь обрести доверие к себе.
Как упоминалось ранее в разделе «Связь с комитетом по аудиту», поддержание открытых, действенных
контактов и обмена информацией с комитетом по аудиту и его председателем является наилучшей
политикой в части решения различных вопросов, стоящих перед компанией. В контексте риска потери
Раздел А Управление рисками внутреннего аудита
деловой репутации поддержание открытых контактов с комитетом по аудиту и применение действенных

мер могут ускорить процесс исправления ошибок, остановить опасную тенденцию развития недоверия и
сомнений со стороны руководства и помочь восстановить подорванную репутацию.
Нижеследующая информация относится к двум последующим вопросам.
Внутренние аудиторы банка оценивают его инвестиционную и кредитную деятельность. В течение

последнего года банк утвердил новые политики и процедуры для проведения мониторинга
инвестиций и кредитного портфеля. Внутренние аудиторы знают, что в течение года организация
инвестировала в финансовые инструменты нового типа и широко использовала финансовые
производные инструменты для того, чтобы должным образом хеджировать свои риски.
Вопрос 25: Внутренние аудиторы оценивают адекватность новых политик и процедур для целей
оценки рисков в рамках актуализации риск-профиля. Какая из следующих процедур аудиторского
задания является наименее существенной для достижения цели задания?
a) Встретиться с руководителями, отвечающими за операционную деятельность, для уточнения

их интерпретации тех процедур, которые не совсем четко определены.
b) Встретиться с высшим руководством или, при необходимости, с членом Совета для прояснения
вопросов касательно политик.
c) Провести детальное тестирование инвестиционных операций на выборочной основе для
формирования заключения о соблюдении новых процедур.
d) Изучить последние изменения в законодательстве на предмет соответствия новых процедур
этим изменениям.
Вопрос 26: Комитет по аудиту выразил озабоченность в связи с тем, что банк предоставлял
высокорискованные кредиты в погоне за получением краткосрочной прибыли. Какая из следующих
процедур аудиторского задания предоставляет меньше всего информации по этой проблеме?
a) Выполнить анализ дохода по кредитам как процента от инвестиционного портфеля по

сравнению с показателями группы аналогичных банков.
b) Сделать случайные выборки кредитов, выданных в текущем году и два года назад, и сравнить
уровень риска по этим кредитам.
c) Построить график и провести сравнительный анализ доходов от кредитов за последние 10 лет.
d) Разработать модель множественной регрессии анализа временных рядов дохода за последние
5 лет, включая такие факторы как процентные ставки в сфере экономики, размер кредитного
портфеля и сумма в долларах по новым кредитам за каждый год.
Вопрос 27: Когда исполнительное руководство организации решило сформировать команду для
обследования внедрения системы учета затрат по видам деятельности, внутренний аудитор был
тоже включен в состав команды. Основной причиной этого было знание внутренним аудитором:
a) видов деятельности и носителей затрат;
b) процедур обработки информации;
c) текущей структуры затрат по продукту;
d) процессов управления рисками.
Типы услуг внутреннего аудита CIA Часть 2
Типы услуг внутреннего аудита

Международный Институт внутренних аудиторов дает следующее определение внутреннего аудита:
«Внутренний аудит является деятельностью по предоставлению независимых и объективных

гарантий и консультаций, направленных на совершенствование деятельности организации.
Внутренний аудит помогает организации достичь поставленных целей, используя
систематизированный и последовательный подход к оценке и повышению эффективности
процессов управления рисками, контроля и корпоративного управления».
Как отмечается в приведенном выше Определении внутреннего аудита, внутренние аудиторы могут
оказывать два типа услуг: услуги по предоставлению гарантий и услуги по консультированию
(консультационные услуги). И хотя общая направленность этих двух подходов отличается, задания по
аудиту будут зачастую включать элементы указанных двух типов предоставляемых услуг. Например,
внутренний аудитор, который выполняет аудиторское задание по предоставлению гарантий в отношении
системы внутреннего контроля качества, будет также в рамках этого задания давать рекомендации (т.е.
консультировать) по изменению и усовершенствованию данной системы.
Предоставление гарантий
Предоставление гарантий – это объективный анализ имеющихся аудиторских доказательств в целях
представления независимой оценки процессов корпоративного управления, управления рисками и
контроля в организации. В том случае, когда предоставляются гарантии, аудитор выражает свое мнение
или дает заключение о состоянии какой-либо системы, процесса, операции и пр.
Независимо от содержательности и полноты аудиторского охвата объектов проверок, как правило,

аудиторские задания по предоставлению гарантий подразделяются на три основные категории:
1) задания по финансовому аудиту – это аудиторские проверки финансовых показателей и

цифр, которые могут содержаться (или не содержаться) в финансовой отчетности;
2) задания по аудиту на соответствие требованиям – это аудиторские проверки соответствия

определенной финансовой деятельности компании предписанным правилам, стандартам, а
также применимым к этой компании законам и нормативным актам;
3) задания по операционному аудиту (аудиту деятельности) – это аудиторские проверки по

оценке продуктивности и эффективности операционной/текущей деятельности компании.
Примечание. Внешние аудиторы также могут выполнять любые из трех перечисленных видов заданий
по предоставлению гарантий. Эта работа осуществляется как посредством аутсорсинга заданий, так и
с помощью совместной работы с внешними аудиторами. Однако следует иметь в виду, что главным
фокусом внешнего аудита будет оставаться достоверное представление финансовой отчетности.
Поскольку основной задачей внутренних аудиторов является поддержка руководства и органов
корпоративного управления в эффективном исполнении ими своих обязанностей, аудиторские
задания по проверке нефинансовой отчетности часто выполняются именно службой внутреннего
аудита. Кроме того, затраты на проведение таких аудиторских заданий обычно намного выше в тех
случаях, когда они выполняются внешними аудиторами.
Задания по предоставлению гарантий могут выполняться в организации на одном из трех уровней:
1) на организационном уровне – это последовательный аудит каждого из подразделений;
2) на функциональном уровне – это аудит одного процесса, «пролегающего» через все

подразделения (непрерывный экологический аудит полного цикла удаления и обезвреживания
отходов является примером функционального подхода);
3) на уровне циклов (таких как, например, цикл закупок или продаж) – это, в основном, аудит
финансовых систем. Однако на этом уровне также могут проводиться аудиторские задания,
Раздел А Задания по финансовому аудиту
охватывающие все системы организации, включая и нефинансовые (как, например, системы

управления кадрами или факторы воздействия на окружающую среду).
На последующих страницах раздела мы рассмотрим специальные виды аудиторских проверок, которые

проводятся в рамках трех основных категорий аудиторских заданий по предоставлению гарантий
(финансовый аудит, аудит соответствия и операционный аудит).
В конце данного раздела детально освещается еще один вид заданий по предоставлению гарантий. Это
аудиторские задания по выявлению и расследованию фактов мошенничества. И поскольку
деятельность внутренних аудиторов непосредственно связана с предотвращением фальсификации
отчетности, а также с выявлением и расследованием случаев мошенничества, мы также включили в
обсуждение тему по самооценке контроля (CSA). Целью самооценки контроля является улучшение и
совершенствование системы внутреннего контроля. Если в организации действует устоявшаяся система
самооценки контроля, то вполне очевидно, что внутренний аудитор будет так или иначе задействован в
функционировании этой системы – или как проверяющий, или как координатор.
Задания по финансовому аудиту

Финансовый аудит – это аудит экономической деятельности отдельной организации с целью проверки
достоверности и целостности заявленной финансовой информации/отчетности и подтверждения
адекватности мер по обеспечению сохранности активов организации. Задания по финансовому аудиту
обычно выполняются внешними аудиторами, однако они также являются частью обязанностей службы
внутреннего аудита. Внутренние аудиторы могут выполнять задания по финансовому аудиту в тех
областях, которые обычно не столь тщательно проверяются в рамках внешнего аудита. Осуществляя
задания по финансовому аудиту, внутренние аудиторы могут оценивать эффективность использования
ресурсов, а не просто ограничиваться проверкой учета использования ресурсов. Как уже отмечалось в
разделе ранее (Роль внутреннего аудита в процессах корпоративного управления, управления рисками
и контроля), координация работы внутреннего и внешнего аудита имеет здесь первостепенное
значение, поскольку позволяет минимизировать двойную работу и обеспечить полноту аудиторского
покрытия видов и направлений проверяемой деятельности организации.
Задания по финансовому аудиту зачастую выполняются или организуются в сочетании с циклами

операций (например, цикл закупок или цикл продаж). Цикл представляет собой объединение операций
по определенному признаку. Внутри одного цикла возможно существование самых разных комбинаций в
зависимости от типа операций и используемых в конкретной организации систем бухгалтерского учета.
Например, расчетный цикл может быть объединен с циклом платежей/платёжным оборотом.
Также, некоторые циклы можно разбивать на более мелкие категории. Например, цикл получения
дохода (продажа, доставка и получение оплаты) можно отделить от цикла инкассации наличных
денежных средств, а цикл обеспечения закупок можно отделить от цикла платежей. Характеристики
циклов могут быть различными в разных организациях.
Поскольку цикл операции часто является основой для проведения заданий по финансовому аудиту, мы
вначале рассмотрим некоторые стандартные циклы и то, какие документы и работники задействованы в
этих циклах. Основные циклы (операций) в бизнесе перечислены ниже.
• Поступления и расчеты с дебиторами (инкассирование наличности).
• Закупки и расчеты с поставщиками/кредиторами.
• Товарный цикл (цикл управления запасами) и их хранение.
• Обеспечение финансового капитала и платежи.
• Цикл операций по управлению персоналом и оплате труда.
Задания по финансовому аудиту CIA Часть 2
Документы и работники в циклах операций

На последующих страницах мы представим список стандартных документов, которые используются в
различных циклах операций, а также описание функций, которые выполняют в этих циклах различные
группы работников. Эту информацию полезно знать, поскольку с ее помощью будет легче отвечать на
экзаменационные вопросы, относящиеся к конкретным циклам операций.
Торговый цикл, цикл расчетов с дебиторами и цикл кассовых поступлений

Документы, используемые в торговом цикле,
цикле расчетов с дебиторами и кассовых поступлений
Заказ на закупку Документ, получаемый заказчиком, который размещает заказ.

Транспортные Оформляются компанией, осуществляющей доставку или отгрузку
(товаросопроводительные) товаров заказчику. Они должны содержать описание и количество
документы доставляемого товара.
Счет-фактура Оформляется и направляется заказчику с тем, чтобы он осуществил
перечисление денежных средств.
Уведомление о денежном Возвращается заказчиком компании-поставщику и уведомляет о том,
переводе/авизо что произведена оплата.
Коносамент Документ стандартной (международной) формы на перевозку груза,
удостоверяющий погрузку, перевозку и право на получение товара.
Направляется транспортной/судоходной компании в адрес заказчика.
Список полученных Составляется работником, который вскрывает корреспонденцию.
денежных переводов Представляет собой список всех платежных чеков, полученных за
конкретный день.
Бланк для взноса Оформляется работником, который депонирует денежные средства в
депозита/приходный ордер банке.
Список чеков Оформляется работником, который депонирует денежные средства в
банке. Представляет собой обычный список всех чеков, размещенных
в банке для последующего инкассирования.
Кредитовый меморандум Направляется компанией-поставщиком тогда, когда от заказчика не
(или Кредитовое авизо) требуется оплата счета-фактуры. Обязательный документ в случаях,
когда заказчик возвращает товар, когда некачественный товар не
возвращается из-за больших расходов по пересылке и кредитовое
авизо предоставляет заказчику скидку, а также если была переплата.
Отчет о приемке Это отчет компании-поставщика о получении товара, который был
возвращенных товаров возвращен заказчиком. Если возврат не получен, то кредитовый
меморандум или авизо не предоставляются.
Работники и их обязанности в торговом цикле,

цикле расчетов с дебиторами и цикле кассовых поступлений
Вскрытие почты Этот работник вскрывает почту, составляет список всех полученных
платежных чеков, ставит на каждый чек штамп с надписью «Только
для депозитов» и направляет работнику, который размещает их в
банке для последующего инкассирования.
Депонирование денежных Этот работник ежедневно депонирует средства в банке, включая
средств заполнение бланков для внесения депозитов/приходных ордеров и
подготовку списка платежных чеков для депонирования.
Казначей/финансовый Наряду с исполнением других обязанностей по выплатам наличных,

управляющий казначей (финансовый управляющий) должен утверждать списание
дебиторской задолженности.
Контролер Контролер (финансовый контролер) принимает участие в операциях с
наличными средствами по платежам и выплатам.
Цикл операций по управлению персоналом и оплате труда

Документы, используемые в цикле операций по управлению персоналом и оплате труда
Главный файл по расчету Это документ, в котором отражается вся информация о работниках:
заработной платы данные о ставках заработной платы/размерах оклада, выплаченных
бонусах, удержаниях и вычетах из заработной платы (оклада) и т.п.
Табельные часы Это часы, снабжённые механизмом, отмечающим время прихода и
ухода работников на карточке, которые используются для контроля
отработанного работником времени.
Карточка учета рабочего Это карточка, в которой отмечается время начала и окончания работы
времени каждого отдельного работника.
Наряд (на выполнение В этом документе регистрируется время, затраченное работником на
рабочего задания) выполнение определенной работы или операции.
Работники / Счета в цикле операций по управлению персоналом и оплате труда
Кассир Этот работник не должен выполнять никаких других обязанностей по

расчету заработной платы (таких как, например, расчет зарплаты или
начисление зарплаты), кроме выдачи чеков по расчету зарплаты.
Внутренний аудитор Все не полученные работниками чеки по расчету заработной платы
должны передаваться в службу внутреннего аудита и храниться там до
тех пор, пока не будут выданы.
Казначей/финансовый Казначей (финансовый управляющий) должен подписывать чеки по
управляющий расчету заработной платы.
Начальник подразделения Должен утверждать (визировать) карточки учета рабочего времени.
(мастер)
Специальный зарплатный Этот счет имеет сходство с «малой кассой» в том, что оплата чеков по
счет (с обязательным расчету заработной платы производится со специального счета в
заранее оговоренным банке. Средства, необходимые для оплаты чеков, депонируются на
сальдо) данном счете на ежемесячной основе. Это означает, что заработная
плата не выплачивается с общего счета компании в банке.
Цикл производства и движения запасов

(период производства и хранения готовой продукции)
Документы, используемые в цикле производства и движения запасов
Заявки на отпуск ТМЦ Это заявка, поступающая на склад из производственного отдела, на

отпуск материалов и комплектующих, необходимых для производства
продукции.
Отчеты об отгрузке Это отчет о передаче товаров и движении запасов.
(передаче) товаров
Цикл операций с основными средствами

Документы, используемые в цикле операций с основными средствами
Разрешение на Прежде чем осуществлять покупку основных средств, необходимо

производство получить разрешение на производство соответствующих расходов у
расходов/закупок должностного лица надлежащего уровня.
Заказ на закупку/поставку Это бланк, на котором оформляют заказ единицы основных средств.
Отчет о приемке товара Это регистр учета единицы основных средств, которая получена.
Счет-фактура поставщика Это счет к оплате, предъявляемый продавцом товара заказчику.
Вопрос 28: Одно из основных различий между заданиями по операционному аудиту и заданиями по
финансовому аудиту состоит в том, что в рамках выполнения заданий по операционному аудиту
внутренние аудиторы:
a) не обращают внимания на то, соответствует ли вырабатываемая подразделением-клиентом

информация стандартам финансового учета;
b) стремятся оказать помощь руководству в использовании имеющихся ресурсов максимально

эффективным образом;
c) начинают задание с изучения финансовых отчетов клиента, а затем двигаются назад, изучая
процессы, которые использовались для подготовки этих отчетов;
d) могут использовать аналитические навыки и инструменты, которые не являются необходимыми

при выполнении заданий по финансовому аудиту.
Вопрос 29: Задание по операционному аудиту производственной функции организации включает

процедуру по сравнению фактических затрат с нормативными затратами. Целью этой аудиторской
процедуры является:
a) определение степени точности системы, предназначенной для учета фактических затрат;
b) оценка эффективности системы нормативной калькуляции затрат;
c) оценка обоснованности нормативных затрат;
d) оказание помощи руководству в оценке им результативности и эффективности.
Аудиторский риск и утверждения, лежащие в основе подготовки финансовой отчетности

Тип аудиторского риска и утверждения, на основе которых подготовлена финансовая отчетность
(предпосылки формирования отчетности, такие как полнота, реальность существования, точность
оценки и т.д.), лежат в основе выработки подхода к проведению заданий по финансовому аудиту. Такой
подход будет применяться даже в тех случаях, когда не проводится аудит всей финансовой отчетности.
Кроме того, данный подход (с некоторыми изменениями) может быть использован и для проведения
заданий по нефинансовому аудиту.
Аудиторский риск
Аудиторский риск – это риск того, что аудитор выразит безусловно-положительное мнение («всё в
порядке») и выпустит аудиторское заключение без оговорок в случаях, когда в действительности в
бухгалтерских документах аудируемой области содержатся существенные искажения, т.е. когда по
неправильно составленной отчетности будет подготовлено аудиторское заключение без замечаний и
наоборот. На практике аудиторский риск состоит в том, что аудитор не может определить существенную
ошибку или искажение в финансовой отчетности и в результате высказывает мнение о достоверности
данной отчетности. Считается, что аудиторское мнение содержит ошибку, если имеют место все три
перечисленных ниже события:
1) существует изначально совершенная ошибка;
2) внутрифирменные средства контроля не распознают/не обнаруживают эту ошибку; и
3) внутренний аудитор не распознает/не обнаруживает эту ошибку.
Аудиторский риск вычисляется путем перемножения показателей вероятности наступления каждого из

перечисленных выше трех событий одновременно (т.е. равен произведению вероятности наступления
неблагоприятных событий и суммарной оценки негативных последствий от них). Для каждого из этих
событий характерен его собственный индивидуальный риск, и эти три величины рисков, относящихся к
указанным событиям, и дают в сумме аудиторский риск. Аудиторский риск, связанный с
перечисленными событиями, подразделяется на рассматриваемые ниже компоненты.
1) Внутренне присущий/неотъемлемый риск (риск изначально совершенной ошибки). Это

риск, который считается естественным для определенного элемента финансовой отчетности или
вида деятельности, являющихся предметом аудита. Он отражает специфические особенности
компании и среды, в которой она работает, и обобщенно определяется как подверженность
существенному искажению данных или информации при условии отсутствия сдерживающих
средств контроля, возникающему просто в силу того, что оно может быть. Аудиторы не могут
снижать уровень этого риска, в отличие от риска необнаружения ошибки аудиторами, и
используют его оценку в процессе планирования аудиторских тестов. Примером присущего
риска является расчет обязательств компании по пенсионному плану, который по своей сути
является исключительно сложным.
2) Риск системы контроля/риск недостаточности контрольных процедур (риск того, что

контрольные процедуры компании не смогут распознать/обнаружить ошибку). Как отмечалось в
разделе, посвященном вопросам внутреннего контроля, наличие такого контроля не может
служить абсолютной гарантией того, что организация обязательно достигнет установленных
целей финансовой отчетности, целей операционной деятельности и целей нормативно-правового
соответствия. Независимо от того, насколько хорошо организована и функционирует система
внутреннего контроля, она способна предоставить для руководства и совета директоров
организации только достаточную уверенность в том, что эти цели будут достигнуты. Основными
рисками, которые могут препятствовать достижению поставленных организацией целей,
является отказ в работе системы внутреннего контроля, который может быть обусловлен
ошибкой человека, сговором с целью злонамеренных действий или обхода установленных
правил и процедур внутреннего контроля руководством организации.
3) Риск необнаружения ошибки аудиторами (риск того, что аудитор не сможет своевременно
выявить/обнаружить ошибку). Независимо от того, насколько тщательно аудитор выполняет
порученное ему задание, всегда существует риск, что он не сможет выявить существенную
ошибку в финансовой отчетности. Этот риск существует потому, что аудитор не проверяет все
без исключения операции, и до тех пор, пока остается непроверенной хотя бы одна операция,
остается риск существенного искажения отчетности применительно к данной, не подвергнутой
аудиторскому тестированию, операции.
Таким образом, аудиторский риск вычисляется по следующей формуле:
AR = IR * CR * DR
Где:
AR (audit risk) – аудиторский риск,

IR (inherent risk) – (внутренне) присущий/неотъемлемый риск,
CR (control risk) – риск системы контроля/недостаточности контрольных процедур,
DR (detection risk) – риск необнаружения ошибки аудиторами.
Помимо того, что вам следует знать определения перечисленных рисков, вы также должны знать, как
они оцениваются и на какие из них внутренний аудитор может влиять, а какие контролировать. Первые
две составляющие аудиторского риска – присущий компании риск и риск недостаточности контрольных
процедур – называют рисками существенного искажения отчётности и аудиторы не могут влиять на них.
Последняя составляющая содержит в себе риск выборки и риск, не связанный с выборкой.
Аудитор может оценить присущий риск и риск системы контроля, но он не может ничего сделать, чтобы
повлиять на эти риски или изменить их. Это значит, что аудитор не в состоянии предпринять какие-то
действия по повышению или снижению этих двух рисков (во время выполнения задания).
Примечание. Риски можно оценивать либо в количественном измерении (в процентах, в диапазоне

от 1 до 100%), либо в качественном выражении (минимальный – максимальный).
На присущий риск нельзя повлиять в силу самой природы объекта аудита, который проверяется.
Аудитор не может сделать так, чтобы деривативы (производные финансовые инструменты) стали менее
рискованными.
В ходе проведения аудиторского задания невозможно оказать какое-либо влияние и на риск системы
контроля, поскольку аудит имеет дело с событиями, которые уже произошли в прошлом периоде. В то
время, когда осуществлялись проверяемые операции, система контроля либо уже работала должным
образом, либо нет, и аудитор не может переместиться назад во времени, чтобы изменить средства и
системы контроля, которые работали, например, в прошлом году.
Примечание. Аудитор имеет некоторое влияние на риск системы контроля в будущем периоде.
Предоставляя рекомендации во время выполнения текущего задания, аудитор может оказать помощь
компании в совершенствовании системы контроля, что скажется на снижении риска системы контроля
в будущих периодах.
Риск необнаружения ошибки аудиторами – это единственный риск, на который аудиторы могут
оказывать влияние и снижать этот риск, меняя природу, временные рамки и число самостоятельных
детальных тестов (процедур тестирования). Первое, что надо сделать аудитору в рамках задания, – это
определить приемлемый уровень аудиторского риска. Затем, оценив уровень присущего риска и риска
системы контроля, он может определить уровень риска необнаружения ошибки аудиторами, используя
для этого приведенную выше формулу вычисления аудиторского риска. Как только уровень риска
необнаружения становится известен, аудитор может определить характер, масштаб и сроки проведения
аудиторских тестов, необходимых для достижения целей аудиторского задания.
Примечание. Как следует из сути формулы вычисления аудиторского риска, присущий риск, риск
системы контроля и риск необнаружения ошибки аудиторами связаны между собой. Когда
уровень одного из рисков повышается или понижается, уровень другого риска должен измениться в
обратном направлении, чтобы совокупный уровень аудиторского риска оставался неизменным.
Оценка риска системы контроля

Поскольку присущий риск относится к базисным, или естественным рискам, на которые никто не
способен влиять, оценка риска системы контроля становится критическим фактором. Это важно для
того, чтобы установить соответствующий риск необнаружения, который может допускаться в отношении
тех утверждений, на основе которых подготовлена финансовая отчетность, а также для определения
характера, сроков и объема процедур тестирования данных утверждений.
Аудитор должен оценить риск системы контроля как максимально высокий, если функционирование
средств внутреннего контроля не соответствует утверждениям, на основе которых подготовлена
финансовая отчетность. А также если средства внутреннего контроля нельзя считать эффективными,
или если оценка риска системы контроля для использования этой оценки в целях определения объема
процедур проверки данных утверждений не может быть эффективной и не даст должного результата. В
том случае, когда риск системы контроля оценивается как максимально высокий, аудитор должен просто
задокументировать основные сведения о функционировании системы внутреннего контроля.
В тех же случаях, когда аудитор оценивает риск системы контроля ниже максимума (независимо от
того, использован количественный или качественный метод оценки), он должен задокументировать
результаты аудиторских тестов, подтверждающих, что система внутреннего контроля действительно
работает и выполняет свои функции так, как и планировалось. Такая документация потребуется для
подтверждения заключения аудитора о том, что система контроля работает надлежащим образом.
Взаимосвязь между риском системы контроля и риском необнаружения

Чем ниже уровень риска системы контроля (т.е. чем ниже вероятность ошибки на выходе системы
контроля), тем выше может быть уровень риска необнаружения для сохранения приемлемого
уровня совокупного аудиторского риска. Верно и обратное: если уровень риска системы контроля
окажется высоким, нам потребуется более низкий уровень риска необнаружения, чтобы поддерживался
приемлемый уровень аудиторского риска. Данный вывод говорит о наличии обратной зависимости
между риском системы контроля и риском необнаружения.
Этот вывод можно запомнить следующим образом. Есть два способа обнаружения ошибки: 1) система
внутреннего контроля обнаруживает ошибку, или 2) аудитор обнаруживает ошибку. Следовательно,
один из этих способов должен исправно работать. Если система внутреннего контроля функционирует
неудовлетворительно (высокая оценка риска средств контроля), аудитор должен упорно работать, чтобы
выявить каждую ошибку (в результате – низкая оценка риска необнаружения). Другой вариант: если
система контроля работает идеально (низкая оценка риска средств контроля), аудитору вообще не
нужно будет работать (высокая оценка риска необнаружения), поскольку система контроля выявляет
все ошибки. Ясно, что это крайний случай, и в реальной ситуации для обнаружения ошибок понадобится
сочетание обоих способов – и системы внутреннего контроля, и усилий аудитора.
Примечание. Если внутренние аудиторы выполняют задание по финансовому аудиту и проводят

оценку трех указанных рисков, то результаты этих оценок не могут быть использованы внешними
аудиторами. Оценка рисков, проведенная внутренними аудиторами, может оказывать помощь
внешним аудиторам или быть для них руководством, однако внешние аудиторы должны проводить
свою собственную оценку рисков.
Зависимость между риском необнаружения и выполняемыми аудиторскими тестами

Существует также обратная связь между уровнем риска необнаружения и объемом работы, который
нужно будет выполнить аудитору. Уровень риска необнаружения напрямую связан с аудиторскими
процедурами тестирования. При низком уровне риска необнаружения аудитору необходимо выявить все
ошибки, которые могут быть допущены в финансовой отчетности. Следовательно, аудитору по ходу
выполнения задания придется провести большое количество аудиторских тестов.
Если же, напротив, уровень риска необнаружения высок, это значит, что аудитор соглашается брать на
себя большой риск невыявления ошибок из-за недостатка доказательств. Поэтому если не нужно
обнаруживать ошибки, то аудитору нет необходимости проводить много аудиторских тестов.
Эта взаимозависимость между уровнями риска системы контроля, риска необнаружения и объемом
необходимой работы может быть выражена следующим образом:
Риск системы контроля Риск необнаружения Объем необходимой работы
Высокий Высокий Высокий
Низкий Низкий Низкий
Если вы запомните эти зависимости, это может помочь вам при ответе на некоторые вопросы экзамена.
Вопрос 30: Существует три составляющих аудиторского риска: присущий риск, риск системы
контроля и риск необнаружения. Присущий риск – это:
a) риск того, что аудитор невольно не сможет соответствующим образом изменить свое мнение по
поводу финансовой отчетности, содержащей существенные искажения;
b) риск того, что аудитор не сможет выявить существенные искажения, содержащиеся в

предпосылках подготовки отчетности;
c) подверженность существенному искажению предпосылок подготовки финансовой отчетности

при условии, что соответствующие правила и процедура внутреннего контроля отсутствуют;
d) риск того, что существенные искажения, которые могут содержаться в предпосылках

подготовки отчетности, не будут предотвращены или своевременно выявлены правилами и
процедурами внутреннего контроля.
(Адаптировано из CMA)
Утверждения, лежащие в основе подготовки финансовой отчетности

Утверждения – это те заявления, которые делает руководство организации, когда оно представляет
финансовую информацию. К утверждениям, на основе которых подготовлена финансовая отчетность,
относятся утверждения, сделанные руководством, а также выраженные в явном или неявном виде и
содержащиеся в финансовой отчетности, составленной по применяемым компанией концептуальным
основам. Задачей аудитора является определение того, в какой степени данные утверждения верны.
Поэтому большая часть работы аудитора, связанная с проведением задания по аудиту финансовой
отчетности, заключается в формировании мнения о соответствии проверяемой финансовой отчетности,
как минимум, пяти утверждениям, которые делает руководство, и которые приводятся и объясняются
ниже.
1) Полнота. Критерий полноты определяет и подтверждает, что все факты хозяйственной

деятельности, которые должны быть отражены в финансовой отчетности, действительно
отражены в ней (т.е. никакая существенная финансовая информация не пропущена).
2) Права и обязательства. Критерий права и обязательства устанавливает, что все статьи,

отраженные в отчетности в качестве активов, представляют собой то, на что компания имеет
право; все статьи, отраженные в отчетности в качестве пассивов, представляют собой то, что
является обязательствами компании. И что актив или обязательство, отраженные в финансовой

отчетности, относятся к данному субъекту по состоянию на отчетную дату.
3) Стоимостная оценка и измерение. Критерий стоимостной оценки предусматривает, что

активы и обязательства отражаются в отчетности по балансовой стоимости, а все элементы
бухгалтерской отчетности – в оценке, соответствующей требованиям нормативных документов.
Критерий измерения устанавливает, что операции и события, отраженные в отчете о прибылях
и убытках, учитываются в правильной сумме, а доход и расход отнесены к соответствующим
периодам.
4) Существование или возникновение. Критерий существования означает, что все балансовые

статьи (актива или обязательства), которые отражены в финансовой отчетности, действительно
существуют на отчетную дату, а критерий возникновения означает, что в течение отчетного
периода были выполнены операции или произошли события, отраженные в отчете о прибылях и
убытках и имеющие отношение к аудируемому лицу. [В известном смысле, данное утверждение
является противоположным утверждению о полноте. Утверждение о полноте предусматривает,
что всё, что должно быть включено в отчетность, действительно включено в неё. Утверждение о
существовании или возникновении означает, что всё, что включено в отчетность, действительно
должно было быть включено.]
5) Представление и раскрытие. Критерий представления и раскрытия подтверждает, что статьи

финансовой отчетности раскрываются в примечаниях и сносках к финансовой отчетности,
классифицируются и характеризуются в соответствии с применимыми основами подготовки и
составления финансовой (или бухгалтерской) отчетности, а учетные политики соответствуют
общепринятым принципам бухгалтерского учета.
Примечание. Эти утверждения проще запомнить в виде мнемограммы COVES (по первым буквам
английских наименований утверждений из вышеприведенного перечня – completeness, obligations,
valuation, existence, statement).
Выполняя задание по аудиту финансовой отчетности, аудитор должен удостовериться, что существуют
процедуры, позволяющие проверить каждое из перечисленных выше утверждений применительно к
каждой финансовой проводке, которая тестируется. При этом необходимо также учитывать, что разные
утверждения, лежащие в основе разных статей учета, могут иметь разную степень важности. Например,
при изучении активов компании утверждение о полноте воспринимается как само собой разумеющееся,
поскольку маловероятно, что компания захочет занизить свои активы. Но утверждение о существовании
применительно к активам должно стать предметом особого внимания для аудитора, поскольку компания
может попытаться завысить количество (натуральную величину) имеющихся у нее активов, включив в
их состав объекты, которых она в действительности не имеет.
И наоборот, изучая обязательства компании, утверждение о существовании вряд ли может серьезно

заботить аудитора, поскольку маловероятно, что компания будет стремиться завышать величину своих
обязательств. Но утверждение о полноте, наоборот, превратится в серьезный предмет для проверки,
поскольку компания может попытаться не включить в отчетность некоторые из своих обязательств.
И хотя одни утверждения кажутся более важными, чем другие, желательно, чтобы аудитор всё равно
провел хотя бы по одной процедуре применительно к каждому утверждению в отношении каждой из
финансовых проводок, являющихся предметом аудита.
Роль внутренних аудиторов в процессе подготовки финансовой отчетности

Создание процесса эффективного корпоративного управления в организации является обязанностью ее
высшего руководства и совета директоров, однако служба внутреннего аудита может сыграть важную
роль в обеспечении должного функционирования этой системы.
Процесс подготовки финансовой отчетности состоит из создания и подготовки финансовых отчетов,

связанных с ними примечаний и другого сопутствующего раскрытия информации в составе финансовой
отчетности компании. Функция внутреннего аудитора в этом процессе заключается в предоставлении

достаточного уровня гарантий высшему руководству и членам комитета по аудиту, что контрольные
процедуры в данной сфере организованы надлежащим образом и эффективно используются.
Контроль подготовки финансовой отчетности должен быть адекватным и обеспечивать предотвращение

и выявление существенных ошибок, несоответствий, ошибочных допущений и оценок, а также других
событий, которые могут привести в результате к подготовке недостоверной или вводящей в
заблуждение финансовой отчетности, соответствующих примечаний и иной информации, подлежащей
раскрытию.
Приведенные ниже списки включают те вопросы, которые может учитывать РВА, оказывая содействие
организации в совершенствовании процесса корпоративного управления и надзорных функций,
выполняемых советом директоров и его комитетом по аудиту (или другими комитетами, учрежденными
для выполнения этих функций) в целях обеспечения достоверности и целостности финансовых отчетов.
Мы не предлагаем вам заучивать эти списки; достаточно будет ознакомиться с их содержанием и
понять, каким образом это увязано с процессом подготовки финансовой отчетности.
Финансовая отчетность
• Предоставление информации, которая бы соответствовала целям назначения независимых
(внешних) аудиторов.
• Координация планов, объемов и планирования аудита с внешними аудиторами.
• Совместное использование результатов аудита с внешними аудиторами.
• Информирование о соответствующих наблюдениях внешних аудиторов и комитет по аудиту в
отношении учетных политик и стратегических решений (включая решения в отношении учета и
отражения в отчетности дискреционных статей и забалансовых операций), специфических
компонентов процесса подготовки финансовой отчетности, а также необычных или сложных
финансовых операций или событий (например, операции между связанными сторонами, слияния
и поглощения, сделки с участием совместных предприятий и товарищества).
• Участие в процессах проверки и анализа финансовой отчетности и раскрытия информации
совместно с комитетом по аудиту, высшим руководством и внешними аудиторами; оценка
качества финансовой отчетности, включая и ту, которая направляется в органы контроля и
регулирования.
• Оценка адекватности и эффективности системы/средств внутреннего контроля организации,
особенно тех процедур и средств контроля, которые непосредственно связаны с процессом
подготовки финансовой отчетности. В процессе такой оценки необходимо рассмотреть вопрос
подверженности организации риску мошенничества, а также оценить эффективность программ
и процедур контроля, призванных снизить риски мошенничества или устранить угрозу его
совершения.
• Мониторинг соблюдения руководителями кодекса поведения, принятого в организации, а также
проверка соблюдения установленных этических норм и других процедур, способствующих
этичному поведению. Важным фактором, способствующим установлению и укреплению в
организации эффективного соблюдения норм этической культуры, является демонстрация
представителями высшего руководства этичного поведения, а также примеров открытого и
честного общения с рядовыми работниками, членами совета директоров и заинтересованными
сторонами.
Корпоративное управление
• Проверка принципов корпоративной политики в части соответствия требованиям законов и
нормативных актов, а также корпоративных политик и процедур в отношении принципов этики,
конфликта интересов и обеспечения своевременного и тщательного расследования случаев
предполагаемых правонарушений и мошенничества.
• Контроль за ходом судебных разбирательств или регулятивного (надзорного) производства,

которые могут представлять риск для организации и системы корпоративного управления.
• Предоставление информации и других результатов существующей в организации системы

отчетности по поводу случаев конфликта интересов, случаев недисциплинированного или
незаконного поведения, мошенничества и других нарушений этических норм и стандартов
организации со стороны наемных работников.
Корпоративный контроль
• Проверка достоверности и целостности оперативной и финансовой информации, содержащейся
в отчетах организации.
• Проведение анализа средств контроля в части особо важных принципов учетной политики и
сравнение их с предпочтительными, широко распространенными образцами учетной практики
(например, операции, вызывающие вопросы в части учета доходов, бухгалтерская трактовка
забалансовых источников финансирования и пр., должны быть проверены на соответствие
общепринятым стандартам бухгалтерского учёта).
• Оценка разумности количественных оценок и допущений, использованных при подготовке

отчета о производственной деятельности и финансовой отчетности.
• Проверка соответствия оценок и допущений, включенных в раскрытие информации либо в

комментарии, с лежащей в их основе корпоративной информацией и правилами, а также с
аналогичными данными в отчетности других организаций (если применимо).
• Оценка процесса подготовки, проверки, утверждения и занесения записей в бухгалтерские

журналы.
• Оценка адекватности средств контроля в бухгалтерской деятельности.
Аудиторские задания по подтверждению нормативно-правового соответствия
Аудиторские задания по подтверждению нормативно-правового

соответствия
В основе подготовки и проведения аудиторских заданий по подтверждению нормативно-правового
соответствия лежит определение того, соблюдаются ли аудируемой компанией требования законов,
нормативных актов, контрактов и/или стандартов, политик и процедур, устанавливаемых руководством
компании, являющиеся критерием оценки результатов деятельности. Примерами ситуаций, когда может
потребоваться проведение аудиторских заданий по подтверждению нормативно-правового соответствия
являются: соблюдение законов по охране окружающей среды; соблюдение трудового законодательства;
соблюдение условий кредитных и долговых соглашений.
Ниже мы рассмотрим более подробно проведение экологического аудита. Мы остановились на этом виде
задания, поскольку вопросы соблюдения требований законодательства об охране окружающей среды
приобретают особую актуальность для организаций в связи с суровыми штрафами и другими видами
наказания за причинение ущерба окружающей среде. Кроме того, существует возможность негативного
освещения в СМИ нарушений компаниями требований экологического законодательства, что может
неблагоприятно сказаться на их репутации.
Проведение экологического аудита

Организации, на деятельность которых распространяется действие законодательства в области охраны
окружающей среды, должны создавать системы экологического менеджмента (системы по охране и
рациональному использованию окружающей среды). Внутренние аудиторы должны проверять системы
контроля и управления состоянием окружающей среды в части соответствия требованиям экологических
стандартов и нормам внутрифирменной политики. Опасные/токсичные отходы должны представлять
исключительный интерес для внутренних аудиторов в силу потенциально значительных сумм денежных
штрафов, которые могут взыскиваться с компании в случае нарушения соответствующих нормативно-
правовых актов по охране окружающей среды.
Исследовательский Фонд ИВА определяет семь типов заданий по экологическому аудиту.
1) Надзорный аудит. Это наиболее распространенный тип задания по экологическому аудиту –

аудиторская проверка соответствия деятельности установленным законом требованиям по
охране окружающей среды. Он представляет собой проверку прошлой, текущей и планируемой
деятельности компании применительно к конкретному участку. Чем выше риск несоответствия
требованиям законодательства в области охраны окружающей среды, тем больше будет объем и
степень детализации выполняемого аудиторского задания.
2) Аудит системы экологического менеджмента. Это аудиторские задания, выполняемые с

целью проверки и выяснения того, что компания в состоянии управлять будущими рисками,
связанными с окружающей средой (экологическими рисками), которые могут возникать в связи
с изменениями в текущем законодательстве.
3) Аудит транзакций/сделок. Это проверка объекта недвижимости по сделке до оформления его

купли или продажи с целью подтвердить отсутствие рисков, связанных с окружающей средой.
4) Аудит системы обработки, хранения и утилизации отходов. Данное аудиторское задание

предполагает проверку документации всего технологического цикла («от колыбели до могилы»)
– от создания опасных материалов до их полной утилизации.
5) Аудит системы предотвращения загрязнения окружающей среды. Аудиторские задания

этого типа связаны с проверкой процесса исключения/минимизации вредного воздействия или
загрязнения в месте их образования, что предпочтительнее, чем борьба с загрязнением в конце
технологического процесса.
6) Аудит начисления экологических обязательств. Это аудиторская проверка начисления

штрафных процентов по обязательствам за загрязнение окружающей среды и также процесс
установления, когда именно экологические обязательства должны учитываться на балансе

компании, а соответствующие расходы в отчете о прибылях и убытках. Проблема здесь в том,
что неясно, когда именно и в каком объеме это следует сделать.
7) Аудит готовых изделий. Это проверка производственного процесса с целью определения,

соблюдаются ли требования по ограничению объемов загрязнения окружающей среды.
Роль внутреннего аудита в выявлении и отражении в отчетности рисков, связанных с

окружающей средой
Частью оценки рисков, с которыми сталкивается или может столкнуться организация, является оценка
рисков в таких областях, как охрана труда, окружающей среды и безопасность (ОТОСБ). Этот вопрос
приобретает особую актуальность в странах, где действуют суровые штрафы и другие виды наказания
за причиненный ущерб окружающей среде, а также накоплена обширная судебная практика
рассмотрения споров, связанных с нарушением прав работников и ответственностью за нарушение норм
безопасности (например, в США).
РВА должен убедиться, что данные вопросы были рассмотрены, а соответствующие риски адекватно
оценены и управляются должным образом.
В крупных компаниях эта оценка может проводиться отдельным подразделением экологического аудита
(эта сфера может быть сопряжена с оценкой правовых рисков, поэтому в ней, скорее всего, активное
участие примут корпоративные юристы). В случае, когда в организации есть отдельное подразделение
экологического аудита, ее руководители должны проследить за тем, чтобы данное подразделение не
подчинялось группе или должностным лицам, ответственным за экологические вопросы в деятельности
организации. Если такая подчиненность имеет место, то это может расцениваться как нарушение
предусмотренной Стандартами независимости аудита. В этом случае РВА может предложить свою
помощь в выполнении задания аудиторам, специализирующимся на экологическом аудите (аудиторам-
экологам).
К факторам подверженности риску, которые необходимо оценивать, относятся:
• организационные структуры, занимающиеся подготовкой отчетности;
• вероятность причинения экологического вреда, наложения штрафов и других взысканий;
• размеры расходов, предусмотренные Агентством по охране окружающей среды (или другим

государственным ведомством, выполняющим аналогичные функции);
• статистика случаев травматизма и смертельных исходов;
• наличие фактов потери покупателей (заказчиков), а также негативной рекламы и нанесения

ущерба имиджу и деловой репутации компании.
Не являются исключением ситуации, когда служба экологического аудита подчиняется руководству

подразделения (службы), занимающегося вопросами охраны окружающей среды, либо юридической
службе (юрисконсульту) организации, а не руководителю внутреннего аудита.
Рекомендации для руководителя внутреннего аудита

Руководитель внутреннего аудита (РВА) и директор по вопросам охраны окружающей среды должны
поддерживать тесные отношения с тем, чтобы они могли координировать и планировать проведение
экологического аудита. В тех организациях, где служба экологического аудита подчиняется другому
органу, а не руководителю внутреннего аудита, РВА всё равно должен проверять план аудита и ход
выполнения заданий по экологическому аудиту. Цель таких проверок заключается в том, чтобы РВА мог
установить, принимаются ли надлежащие меры к рискам, связанным с окружающей средой.
Экологический аудит может быть:
• ориентирован на проверку нормативно-правового соответствия (т.е. подтверждение того, что

организация соблюдает соответствующие законы и нормативные акты); либо
• ориентирован на проверку управленческих систем (т.е. оценку систем и методов управления,

предназначенных обеспечивать соответствие законодательным требованиям и внутренним
нормативным документам, а также минимизировать риски); либо
• сочетанием перечисленного выше.
РВА должен оценивать место в организационной структуре и независимость службы экологического

аудита с целью убедиться, что все существенные вопросы, обусловленные серьезными рисками для
организации, докладываются по соответствующей цепочке инстанций в комитет по аудиту или другой
комитет Совета. РВА также должен следить за тем, чтобы информация о серьезных рисках в области
ОТОСБ и проблемах контроля сообщалась в комитет по аудиту или другой комитет Совета.
Вопрос 31: Организация рассматривает возможность покупки коммерческого объекта. Особенности

местоположения объекта и информация о его использовании в прошлом заставили руководителей
организации поручить службе внутреннего аудита совместно с юристом дать предварительную
оценку ответственности за ущерб окружающей среде. Главной причиной, заставившей руководство
организации поручить проведение данного расследования, является следующая:
a) возможные размеры материальной ответственности за ущерб окружающей среде могут

перевесить выгоды от покупки этого коммерческого объекта;
b) руководство организации получит возможность снизить цену предложения за этот объект, если
факт загрязнения окружающей среды будет выявлен;
c) настоящий владелец объекта будет обязан по закону ликвидировать загрязнение до закрытия

сделки купли-продажи.
d) регулирующие инстанции требуют от покупателя выявлять и раскрывать информацию обо всех

имеющих место или возможных случаях загрязнения окружающей среды.
Приведенная ниже информация относится к последующим трем вопросам.
Компания имеет два промышленных предприятия. На каждом предприятии выполняется по два

производственных процесса и по отдельному процессу упаковки готовой продукции. Процессы на
обоих предприятиях идентичны. В состав используемых в процессе производства материалов
входят: алюминий, сырье для производства пластмасс, различные химические соединения и
растворители. Загрязнение окружающей среды происходит на нескольких производственных
стадиях, включая первичную обработку сырья и хранение, процесс использования химических
веществ в производстве и обслуживание готовой продукции. Безвредные отходы отвозятся на
местную мусорную свалку. Для обработки, хранения и утилизации опасных (токсичных) отходов
привлекается внешняя компания по переработке и утилизации отходов.
Руководство компании понимает необходимость соблюдения требований законодательства в области

охраны окружающей среды. Недавно компания разработала политику в области охраны окружающей
среды, в которой, в частности, содержится положение, что каждый работник организации несет
ответственность за соблюдение законодательства по охране окружающей среды.
Вопрос 32: Руководство рассматривает необходимость подготовки программы экологического

аудита. Что из указанного ниже не должно включаться в эту программу в качестве общей цели?
a) Проведение оценки мест застройки обоих производственных объектов.
b) Подтверждение соблюдения компанией законодательства по охране окружающей среды.
c) Оценка возможностей минимизации объемов производственных отходов.
d) Предоставление гарантий, что управленческие системы отвечают требованиям минимизации

будущих экологических рисков.
Вопрос 33: Если службе внутреннего аудита поручается проведение экологического аудита, какое из
перечисленных ниже действий следует выполнить в первую очередь?
a) Провести оценку риска на каждом из производственных объектов.
b) Проверить внутренние нормативные документы и их нормативно-правовое соответствие.
c) Обеспечить необходимую техническую подготовку аудиторов, назначенных на задание.
d) Проверить систему экологического менеджмента.
Вопрос 34: Во многих странах компании, в производственном процессе которых выделяются

опасные отходы, несут ответственность за эти отходы с момента их создания и до полной
утилизации («от колыбели до могилы»). Потенциальным риском для компании является
использование услуг внешней сервисной организации – предприятия по переработке и утилизации
опасных отходов. Какие из перечисленных ниже процедур следует выполнить во время
предварительной проверки сервисной организации – предприятия по переработке отходов?
a) Проверка документации сервисной организации о работе с опасными отходами.
b) Проверка финансовой состоятельности сервисной организации.
c) Проверка наличия у сервисной организации плана действий в чрезвычайных ситуациях.
d) Все перечисленные выше процедуры следует выполнить во время предварительной проверки

сервисной организации.
Аудиторские задания по оценке результатов деятельности CIA Часть 2
Аудиторские задания по оценке результатов деятельности

(Аудит исполнения / Аудит качества деятельности)
Выше в этом разделе мы говорили о том, что аудиторы, выполняя финансовый аудит, основное
внимание уделяют непосредственно надежности и достоверности финансовой информации,
вырабатываемой системой, и только косвенно оценивают результативность и продуктивность самой
системы, которая вырабатывает эту финансовую информацию. С другой стороны, операционный аудит
(аудит результатов деятельности) уделяет непосредственное внимание результативности,
продуктивности и экономичности получения данной информации. Направленность операционного
аудита заключается в оказании помощи руководителям компании с тем, чтобы они могли достичь цели
своей деятельности. Операционный аудит (аудит результатов деятельности) – это аудиторское задание,
которое проводится с целью тестирования процедур и методов функционирования хозяйственной
системы компании для оценки экономичности, продуктивности и результативности её деятельности по
достижению целей в установленные сроки и с заданным качеством, а также их соответствия требованиям
применимых нормативно-правовых актов.
На последующих страницах мы рассмотрим два вида аудиторских заданий, связанных с проверкой

результатов деятельности – аудит экономичности и продуктивности и аудит результативности, которые,
наряду с оценкой продуктивности, включают оценку результативности и экономичности программ или
деятельности аудируемого лица. Однозначная классификация аудиторских заданий между этими видами
зачастую вызывает затруднения (по ряду характеристик задания по операционному аудиту бывают
схожи с заданиями по предоставлению консультаций). Вместе с тем, однозначная классификация видов
аудиторских заданий, связанных с оценкой результатов деятельности, не имеет первостепенного
значения. Вполне возможно, что в рамках одного аудиторского задания будут охвачены цели, присущие
нескольким видам заданий этого типа.
Аудит экономичности и продуктивности

Аудиторское задание по проверке/оценке экономичности и продуктивности представляет собой аудит
программы или деятельности, который в первую очередь направлен на оценку исполнения и качества
деятельности аудируемого лица, а также того, насколько экономично и продуктивно эта деятельность
осуществляется. В рамках такого задания определяются следующие параметры.
• Используются ли ресурсы для выполнения конкретной деятельности экономично и

продуктивно. Чтобы определить это, необходимо иметь соответствующие цели и стандарты
(целевые показатели или нормативы) как эталон для измерения результатов деятельности.
«Профессиональное отношение к работе» предполагает оценку установленных действующих
стандартов/нормативов деятельности и определение приемлемости данных стандартов (т.е.
являются ли они реалистичными и совместимыми со стратегическим планом организации), а
также оценку того, выполняются ли установленные стандарты. Чтобы задание имело смысл,
аудиторы должны сопоставить полученные ими результаты со стандартами.
Критерии, которые можно использовать для оценки фактических показателей деятельности по

сравнению с плановыми, могут, например, включать следующее: Сколько счетов-фактур
должен обрабатывать специалист подразделения по расчетам с поставщиками в течение
рабочего дня? Сколько телефонных звонков должен обрабатывать сотрудник абонентской
службы в течение рабочего дня?
Сведения об используемых стандартах могут исходить из различных источников – должностных

инструкций, спецификаций продукта, контрактов, стандартов расчета себестоимости и т.п.
Если целевые показатели и стандарты не были установлены, и не удается добиться согласия

клиента по поводу этих показателей и стандартов, такая ситуация сама по себе считается
недостатком, поскольку только руководители несут ответственность за установление целей и
стандартов для себя и находящихся в их подчинении работников подразделения.
CIA Часть 2 Прочие виды заданий по операционному аудиту
Примечание. Цели обычно отражают позицию высшего руководства и совета директоров в

отношении показателей, которые должны быть достигнуты организацией. Поэтому аудиторам
необходимо ознакомиться с такими целями, чтобы выбираемые ими стандарты (целевые
показатели) соответствовали общим целям организации. Внутренние аудиторы не имеют
полномочий и не несут ответственности по установлению целей, задач или стандартов для
персонала, занятого в основной деятельности. Тем не менее, внутренний аудитор может
идентифицировать цели и стандарты и, обсуждая их с клиентом аудиторского задания,
достичь принятия этих целей и стандартов клиентом.
• Причины неэффективности деятельности. Один из способов выявления проблем – это

беседы с работниками подразделения-клиента аудиторского задания или с работниками,
занятыми на более поздних этапах бизнес-процесса, на которые влияет неэффективность
подразделения-клиента. После того как проблемы выявлены, внутренние аудиторы могут
приступить к изучению используемых систем и процедур и определить, почему данные системы
и процедуры не способствуют предотвращению проблем. Если в этих проблемах виноваты сами
работники, которые не следуют установленным процедурам, то это, скорее всего, означает либо
неадекватность и неэффективность надзора за работой персонала и уровня его подготовки,
либо неадекватность применяемых систем и процедур для этой работы. Выявленные причины
неэффективности должны быть доведены до сведения руководства.
• Соблюдение законов и нормативных актов относительно вопросов экономичности и

продуктивности. Внутренний аудитор должен знать законы и другие нормативные акты,
которые регулируют данную область.
Аудит результативности программы

Аудиторское задание по проверке/оценке результатов конкретной программы представляет собой аудит
определенной программы или деятельности, который в первую очередь направлен на оценку того,
насколько результативной, затратной, приносящей выгоды или потери является эта программа или
деятельность. В рамках аудиторских заданий по оценке результативности проводится тестирование на
предмет сопоставления фактических результатов и установленных критериев с целью оценить:
• достижение желаемых, заранее установленных целей;
• результативность программ или деятельности по достижению установленных целей;
• соблюдение законов и нормативных актов, которые регулируют аудируемую программу или

деятельность.
Прочие виды заданий по операционному аудиту

Далее мы рассмотрим другие виды аудиторских заданий по операционному аудиту, которые могут
выполняться внутренними аудиторами, и которые перечислены ниже.
• Аудиторские задания в сфере е-коммерции.
• Аудиторские задания по комплексным финансово-правовым проверкам.
• Аудит планов по обеспечению непрерывности бизнеса.
• Аудит системы обеспечения качества.
• Аудит средств физической защиты.
• Аудит третьих сторон и аудит контрактов.
• Аудит системы сохранности персональных данных.
Прочие виды заданий по операционному аудиту CIA Часть 2
Аудиторские задания в сфере е-коммерции

Международные основы профессиональной практики Института IIA (МОПП) определяют электронную
коммерцию (е-коммерция) как «ведение коммерческой деятельности в сети Интернет». И поскольку е-
коммерция относится к коммерческой деятельности, она включена в раздел, посвященный обсуждению
вопросов проведения заданий по аудиту финансовой отчетности. Коммерческая деятельность в сфере е-
коммерции может быть следующих типов: бизнес для бизнеса (B2B), бизнес для потребителя (B2C)
и бизнес для работника (B2E).
Понимание и планирование аудиторского задания в сфере е-коммерции

Е-коммерция становится все более типичной для хозяйственных субъектов во многих отраслях и сферах
деятельности, поэтому для внутренних аудиторов становится всё более важным понимание ключевых
вопросов, которые возникают в среде е-коммерции. Важность данной области еще более возрастает,
если учесть темпы изменений применяемых в е-коммерции технологий. Как технологии, так и средства
е-коммерции изменяются очень быстро, и внутреннему аудиту нужно идти в ногу с этими изменениями.
Например, факсимильные аппараты уже уступили место другим более современным способам передачи
информации; и сейчас технологии обработки текстовых сообщений позволяют передавать информацию
на огромные расстояния, не создавая при этом копий на твердых носителях. Поэтому компания, которая
по-прежнему использует факсимильные аппараты, может обнаружить, что теряет прежнее положение по
сравнению с её более технологически передовыми конкурентами.
Основными элементами аудиторских проверок в сфере е-коммерции являются следующие:
• оценка структуры внутреннего контроля, включая созданную высшим руководством рабочую

атмосферу;
• предоставление достаточных гарантий достижения поставленных целей и задач;
• определение, являются ли риски приемлемыми;
• понимание особенностей информационных потоков;
• проверка имеющихся интерфейсов (между аппаратными комплексами, разным программным

обеспечением, аппаратным комплексом и программным обеспечением);
• оценка вопросов непрерывности бизнеса и планов аварийно-восстановительных работ.
Руководитель внутреннего аудита должен оценить, в какой степени служба внутреннего аудита
обладает необходимой квалификацией и возможностями для выполнения аудиторских заданий в
рассматриваемой сфере бизнеса. Если профессиональные знания и навыки недостаточны, РВА решает,
каким образом их следует приобрести (за счет организации тренингов для имеющегося персонала
службы внутреннего аудита, аутсорсинга аудиторских услуг и т.п.). Ниже перечисляются некоторые
факторы, которые могут ограничивать результативность работы внутренних аудиторов в этой области.
• Обладает ли служба внутреннего аудита достаточной квалификацией? Если нет, то можно ли

восполнить этот пробел?
• Есть ли необходимость в проведении тренингов и привлечении дополнительных ресурсов?
• Достаточна ли штатная численность персонала службы внутреннего аудита в краткосрочном и

долгосрочном плане?
• Может ли служба внутреннего аудита выполнить утвержденный план аудиторских заданий?
Вопросы рисков и контроля в сфере е-коммерции

Аудит системы е-коммерции схож с аудитом любой другой традиционной бизнес-системы с точки зрения
целей и задач аудиторских заданий. Разница только в структуре информации, которая проверяется.
Например, в сфере е-коммерции могут отсутствовать документы в бумажном виде (так как информация
хранится на электронных носителях в базах данных), некоторые данные могут существовать лишь очень
короткий период времени, может отсутствовать бумажный «след». В отличие от этого в обычной бизнес-
системе не существует подобных проблем, которые необходимо учитывать. Такие различия в структуре
информации порождают новые риски и проблемы в сфере контроля, которые менеджмент организаций
должен хорошо понимать и уметь минимизировать.
К некоторым ключевым рискам и проблемам в области контроля, с которыми придется столкнуться

внутреннему аудитору в ходе выполнения задания в сфере е-коммерции, относятся:
• общие риски проекта;
• возможность для фиктивных продаж и доходов;
• возможность для конкурентов получить доступ к критически важной информации;
• специфические угрозы безопасности, а именно: сетевые атаки типа «отказ в обслуживании»,

физические атаки, компьютерные вирусы, «кража личности» (хищение персональных данных),
а также несанкционированный доступ к информации или ее несанкционированное раскрытие;
• поддержание целостности операций, осуществляемых в рамках сложной сети взаимосвязей с

существующими системами и хранилищами данных;
• анализ содержания веб-сайта и его утверждение – когда речь идет о частых изменениях в
содержании информации на сайте, а также, когда на сайте имеются дополнительные свойства и
возможности с круглосуточным доступом для пользователей;
• быстрая смена используемых технологий;
• правовые аспекты, например, всё возрастающее число нормативных документов по всему миру,
защищающих личную информацию в электронной сфере; правоприменение в части контрактов
за пределами страны базирования организации; вопросы ведения бухгалтерского учета и
налогообложения;
• изменения в окружающих бизнес-процессах и организационных структурах.
Оценка рисков в сфере е-коммерции должна проводиться часто ввиду высоких темпов технического
прогресса в этой области. Кроме того, внутренние аудиторы должны уделять внимание появляющимся в
СМИ информационным материалам о взломах систем безопасности и другим новостям подобного рода, а
также изменениям в деятельности на рынке е-коммерции, осуществляемой самой организацией, в
которой работают аудиторы.
Чтобы адекватно оценивать риски, связанные с е-коммерцией, ИТ-функция службы внутреннего аудита
должна хорошо понимать используемые в этой сфере системы и техническую инфраструктуру, включая
Web-серверы, методы и протоколы передачи данных, брандмауэры, порталы, серверные приложения,
промежуточное ПО и характеристики связи с системами бэк-офиса. Им потребуется определять, какие
программы влияют на данные, где расположены и каким образом распределены программы и серверы,
какие процессы задействованы. Аудиторам также потребуется оценивать эффективность систем и
процедур контроля, связанных с обработкой особо важной и конфиденциальной информации, а также
оценивать процедуры мониторинга. Возможно, что потребуется получить подтверждение адекватности
указанных процессов и процедур от внешних источников.
Аудит видов и направлений деятельности в сфере е-коммерции

При обсуждении вопросов управления рисками и процессов контроля для внутреннего аудитора важно
не быть застигнутым врасплох уникальностью данной бизнес-среды, в результате чего он может
утратить понимание ситуации. Особенно важно убедиться, что все процессы е-коммерции имеют
эффективные средства внутреннего контроля.
Цели аудиторских заданий в сфере е-коммерции могут быть следующими:
• Свидетельства осуществления операций с помощью е-коммерции.
• Наличие и надежность системы безопасности.
• Наличие эффективного порядка взаимодействия (интерфейса) между системой е-коммерции и

финансовыми системами.
• Безопасность денежных операций.
• Эффективность процесса аутентификации покупателя.
• Адекватность процессов, обеспечивающих непрерывность бизнеса, включая возобновление

операций.
• Соответствие общепринятым стандартам безопасности.
• Эффективное использование цифровых подписей и контроль в этой области.
• Адекватность систем, политик и процедур, обеспечивающих контроль сертификатов открытых

ключей (путем использования криптографических методов с использованием инфраструктуры
открытых ключей).
• Адекватность и своевременность поступления оперативной информации и данных.
• Наличие документально оформленных свидетельств эффективности функционирования системы

внутреннего контроля.
Особенности аудита того или иного вида или направления деятельности в сфере е-коммерции будут
различаться в зависимости от отрасли, страны, бизнес-модели или правовой системы. Вместе с тем
существуют некоторые стандартные правила проведения аудита, которыми можно воспользоваться для
проведения заданий в ключевых направлениях или видах деятельности в сфере е-коммерции. Эти
правила рассматриваются ниже.
1) Организация е-коммерции. Внутренний аудитор должен выполнить указанные виды работ.
• Определить стоимость операций.

• Идентифицировать внешние и внутренние заинтересованные стороны.
• Проанализировать изменения в управленческом процессе.
• Проанализировать бизнес-план в сфере е-коммерции.
• Оценить правила, используемые в рамках инфраструктуры открытых ключей (в частности,
правила выдачи сертификатов открытых ключей).
• Проверить процедуры генерации, подтверждения и получения электронной подписи.
• Изучить условия соглашений о предоставлении услуг между покупателем, поставщиком и
центром сертификации (организацией, ответственной за выдачу и подтверждение цифровых
сертификатов).
• Проверить адекватность политики в области обеспечения качества.
• Оценить адекватность политики в области защиты конфиденциальности личной информации и в
области надзора за нормативно-правовым соответствием применительно к е-коммерции.
• Оценить способность системы быстро реагировать на события, связанные с компьютерной
безопасностью.
2) Мошенничество. Внутренний аудитор должен осознавать возможность появления новых проблем,

связанных с мошенничеством, которые подлежат проверке внутренним аудитором и к которым
относятся указанные ниже.
• Несанкционированный перевод денег (например, перевод денежных сумм в те юрисдикции,

откуда возврат этих средств сопряжен со значительными трудностями).
• Дублирование платежей.
• Отказ от факта размещения или получения заказа, либо факта доставки товара или факта
получения платежа.
• Отчеты и процедуры по уведомлению об исключительных операциях («файлов исключений»);

эффективность последующих шагов.
• Цифровые подписи: Используются ли они для всех операций? Кто авторизует эти подписи? Кто
обладает правом доступа к этим подписям?
• Защита от компьютерных вирусов и атак хакеров.
• Права доступа: Регулярно ли они проверяются? Оперативно ли они заменяются при изменениях
в штате работников?
• Архив данных о перехвате операций, которые пытались осуществить лица, не имеющие для
этого разрешения и полномочий.
3) Подтверждение подлинности операций/аутентификация. Внутренний аудитор должен

проверить установленные правила и процедуры по проверке подлинности транзакций и оценить
эффективность системы и средств контроля в данной области, установив перечисленное ниже.
• Наличие доказательств проведения регулярных проверок.
• Используемые руководством средства внутренней оценки (самооценки эффективности системы

внутреннего контроля).
• Регулярные независимые проверки.
• Соблюдение принципа разделения обязанностей.
• Обеспечение руководством наличия необходимых инструментальных средств: брандмауэров

(многоуровневых систем защиты для отделения е-коммерции от других видов и направлений
деятельности компании), управление паролями, независимая выверка счетов и наличие
контрольных записей («следов») регистрации сетевых событий.
4) Нарушение целостности данных. Внутренний аудитор должен оценить эффективность системы и

средств контроля в области целостности данных, установив перечисленное ниже.
• Кто вправе вносить изменения в каталоги, цены или тарифы? Каков механизм утверждения
изменений?
• Может ли кто-то уничтожить контрольные записи («следы») регистрации сетевых событий?
• Кто утверждает изменения на электронной доске объявлений?
• Каковы процедуры размещения заказов и их регистрации?
• Обеспечивается ли надлежащее документарное подтверждение при проведении онлайновых

тендеров (аукционов)?
• Имеются ли необходимые инструментальные средства, включая: систему мер по обнаружению

незаконного вторжения (программы для мониторинга вторжений, наличие автоматического
отключения, анализ тенденций), обеспечение физической безопасности в отношении серверов,
используемых для поддержки е-коммерции, контроль изменений, сверки)?
5) Прерывание деятельности (обеспечение непрерывности бизнеса). Внутренний аудитор

должен проверить, имеет ли организация план обеспечения непрерывности бизнеса, и установить,
тестировался ли этот план на практике. Руководство компании должно разработать резервные
средства выполнения обработки транзакций (план действий) в случае прерывания деятельности
(ожидаемого или непредвиденного нарушения нормальной деятельности), а также предусмотреть
процедуры по обеспечению непрерывности бизнеса в условиях, которые указаны ниже.
• Крупномасштабные атаки.
• Атаки, приводящие к отказу в обслуживании законных пользователей.
• Нарушения в обмене информацией между системами е-коммерции и управления финансами.
• Использование резервных средств.
• Использование стратегий противодействия в случаях несанкционированной попытки доступа к

компьютерным данным (хакерство), использования неавторизованных компьютерных программ
с враждебными целями, взлома систем контроля доступа («крэкерство»), компьютерных
вирусов («черви», «Троянские кони», доступ «с черного хода»).
6) Вопросы управления. Внутренний аудитор должен оценить, насколько эффективно бизнес-

подразделения управляют процессами е-коммерции. Ниже дан список некоторых вопросов,
которые должны учитываться при осуществлении такой оценки.
• Проверки отдельных инициатив и хода выполнения рабочих проектов в целом, которые должны
проводиться руководством проекта.
• Проверки жизненного цикла разработки систем.
• Выбор поставщиков, их характеристики, соблюдение работниками правил конфиденциальности

информации и оформление материальной ответственности.
• Экономический анализ после установки и запуска системы: Были ли достигнуты ожидаемые

выгоды? Какие показатели используются для оценки и измерения результатов?
• Анализ после установки и запуска системы: Все ли новые процессы запущены и работают, как
запланировано?
Вопрос 35: Аудит системы е-коммерции включает всё указанное ниже, кроме необходимости:
a) понимания информационных потоков;
b) оценки адекватности процессов обеспечения непрерывности бизнеса и планов аварийно-

восстановительных работ;
c) оценки внутрифирменной структуры, включая рабочую атмосферу, установленную высшим

руководством;
d) предоставления гарантий достижимости целей и задач.
Задания по комплексному финансово-правовому аудиту

Аудиторские задания по комплексным финансово-правовым проверкам обычно проводятся в связи с
предстоящими (потенциальными) сделками по слиянию или поглощению, образованию совместного
предприятия и выбытию компании. Целью этих заданий является подтверждение обоснованности
причин для осуществления указанных сделок или выявление проблем, требующих решения до начала
сделок. Внешние профессиональные консультанты обычно входят в состав группы аудиторов,
выполняющих задание по комплексной проверке, и нередко даже возглавляют ее.
В рамках предварительного соглашения о покупке бизнеса должно предоставляться право доступа к

бухгалтерским книгам, помещениям и производственным мощностям продавца, чтобы покупатель мог
провести предварительную комплексную проверку юридической чистоты сделки. Предложения о
покупке компании или активов компании обычно зависят от результатов анализа, проведенного в
рамках задания по комплексному финансово-правовому аудиту, который включает проверку всей
финансовой документации и других документов, которые могут иметь существенное отношение к
потенциальной сделке. Продавец компании или активов может также провести предварительную
комплексную проверку потенциального покупателя, чтобы определить его покупательскую способность,
а также другие параметры, которые могут повлиять на положение сторон после закрытия сделки. Таким
образом, по своей сути комплексная финансово-правовая проверка является способом предотвращения
ненужного ущерба для любой из сторон, участвующих в сделке.
Примером аудиторского задания по комплексной финансово-правовой проверке будет экологический

аудит, имеющий отношение к сделке по приобретению земельного участка. Целью аудиторского задания
в данной ситуации будет проверка земельной собственности на предмет возможного загрязнения
окружающей среды, чтобы определить, будет ли ответственность за ликвидацию последствий
ухудшения состояния окружающей среды (если оно будет иметь место) лежать на покупателе земли.
Покупатель земельной собственности может оказаться ответственным за загрязнение окружающей
среды в результате деятельности предыдущих владельцев, и размер ответственности за ухудшение
состояния окружающей среды может оказаться выше рыночной цены земли, приобретенной
покупателем.
Аудиторские проверки должной экологической осмотрительности/правовой дисциплины в

части воздействия на окружающую среду впервые начали проводиться кредиторами, чтобы не допустить
материальной ответственности за имущество по своим кредитным портфелям. Сейчас проведение такого
рода аудиторских проверок является стандартным требованием при выдаче кредитов или
осуществлении инвестиций в объект недвижимости. Оценка материальной ответственности включает
подготовительные мероприятия, посещение объекта, проверку учётной документации и материалов, в
том числе о преждепользовании земли, проверку на соответствие нормативным требованиям, изучение
результатов геологической и гидрогеологической проверок, а также подготовку итогового отчета. Если в
процессе оценки материальной ответственности выявляется возможное загрязнение окружающей среды,
то выполняется подтверждающая выборка. Если факт загрязнения окружающей среды подтверждается в
ходе проверки, следующим этапом является характеристика загрязнения и оценка его уровня, а также
определение необходимых технологий по ликвидации последствий ухудшения состояния окружающей
среды. Эта аудиторская проверка потребует специальных знаний и проведения технических экспертиз,
которые невозможно будет осуществить без привлечения внешних специалистов.
Примечание. Понятие «due diligence» (в данном случае как «должная осмотрительность») также
относится к правовой защите бухгалтеров от материальной ответственности/исков за ошибки в
документе о регистрации ценных бумаг. В данном случае должная осмотрительность означает
«делать то, что и следует ожидать от обычного бухгалтера». Следование профессиональным
стандартам обычно считается достаточным фактом для доказательства должной осмотрительности и
является способом защиты против обвинений в мошенничестве или преступной небрежности.
Вопрос 36: К внутренним аудиторам часто обращаются с просьбой выполнить или помочь внешним
аудиторам в выполнении аудиторского задания по комплексной финансово-правовой проверке.
Финансово-правовая проверка в рамках такого задания может быть:
a) проверкой промежуточной финансовой отчетности в соответствии с требованиями компании-

андеррайтера;
b) операционным аудитом структурного подразделения компании с целью определить, соблюдает

ли руководство подразделения требования применимых законов и органов регулирования;
c) проверкой деятельности по запросу комитета по аудиту с целью установить, соответствует ли

деятельность требованиям комитета по аудиту и оперативной политике организации;
d) проверкой финансовой отчетности и связанного с этим раскрытия информации в связи с

потенциальной сделкой по приобретению.
Вопрос 37: Организация рассматривает возможность приобретения небольшого предприятия по

утилизации токсичных отходов. Внутренние аудиторы входят в состав группы, выполняющей
задание по комплексной финансово-правовой проверке перед покупкой. В объем и содержание
работы внутренних аудиторов, скорее всего, не будет входить следующее:
a) оценка существа дел против приобретаемой компании, находящихся в судебном производстве;
b) проверка процедур приемки токсичных отходов в приобретаемой компании и сравнение с

законодательными требованиями;
c) анализ соблюдения приобретаемой компанией условий кредитных договоров и раскрытия

соответствующей информации;
d) оценка эффективности деятельности приобретаемой компании.
Вопрос 38: Цена покупки новоприобретенной дочерней компании зависит от ее прибыльности в

первый год работы после покупки. Бывшие владельцы дочерней компании продолжат управлять ею.
Проводя задание по комплексной проверке этой компании, внутренние аудиторы должны обратить
особое внимание на:
a) процедуры капитализации основных средств;
b) процедуры выдачи заработной платы работникам;
c) процедуры выверки банковских счетов компании;
d) процедуры утверждения счетов-фактур поставщиков компании.
Аудит планов по обеспечению непрерывности бизнеса

Непрерывность бизнеса означает способность организации продолжать свою операционную (основную)
деятельность в период какого-либо кризиса или бедствия, а также способность к возобновлению
операционной (основной) деятельности после того, как эта деятельность была прервана. Кризисы или
бедствия могут быть вызваны природными силами (ураганы, наводнения), либо являться результатом
человеческих действий (война, экономический кризис в стране и пр.). Многие эксперты в сфере бизнеса
полагают, что суть вопроса не в том «если» произойдет кризис или случится бедствие, а «когда» это
произойдет. В этой связи долгосрочное планирование является жизненно важным для организации,
чтобы минимизировать убытки и обеспечить непрерывность своих бизнес-операций.
Служба внутреннего аудита должна периодически оценивать процесс планирования непрерывности

бизнеса с целью предоставить достаточные гарантии того, что данный процесс является действующим и
учитывает проблемы, с которыми организации, скорее всего, придется иметь дело. Эти планы должны
пересматриваться всякий раз, когда происходит смена технологий и изменение ситуации в бизнесе
организации. Например, 20 лет назад существовало множество различных проблем, связанных с
обеспечением сохранности документов, поскольку все они хранились в бумажном виде и, как правило,
имелось только по одному экземпляру каждого документа. В настоящее время документы хранятся как в
электронном, так и в бумажном виде. Соответственно, и те и другие требуют определенных и во многом
разных мер по обеспечению их сохранности.
Внутренние аудиторы могут оказывать помощь в планировании мероприятий на случай кризиса или
стихийного бедствия и других ситуаций, когда бизнес организации оказывается прерван. Они также
могут проводить оценку структуры и полноты охвата плана после подготовки его проекта и выполнять
периодические задания по предоставлению гарантий с целью подтверждения его актуальности.
Помогая в подготовке плана, внутренние аудиторы должны воздерживаться от непосредственного
участия в планировании непрерывности бизнеса, что является ответственностью исполнительного
руководства, поскольку позднее при выполнении аудиторских заданий по его проверке независимость
внутренних аудиторов может подвергаться отрицательному воздействию.
Указанная ниже информация предложена международным Институтом внутренних аудиторов и касается

оценки деятельности организации по обеспечению непрерывности бизнеса. Ключевым компонентом
применительно к обеспечению непрерывности бизнеса является наличие комплексного и действующего
плана восстановительных работ на случай непредвиденных обстоятельств. Основные элементы плана
восстановления после бедствия излагаются ниже.
Планирование
Организации полагаются на внутренних аудиторов в отношении анализа ведения деятельности и оценки
эффективности процессов управления рисками и контроля. Внутренние аудиторы обладают пониманием
общей картины бизнес-операций организации, а также отдельных бизнес-функций и их взаимосвязи.
Это превращает службу внутреннего аудита в исключительно ценный ресурс для проведения оценки
плана восстановительных работ в период его подготовки.
Служба внутреннего аудита в состоянии оказать помощь в оценке как внутренней, так и внешней
бизнес-среды. К числу внутренних факторов, которые может оценивать внутренний аудит, относятся:
текучесть управленческих кадров, изменения в информационных системах и системах контроля, а также
наиболее крупных проектах и программах, реализуемых организацией. К числу внешних факторов могут
относиться: изменения во внешней бизнес и нормативно-правовой среде, изменения рыночных условий
и условий конкуренции, международной финансово-экономической ситуации, а также изменения в
технологиях. Внутренние аудиторы могут помочь в идентификации рисков, затрагивающих важнейшие
направления деятельности организации, и определении приоритетов действий, выполняемых в период
восстановительных работ.
Оценка
Внутренние аудиторы могут внести свою лепту как объективные участники, осуществляя проверку
предложенного плана восстановительных работ и мероприятий по обеспечению непрерывности бизнеса
на предмет его структуры, полноты и общей адекватности. Аудитор может изучить данный план с целью
определить, что в нем отражены те операции, которые были включены и оценивались в процессе
оценки рисков, а также что данный план содержит достаточное количество пунктов, относящихся к
сфере внутреннего контроля, и предписаний по их выполнению.
Периодические аудиторские задания по предоставлению гарантий

Внутренние аудиторы должны периодически проводить аудит планов восстановительных работ и
мероприятий по обеспечению непрерывности бизнеса организации. Целью проведения аудита в этой
сфере является подтверждение адекватности данных планов, то есть, их способности обеспечивать
оперативное возобновление операций и процессов после прекращения действия неблагоприятных
условий, а также того, что эти планы действительно отражают текущие условия бизнес-среды, в которой
функционирует организация.
Планы восстановительных работ и мероприятий по обеспечению непрерывности бизнеса очень быстро

устаревают. Умение справляться с изменениями и адекватно реагировать на них является неотъемлемой
частью обязанностей руководства. Текучесть управленческих кадров, частая смена исполнительных
директоров в организации, изменения в конфигурациях и интерфейсах систем, замена программного
обеспечения – все это может оказать серьезное влияние на успешную реализацию указанных планов.
Служба внутреннего аудита должна проанализировать план восстановительных работ и определить:
• позволяет ли структура плана учитывать все важные изменения, которые могут произойти со
временем;
• будет ли новый план (с учетом корректировок) направлен всем заинтересованным лицам как
внутри организации, так и за ее пределами.
В ходе выполнения аудиторских заданий в данной сфере внутренние аудиторы должны дать ответы на
указанные ниже вопросы.
• Все ли планы отвечают современным требованиям? Имеются ли адекватные процедуры для

корректировки (обновления) этих планов?
• Все ли критически важные бизнес-функции и бизнес-системы охвачены планом? Если нет, то

имеется ли документальное объяснение причин невключения в эти планы отдельных функций и
направлений бизнеса?
• Основаны ли планы на оценке рисков и потенциальных последствий прерывания деятельности

организации?
• Оформлены ли планы документально и в полном соответствии с принципами и процедурами

организации? Отражено ли в этих планах распределение функциональных обязанностей?
• Готова ли организация и обладает ли она необходимыми возможностями для реализации

данных планов?
• Осуществлялось ли тестирование планов и выполнена ли их корректировка в соответствии с

результатами этого тестирования?
• Обеспечена ли надежная сохранность этих планов? Знают ли руководители организации место

хранения и условия доступа к планам?
• Известно ли местоположение резервных производственных и офисных помещений наемным

работникам? (Места расположения «горячих» и «холодных» резервных производственных и
офисных помещений).
• Предусматривают ли эти планы необходимость координации действий с местными аварийными

службами?
CIA Часть 2 Аудит системы обеспечения качества
Роль внутреннего аудитора после наступления бедствия

Внутренний аудитор может сыграть важную роль сразу после того, как произошло бедствие. Компания
находится в наиболее уязвимом состоянии сразу после наступления бедствия и пытается восстановить
свою работоспособность. Это такой период времени, когда существует наиболее серьезная опасность
отклонений в процессах контроля и в соблюдении предписанных процедур, в результате чего могут
создаваться условия для использования их в своих интересах (как внутри, так и вне организации).
В процессе восстановления внутренний аудитор должен выполнять следующее:
• осуществлять контроль и надзор за эффективностью восстановительных работ и управлением

деятельностью организации;
• выявлять те сферы и направления деятельности организации, в которых средства контроля и

действия, смягчающие последствия бедствия, могут быть улучшены;
• вносить рекомендации по улучшению плана обеспечения непрерывности бизнеса; и
• по возможности осуществлять поддержку в деятельности по восстановлению после бедствия.
Спустя несколько месяцев после бедствия внутренний аудитор может оказать необходимую компании
помощь, оценив извлеченные уроки в результате бедствия и последующих восстановительных работ, а
также сделав рекомендации по улучшению процесса подготовки плана по обеспечению непрерывности
бизнеса.
Однако следует учитывать, что, в конечном счете, высшее руководство организации определяет степень
участия внутренних аудиторов в обеспечении непрерывности бизнеса и восстановлении деятельности
организации после бедствия, принимая во внимание навыки, знания, независимость и объективность
аудиторов.
Вопрос 39: Внутренние аудиторы могут сыграть важную роль в процессе обеспечения
непрерывности бизнеса организации. Что из перечисленного ниже нельзя отнести к роли
внутренних аудиторов в подготовке плана по обеспечению непрерывности бизнеса или плана
восстановительных работ после бедствия?
a) Помощь в анализе рисков.
b) Оценка структуры и полноты охвата плана после подготовки его проекта.
c) Определение степени своего участия в восстановительном процессе.
d) Проведение периодических заданий по предоставлению гарантий с целью подтверждения

соответствия плана современным требованиям.
Аудит системы обеспечения качества

Концепция комплексного управления качеством (Total Quality Management, TQM) впервые
появилась в США, но подлинное развитие получила в Японии. Целью внедрения этой системы является
повышение доходов (уделяя основное внимание повышению уровня удовлетворенности клиентов) и
снижение затрат (сокращая потери и улучшая производительность) благодаря использованию процесса
непрерывного совершенствования в тех направлениях деятельности, которыми занимается компания.
Непрерывное совершенствование является одной из ключевых целей деятельности внутреннего аудита.
Это значит, что служба внутреннего аудита фактически гарантирует себе место в процессе внедрения
системы комплексного управления качеством в организации. Концепция комплексного управления
качеством основывается на двух подходах: «делать правильно с первого раза» и «абсолютная
нетерпимость к потерям». Работа в команде, непрерывное обучение, наделение полномочиями и
Аудит системы обеспечения качества CIA Часть 2
стимулирование инноваций на всех уровнях организации – вот основные компоненты комплексного

управления качеством.
Одной из основных идей концепции комплексного управления качеством является то, что у каждого
подразделения в организации имеется заказчик (потребитель), и этот факт необходимо держать в уме
постоянно. Для некоторых подразделений организации заказчики (потребители) находятся внутри самой
организации, но это не меняет сути. Выявление потребностей и ожиданий заказчика является серьезным
стимулом для подразделения-поставщика совершенствовать области деятельности, которые нуждаются
в улучшении, и устранять ненужные или лишние операции. Каждому работнику уготована своя роль в
процессе внедрения и развития системы комплексного управления качеством, так как каждый сотрудник
организации оказывает влияние на качество выпускаемой продукции или предоставляемой услуги.
Аудит системы обеспечения качества представляет собой аудиторскую проверку функции или
структурного подразделения организации с целью предоставления гарантий, что данные функция или
подразделение соблюдают установленные стандарты качества. Если они отсутствуют, то внутренний
аудитор должен способствовать принятию этих стандартов в сотрудничестве с руководством данной
проверяемой функции или подразделения.
В тех случаях, когда регулярный аудит системы качества проводится структурным подразделением по
контролю качества (либо другим подразделением, имеющим аналогичные обязанности), то внутренний
аудитор может координировать свою работу с данным подразделением. Возможно даже, чтобы такое
подразделение становилось составной частью внутреннего аудита организации.
Бенчмаркинг
Бенчмаркинг является основным инструментом при внедрении системы комплексного управления
качеством. Бенчмаркинг может помочь организации в управлении производительностью труда и
анализе бизнес-процессов. Тем самым он становится предметом услуг по консультированию, которые
предоставляет служба внутреннего аудита организации.
Бенчмаркинг – это использование компанией стандартов, принятых другими компаниями, в качестве

целевых показателей или модели для своей собственной деятельности. (Этот принцип также называют
«использование образцов передовой практики»). Бенчмаркинг – это процесс, в ходе которого
компания постоянно стремится соперничать с лучшими компаниями, имитируя их практику. Стремясь
соответствовать стандартам лучших компаний в мире, организация может добиться конкурентного
преимущества за счет достижения более высоких стандартов, чем те, что установили ее конкуренты. В
бенчмаркинге могут использоваться как финансовые (например, маржа прибыли), так и нефинансовые
(например, процент брака) критерии в качестве эталона для достижения.
Компания, которую используют в качестве образца для сравнения, не обязательно должна работать в
той же отрасли или стране, что и компания, использующая бенчмаркинг для совершенствования своей
деятельности. Компания, используемая в качестве эталона (стандарта) для сравнения, просто должна
использовать тот же процесс или стремиться к достижению той же цели, что и организация, которая
оценивает свою деятельность, используя бенчмаркинг. Так, погашение дебиторской задолженности по
своей сути является одинаковым в любой стране, поэтому компания, которая имеет эффективный и
результативный процесс погашения дебиторской задолженности, может быть использована в качестве
образца для сравнения во многих странах или отраслях.
Процесс бенчмаркинга
1. Выбор и определение приоритетов

в проектах бенчмаркинга
2. Организация целевых групп для

выполнения бенчмаркинга
3. Выявление и изучение образцов

передовой практики
4. Анализ факторов успеха у образцов

передовой практики
5. Фаза внедрения
6. Отслеживание результатов
внедрения и установка обратной
связи
Типы бенчмаркинга
В бенчмаркинге могут использоваться финансовые и нефинансовые критерии в качестве эталона.
• Финансовые критерии в бенчмаркинге – это использование числовых показателей для

сравнения, таких как уровень рентабельности, себестоимость единицы продукции и пр.
• Нефинансовые критерии в бенчмаркинге – это проведение сравнения на основе других

критериев, отличных от числовых, таких как процент своевременных поставок или процент
удовлетворенных обслуживанием клиентов.
Бенчмаркинг может быть внутренним или внешним.
• Внутренний бенчмаркинг – это проведение сравнений между разными отделами, процессами,

функциями и подразделениями организации и использование сравнительных внутрифирменных
показателей этой же организации в другом подразделении или в другой службе.
• Внешний бенчмаркинг – это сравнение показателей компании с аналогичными показателями

в других организациях. Чаще всего это сравнение с внешними конкурентами (бенчмарками),
что позволяет создать основу для последовательной реализации процесса усовершенствования.
Наиболее распространенными типами бенчмаркинга сегодня являются:
• Функциональный бенчмаркинг. Это сравнение с организациями, которые работают в той же

сфере. Функциональный бенчмаркинг предполагает сравнение с компаниями, не относящимися
к числу внутриотраслевых конкурентов, но осуществляющих ту функциональную деятельность,
в улучшении которой у себя заинтересована организация. Такое сравнение позволяет получить
информацию о последних достижениях в бизнесе, которым занимается компания.
• Бенчмаркинг с конкурентом. В этом случае в качестве образца для сравнения берется

лучший из конкурентов компании, однако технология проведения этого типа бенчмаркинга
намного сложнее. Основная проблема – конфиденциальность необходимой информации. Как
правило, информация, которая может быть свободно получена и использована, не дает полного
представления о протекающих процессах.
• Общий бенчмаркинг. В этом случае речь идет о сравнении процессов, которые по своей сути
являются одинаковыми и не зависят от отрасли или технологии производства, как, например,
обработка документации. Общий бенчмаркинг – это наиболее сложный и трудно реализуемый
вид, позволяющий сравнивать бизнес-процессы, протекающие в организациях, относящихся к
разным отраслям промышленности. Этот тип бенчмаркинга не настолько полезен, как
сравнение одинаковых процессов производства, но возможности для внутриорганизационного
улучшения, предоставляемые этим типом бенчмаркинга, являются наиболее оптимальными.
Вопрос 40: Что является примером внутреннего нефинансового сравнительного показателя?
a) Ставки (тарифы) заработной платы рабочих сравнимых уровней квалификации на заводе

конкурента.
b) Фактические средние удельные издержки на единицу продукции на самом эффективном

предприятии организации.
c) Установленный компанией лимит в размере 40 тыс. долларов для программ повышения

профессионального уровня работников на каждом из предприятий компании.
d) Процент доставленных вовремя заказов клиентам на самом эффективном предприятии

компании.
Недостатки бенчмаркинга
Выполненный корректно, бенчмаркинг может стать источником конкурентного преимущества. При этом,
проводя сопоставительный (бенчмаркинговый) анализ, компания не должна нарушать антитрестовское
законодательство и/или использовать методы недобросовестной торговой практики. Бенчмаркинг сам по
себе не направлен против и не мешает свободной конкуренции, однако компаниям следует проявлять
осторожность в отношении того, откуда они получают необходимую им информацию. Информация,
полученная из Интернета, научных книг и иных внешних источников, будет считаться удовлетворяющей
формальным требованиям. Но если компания занимается обсуждением системы установления цен с
конкурентами, то это может привлечь внимание регулирующих органов.
Некоторые другие возможные недостатки или связанные с бенчмаркингом проблемы перечислены ниже.
• Необходимо удостовериться, что проводится сравнение сопоставимых вещей (подобного с

подобным). Компании могут собирать и действительно собирают большое количество различных
типов данных, но при этом во многих случаях источники получения этих данных могут вызывать
сомнения, что может приводить к погрешностям сравнения. А в результате это приведёт к тому,
что компании придется потратить время на выверение данных, которые окажутся бесполезными
и не приведут к практическим результатам.
• Утрата заострённости внимания на клиентах и сотрудниках. Компании должны следить за

тем, чтобы в процессе выполнения бенчмаркинга не утратился акцент на важных аспектах,
таких как клиенты и сотрудники. С позиции сотрудника, в компаниях, которые стремятся
быстро улучшить показатели производства, работники могут испытывать производственный
стресс, который выражается в физической и моральной усталости, потере интереса к работе,
осознании неуспеха в ней. Они также могут сталкиваться с управленческими ошибками и
проблемами психологического климата в коллективе. Так, если компания хочет достичь
определенной цели в количественном выражении за счет ускорения получения дебиторской

задолженности и отсрочки уплаты кредиторской задолженности, то в итоге это может негативно
сказаться на отношении к компании её клиентов и поставщиков.
• Ненадлежащее выполнение. Если процесс бенчмаркинга осуществляется неправильно – без

надлежащей и полной поддержки высшего руководства и без вовлечения сотрудников
компании в процесс сопоставительного анализа, то в этом случае шанс того, что программа
бенчмаркинга будет успешной, существенно снижается. Сотрудники компании должны быть
вовлечены в процесс бенчмаркинга, так как именно они должны владеть необходимой
информацией, чтобы улучшать и совершенствовать процесс производства.
Аудит соблюдения стандартов качества ISO 9000

В 1987 году Международная организация по стандартизации ввела в действие стандарты ISO
9000. ISO 9000 – это набор стандартов, которые были разработаны с целью предоставления гарантий,
что обеспечивается требуемый уровень качества. Требования законодательства не предусматривают
обязательного соблюдения этих стандартов, равно как и получения сертификатов на соответствие этим
стандартам, но многие компании соблюдают эти требования, чтобы иметь возможность конкурировать на
международных рынках. Чтобы выполнить квалификационные требования для получения сертификата
соответствия ISO 9000, соответствие этим стандартам должно быть подтверждено внешним аудитором.
Однако, как и в случае с финансовыми операциями, аудиторская проверка, выполненная внутренними
аудиторами, может оказать неоценимую помощь в устранении ошибок и упущений в тех областях, в
которых планируется проведение внешнего аудита, что поможет избежать неприятных сюрпризов.
В состав ISO 9000 входят пять стандартов управления качеством.
1) ISO 9000 содержит описание основных концепций качества и руководящие указания в

отношении того, какие стандарты подходят для конкретных компаний.
2) ISO 9001 определяет модель обеспечения качества в процессе дизайна и разработки,

производства, инсталляции и обслуживания.
3) ISO 9002 определяет модель обеспечения качества в процессе производства и инсталляции.

Кроме того, в данном стандарте рассматриваются вопросы предотвращения, выявления и
исправления проблем в отраслях, в которых работа строится на основе дизайна и
спецификаций, предоставляемых заказчиками.
4) ISO 9003 определяет модель обеспечения качества в процессах окончательной проверки и

тестирования.
5) ISO 9004 помогает компании разработать и внедрить систему внутреннего контроля

качества или оценить эффективность имеющейся системы.
Эти стандарты не предназначены для обеспечения качества отдельной единицы продукта;

скорее, они приняты для предоставления гарантий, что уровень качества будет одинаковым у
всех продуктов конкретного типа, который производится компанией. Указанные пять стандартов
определяют только то, что именно должно быть достигнуто, но умалчивают о том, каким образом это
следует сделать. Они представляют собой скорее цель, а не точные инструкции для ее достижения.
Примечание. Дополнительно к указанным стандартам ISO, были разработаны и другие стандарты

ISO.
Международная организация по стандартизации (ИСО) также опубликовала набор стандартов в сфере

охраны окружающей среды, известный под номером ISO 14000. Эти стандарты во многом схожи со
стандартами ISO 9000; отличие заключается в том, что их предметом являются системы обеспечения
и контроля качества в сфере охраны окружающей среды. Данный стандарт применим к любой
организации, желающей разработать, внедрить, поддерживать функционирование и усовершенствовать
систему обеспечения и контроля качества в сфере охраны окружающей среды для гарантии самой себе,
что она соблюдает принятую ею политику по охране окружающей среды и демонстрирует соответствие
требованиям стандарта ISO 14001.
Международная организация по стандартизации выпустила стандарт ISO 19011, применимый ко всем

организациям, которым необходимо выполнять внутренние или внешние аудиторские проверки систем
управления и контролировать программы аудита.
Аудиторские задания по проверке соответствия стандартам ИСО

Объем аудиторского задания по проверке соответствия системы обеспечения качества стандартам ISO
9000 включает как масштабы аудита (проверку фактического местонахождения объекта, структурных
подразделений, видов деятельности и процессов), так и интервал времени, который будет охвачен
проверкой.
Такое аудиторское задание позволит определить соответствие применимым политикам и процедурам

организации, а также существующим стандартам, законам и нормам регулирования, требованиям
руководства организации, условиям заключенных контрактов и отраслевым кодексам поведения.
Подготовка к аудиту должна включать изучение документации клиента, включая документацию в
отношении системы управления и результатов выполнения прошлых заданий.
Сам процесс выполнения такого задания включает:
• интервью с работниками, наблюдения с целью изучения деятельности, рабочей обстановки и

условий труда;
• изучение документов проведенных инспекций, изучение документов программ мониторинга и

результатов измерений;
• запросы о получении информации в рамках запланированной аудиторской выборки и сведений

о системах контроля, относящихся к объектам аудиторских выборок и измерительных процедур;
• содержание обратной связи с заказчиками и поставщиками;
• сведения, получаемые из баз данных и Web-сайтов.
Информация, имеющая отношение к целям, объему и критериям аудиторского задания, должна быть
собрана с помощью аудиторского выборочного тестирования и подтверждена должным образом.
Внутренний аудитор, выполняющий задание по проверке соответствия стандартам ISO 9000, должен
хорошо знать соответствующие законодательные и нормативные акты и прочие требования,
применимые к организации или аудируемому подразделению, в том числе местные и национальные
нормативно-правовые акты, а также условия контрактов, соглашений, международных договоров и
конвенций.
Внутренние аудиторы, выполняющие эти задания, также должны обладать необходимыми знаниями в
области систем управления качеством, включая используемую терминологию, а также принципы,
средства и методы системы управления качеством (например, системы статистического контроля
процессов). Основополагающая идея системы статистического контроля процессов заключается в том,
что стабильный процесс производства должен обеспечивать изготовление продукции, характеристики
которой соответствуют принципам устойчивого статистического распределения. Отсутствие такой
статистической устойчивости в процессе означает наличие проблемы. Следовательно, с помощью
мониторинга статистической устойчивости конкретного производственного процесса оператор имеет
возможность выявить ситуацию, когда производство выходит из-под контроля, и качество продукции
находится под угрозой. Когда наблюдаются отклонения от статистической нормы, необходимо провести
корректировку (перенастройку) процесса, чтобы восстановить статистическую устойчивость и должный
контроль над качеством продукции. Цель в этом случае заключается в необходимости откорректировать
математическое ожидание среднеарифметического значения и сократить отклонение от номинальной
величины (сократить разброс параметров). Мониторинг контроля качества последующих операций будет
осуществляться с учетом произведенных корректировок средней арифметической и характеристик

статистического распределения. Аудит системы контроля качества должен подтвердить надежность и
целостность системы статистического контроля (производственных) процессов, а также способность
работников разобраться в этой системе и использовать ее в практической деятельности.
Более того, аудитор, выполняющий задание по аудиту системы обеспечения качества, должен хорошо
знать профессиональную терминологию, конкретную практику и процессы, которые характерны для
аудируемого вида бизнеса, а также технические характеристики процессов, продуктов и услуг. Если
внутренние аудиторы, входящие в группу по выполнению задания, не имеют необходимых специальных
знаний и навыков, возможно использование технических экспертов.
Аудит средств физической защиты

Аудит средств физической защиты подразумевает проверку того, что материально-техническая база
организации надлежаще охраняется, и что окружающая обстановка не представляет опасности для
жизни руководства и персонала организации. Такого рода аудит предполагает проверку системы охраны
периметра объекта (защиты объекта по периметру), защиты территории в непосредственной близости от
объекта и физической защиты самого объекта.
Аудит системы охраны периметра объекта (защиты объекта по его периметру) предполагает
проверку уровня безопасности границ земельного владения (собственности) и оценку рисков нарушения
этих границ, включая документирование выявленных рисков на карте объекта. Риски могут включать
железнодорожные пути, дороги, неохраняемые места доступа на территорию периметра объекта,
недостаточно освещенные места, линии электропередач, телефонные линии и прочие точки доступа к
объекту. Все камеры и устройства видеонаблюдения должны быть задокументированы. Все пункты
охраны должны быть идентифицированы; должно быть указано, являются ли они автоматическими или
обслуживаются охранниками, обнесены ли они заграждениями, оборудованы ли они телефонной связью,
кнопками для экстренного оповещения работников и средствами видеонаблюдения. Аудитор должен
предпринять попытку получить несанкционированный доступ на территорию объекта, как в обход
пункта контроля, так и через него (с помощью «социальной инженерии» или дружеских отношений).
Освещение должно быть достаточным для обнаружения незаконного проникновения.
Аудит системы безопасности (защиты территории в непосредственной близости от объекта)

включает определение уровня риска для зданий и сооружений на территории объекта со стороны
находящихся рядом зданий и других объектов. В рамках этого задания выясняется, проверяются ли
въезжающие на территорию близко к объекту транспортные средства на наличие оружия, токсичных и
взрывоопасных материалов; существуют ли процедуры, обеспечивающие пропуск на территорию и в
помещения объекта только тех посетителей, которые приходят по делу; обеспечена ли должная охрана
всех входов в помещения объекта и имеется ли видеонаблюдение.
Аудит физической безопасности (защиты) включает выяснение и проверку того, действительно ли

подходы к зданию объекта охраняются должным образом. Аудиторы должны обойти весь объект, чтобы
идентифицировать и задокументировать все факты, относящиеся к вопросам обеспечения безопасности
и охраны. Местоположение объекта и характеристики окон имеют огромное значение, поскольку окна
наиболее уязвимы при насильственном проникновении. Все двери должны быть навешены на несъемные
петли. Если используется система доступа по карточкам с кодами, то следует выяснить, обеспечивается
ли безопасность и сохранность сервера, а также проверить адекватность административных процедур
контроля доступа по карточкам. Этот процесс должен включать должную процедуру авторизации и
предварительную проверку сведений о работниках объекта. Работники должны носить соответственные
пропуски, для посетителей также должны быть предусмотрены специальные пропуски. Посетителей,
которые идут в зону допуска ограниченного круга лиц, должны всегда сопровождать. Оборудование
наблюдения должно быть идентифицировано и надлежаще задокументировано; также следует выяснить,
осуществляет ли служба безопасности контроль технических средств наблюдения.
Работники должны иметь возможность пользоваться услугами охраны для сопровождения их в места
парковки автомобилей после завершения рабочего дня и в другое время, в случае необходимости. Более
того, работники обязаны посещать учебные занятия, на которых объясняются процедуры на случай
пожара или угрозы бомбардировки объекта.
Сохранность материальных активов организации, например запасов, также является частью аудита
системы физической безопасности. Аудитор должен выяснить, как часто проводится инвентаризация,
поскольку эта процедура является основным способом для обнаружения воровства. Кроме того, зона
хранения товарно-материальных ценностей должна быть оборудована средствами наблюдения.
Физическая и логическая безопасность информационных систем представляют собой отдельные темы;

поэтому они рассматриваются в разделе, посвященном информационным системам в Части 3.
Аудит третьих сторон

Под «третьей стороной» понимается обслуживающая (сервисная) организация, которая занимается
обработкой операций, совершаемых между компанией и ее клиентами, работниками и торговыми
партнерами. Аудит третьей стороны считается целесообразным в тех случаях, когда поддержание
бесперебойного функционирования напрямую связано с непрерывной работой третьей стороны.
Тем не менее, аудиторское задание такого рода может осуществляться только с согласия третьей
стороны. Поэтому согласие третьей стороны должно быть получено до проведения задания посредством
заключения контракта. Контракт с сервисной организацией должен, в частности, точно определять
объем оказываемых услуг, стандарты услуг и минимально допустимые характеристики провайдера услуг
(например, средства контроля процессов выполнения и финансовое состояние сервисной организации).
Кроме того, если аудит сервисной организации считается необходимым, то контракт должен содержать
пункт о праве на проведение аудиторских проверок.
Примечание. Требования Закона Сарбейнса-Оксли придали еще большую важность отчетам

аудиторов о проверке третьей стороны для процесса представления отчетности об эффективности
систем внутреннего контроля в сервисных организациях. Требования данного Закона обязывают
руководство ежеквартально удостоверять финансовые результаты и ежегодно подтверждать, что
система внутреннего контроля в сфере финансовой отчетности является эффективной. Системы и
процедуры контроля, которые, по мнению руководства, имеют существенное значение для процесса
финансовой отчетности, должны документально фиксироваться и оцениваться, чтобы руководство
могло ежегодно подтверждать эффективность внутреннего контроля. Если организация использует
сервисную организацию для обработки операций, хранения данных или предоставления прочих
важных услуг, руководство должно организовать аудит дизайна и эффективности функционирования
средств контроля у провайдера услуг.
Примерами сервисных компаний, применительно к которым может проводиться аудит третьей стороны,
являются провайдер услуг по электронному обмену данными (EDI) или независимая компания,
занимающаяся администрированием программы выплат работникам организации. В этой ситуации сама
организация будет считаться «первой стороной», клиенты, работники и торговые партнеры организации
– «второй стороной», а провайдеры услуг – «третьей стороной».
Сервисные организации должны быть в состоянии продемонстрировать адекватность имеющихся у них

систем контроля и способность обеспечивать безопасность хранения и обработки данных, которые
являются собственностью заказчиков или клиентов этих заказчиков.
Аудит третьей стороны могут проводить либо внутренние аудиторы, либо независимый внешний
аудитор. Решение о том, проводить ли аудит третьей стороны силами внутренних аудиторов или следует
привлечь внешнего аудитора, должно основываться на результатах оценки рисков. А также необходимо
учитывать мнение руководителей организации о том, можно ли полагаться на собственных внутренних
аудиторов, либо есть необходимость привлечь внешних аудиторов (например, если для выполнения
такого задания требуются узкоспециальные знания, которыми могут не обладать внутренние аудиторы).
Далее, если для аудита третьей стороны организация прибегает к услугам внешнего аудитора, ей
необходимо удостовериться, что такой независимый внешний аудитор обладает должной
квалификацией, что объем выполняемого задания соответствует целям самой организации, и что все
существенные недостатки, отмеченные в заключительном отчете внешнего аудитора, впоследствии
исправляются.
Объем аудита третьей стороны будет зависеть от конкретной ситуации. Для подготовки аудита третьей
стороны внутренний аудитор должен получить понимание системы внутреннего контроля сервисной
организации, чтобы иметь возможность использовать эти знания в ходе планирования аудиторского
задания. Это особенно важно в тех случаях, когда сервисная организация занимается обработкой
транзакционных данных или выполняет другие услуги процессинга для организации-пользователя.
Аудитору также необходимо знать все применимые федеральные и местные законы и нормативные акты
в аудируемой области (как, например, законы о неприкосновенности персональных данных), чтобы
подтверждать соответствие провайдера требованиям этих законов и актов.
Аудит контрактов
Аудит контрактов обычно относится к аудиту строительных и связанных со строительством
контрактов или договоров/подрядов на эксплуатацию. Ниже нами рассматриваются три типа
контрактов, к каждому из которых прилагается список потенциальных рисков. Эти риски взяты из
неоднократно цитируемой нами книги Сойера.
1) Контракты с фиксированной ценой. Это контракты, в которых указывается общая цена согласно
спецификациям или требованиям. Несмотря на то, что окончательная цена в таких контрактах
является определенной и заранее установленной, существует ряд условий для контрактов этого
типа, которые требуют особого внимания. Именно: 1) промежуточная оплата за выполненные работы
(«процентовка»); 2) положения, регулирующие повышение стоимости контракта исходя из объема
выполняемых работ и их себестоимости (оговорки о скользящих ценах в зависимости от издержек);
3) штрафы за задержку платежа; и 4) индексирование издержек (например, при работе в полевых
условиях или за важные виды сырья). Контракты этого типа редко выполняются без внесения каких-
либо изменений в условия. Если контракт выполнен в соответствии с первоначальными условиями,
либо изменения первоначальных условий были незначительными, то объем аудита таких контрактов
бывает небольшим или аудит вообще не проводится. Аудиторские задания ставят перед аудиторами
более трудные задачи в тех случаях, когда в условия контракта внесены изменения, существенно
усложняющие контракт.
К рискам, связанным с контрактами данного типа, относятся перечисленные ниже.
• Несправедливая конкуренция, ненадлежащие условия страхования и залогового покрытия.
• Выдача свидетельства о завершении работ, когда на самом деле работы не завершены.
• Расходы на оборудование или работы, которые были недополучены.
• Положения (условия) контракта о повышении цен.
• Изменения в спецификациях или ценах и разрешение на изменения и дополнительные

материалы или объемы работ.
• Дополнительные расходы, изменения в объемах работ и прочие изменения, которые уже

записаны в условия первоначального контракта.
• Накладные расходы, включаемые как дополнительные издержки.
• Содержание распоряжений о внесении изменений, включая изменение соответствующей

оплаты.
• Неадекватная проверка спецификаций.
2) Договор «затраты плюс»/подряд с оплатой фактических расходов плюс прибыль. К этому

типу относятся такие контракты, условия которых предусматривают оплату заказчиком фактических
расходов с начислением определенного процента от этих расходов в виде прибыли подрядчика. Для
данного типа контрактов характерна серьезная проблема, заключающаяся в том, что подрядчик
(производитель работ) не заинтересован в экономии ресурсов и эффективности работ. Этот тип
контрактов обычно используется для выполнения проектов с большим числом неизвестных величин
(предположений), которые имеют большое значение. Особым моментом в ходе аудита подобных
контрактов является внимание к тому, что подрядчиком обычно не уделяется должное внимание
экономии затрат. Внутренний аудитор заказчика, скорее всего, будет участвовать в отслеживании
расходов, которые относятся подрядчиком на стоимость строительства.
• Накладные расходы относятся напрямую на счет заказчика.
• Неудовлетворительно функционирующая система внутреннего контроля подрядчика в области

расходов на оплату выполненных работ, материалов и услуг.
• Необоснованные счета, которые подрядчик выставляет за использование своего собственного

оборудования и инструментов.
• Избыточное укомплектование проекта рабочей силой.
• Отсутствие усилий, направленных на покупку (или аренду) оборудования и материалов по

оптимальным ценам.
• Выставление счетов заказчику на оплату труда или закупленных материалов на большую

сумму, чем фактически выплачено или израсходовано подрядчиком.
• Неспособность добиться скидок, возврата части страховой премии, сэкономить и сохранить

часть неиспользованных материалов после завершения работ.
• Дублирование работ или издержек (расходов) у головного офиса подрядчика и конторы на

стройплощадке.
• Отсутствие должного надзора и должной инспекции стройплощадки со стороны подрядчика или

представителей главного архитектора.
• Неадекватный информационный обмен и контроль выполнения решений со стороны головного

офиса.
• Не вызывающие доверия практика учета затрат и процедуры отчетности у подрядчика.
• Учет расходов на надзор как прямых затрат труда в нарушение условий контракта.
• Избыточные арендованные мощности.
• Плохо организованная работа и плохое качество работ.
• Нерациональное использование сырья и материалов, и преждевременные поставки материалов

и оборудования.
• Избыточно высокие стандарты обеспечения сохранности материалов и оборудования и плохое

их соблюдение.
• Отсутствие контроля рабочего времени у подрядчика, приводящее в результате к прогулам и

большому количеству сверхурочного времени.
• Сочетание работы по типу «издержки плюс» с фиксированной оплатой работ у подрядчика.
• Избыточные издержки заказчика, вызванные халатностью подрядчика.
3) Контракты с фиксированными тарифами по разным видам работ/подряд с уплатой по

отдельным статьям. Это контракты, в которых оговорена фиксированная цена (тариф) по видам
работ, но общий объем работ будет определяться по мере выполнения контракта. Например, общее
количество обработанных гектаров, общий объем перевозок (в кубических метрах) или общее
количество квадратных метров, патрулируемых службой безопасности.
• Избыточные промежуточные выплаты («процентовки»).
• Некорректная отчетность по объему выполненных работ.
• Цены, не связанные с издержками (стоимостью работ).
• Неправильные изменения условий оригинального контракта.
• Несанкционированные повышения тарифов и объемов работ.
• Неточности в записях на месте проведения работ или необоснованное увеличение тарифов.
Чтобы обеспечить защиту интересов компании, внутренним аудиторам рекомендуется выполнять свои
функции в течение всего процесса заключения контракта. Внутренние аудиторы должны обеспечить
проверку и оценку следующих пунктов, относящихся к заключению контракта:
• процедуры торгов (тендеров) на заключение контрактов, поставку и выполнение строительных

работ (конкурентные торги и пр.);
• предварительная смета расходов и организация контроля уровня издержек;
• налогообложение;
• условия контрактов и структуры промежуточных выплат подрядчику;
• подготовка бюджетов и финансовых прогнозов, проверка достаточности ресурсов и источников

финансирования;
• системы бухгалтерского учета и управления у подрядчика;
• наличие обязательных гарантий выполнения работ (наличие гарантийного фонда).
Аудит системы сохранности персональных данных

По закону неприкосновенность частной жизни означает право каждого индивида на невмешательство, а
применительно к любой информации об индивиде – недопущение раскрытия этой информации другими
лицами, которые, в силу обстоятельств, имеют к ней доступ.
Внутренние аудиторы должны удостовериться в том, что, помимо физической защиты информации, в
организации обеспечивается конфиденциальность информации (защита персональных данных), и эта
информация не передается лицам, не имеющим на это прав и полномочий, даже если эти лица являются
сотрудниками организации. Так, например, сведения о потребителе, которые хранятся в базе данных
компании, не должны раскрываться третьей стороне без надлежащего согласия этого потребителя.
Использование понятия «раскрытие информации» относится как к деликатным сведениям (например,
сведения о банковских счетах, о кредитной истории, о размерах и условиях кредитов), так и к менее
деликатной информации (номер домашнего телефона, адрес электронной почты, размер личного дохода,
группа крови и пр.).
Проблемы сохранения секретности персональных данных имеют место повсеместно в деятельности

организации – от бумажных документов до внутрифирменных баз данных и политик организации в
отношении накопления данных на своем веб-сайте.
Неспособность обеспечить защиту персональных данных с помощью соответствующих процедур

контроля может иметь существенные последствия для организации. Такая неспособность может
отрицательно повлиять на репутацию отдельных лиц и/или организации и подвергнуть организацию

рискам. С позиции отдельных лиц, эта неспособность приводит к смущению, чувству неудобства,
ощущению несправедливости и так далее, что, в конечном счете, может негативно отразиться и на
организации в целом. Для организации негативные последствия неспособности обеспечить защиту
персональных данных могут привести к судебным искам, штрафам, денежным взысканиям и другим
правовым последствиям, а что особенно важно, – к снижению доверия покупателей и сотрудников,
испорченной деловой репутации и негативной рекламе. Вследствие перечисленных причин вопрос о
защите персональных данных приобретает ключевое значение для организаций. Вот почему они тратят
значительные ресурсы, чтобы обеспечивать эффективный контроль защиты персональных данных и
чтобы в результате избежать негативных последствий от уязвимости системы защиты и сохранности
персональных данных.
Примечание. Хотя на практике не существует абсолютно «гарантированной безопасности»,

организация несет ответственность за принятие всех разумных мер для обеспечения защиты
персональных данных и конфиденциальной информации.
Во многих странах приняты законы и нормативные акты в области защиты персональных данных и
информации, однако признание этих законов и приведение в исполнение существенно различаются в
каждой стране. Кроме того, подходы к тому, какого рода персональные данные и информация должны
быть защищены законом, различаются не только в разных странах, но и в разных отраслях и даже в
организациях в одной и той же стране. Поэтому именно на внутреннего аудитора ложится обязанность
оценить адекватность идентификации рисков, осуществляемой руководством организации, в отношении
сохранности личной информации и адекватности контрольных процедур, направленных на снижение
этих рисков до приемлемого уровня. Положение внутренних аудиторов в структуре организации
позволяет им оценивать системы сохранности персональных данных, выявлять существенные
риски, оценивать средства контроля, а также разрабатывать необходимые рекомендации по
снижению таких рисков.
Осуществляя оценку управления системой сохранности персональных данных в организации,

внутренний аудитор должен принимать во внимание и учитывать следующие вопросы.
• Соблюдение организацией требований государственных законодательных и нормативных

актов в части защиты персональных данных. Внутренний аудитор должен контактировать с
юристами организации (юрисконсультом) с целью уточнения сути законов, нормативных актов и
иных стандартов и практики, применимых к деятельности организации и действующих в стране
ведения бизнеса, и того, что руководству компании известны требования этих документов.
• Необходимость оценки существующих в организации политик и процедур. До того как

проводить аудит в этой области, организация должна принять требуемый документ –
Положение о политике в отношении защиты конфиденциальности частной информации.
Внутренняя политика конфиденциальности и правила хранения любых персональных данных
должны быть разработаны с учетом знания применимых нормативно-правовых актов.
• Средства и меры защиты персональных данных, чтобы проверить, что все необходимые
элементы и процедуры контроля внедрены и что обеспечивается регулярная проверка и оценка
эффективности этих элементов и процедур.
• Документальное подтверждение соблюдения организацией действующих нормативно-

правовых актов в рассматриваемой области.
• Определение, будут ли выгоды от проведения дополнительных мероприятий по повышению

уровня безопасности в проверяемой области больше издержек, связанных с их выполнением.
• Моральный долг соблюдать конфиденциальность частной информации. Правилами Кодекса

этики международного Института внутренних аудиторов указывается, что внутренние аудиторы:
o должны быть разумны и осмотрительны в использовании и сохранении информации,

полученной в ходе выполнения своих обязанностей;
o не должны использовать информацию в личных интересах или любым другим образом,

противоречащим закону и могущим нанести ущерб достижению юридически и этически
оправданных целей организации.
Выявление существенных рисков предполагает учет и рассмотрение следующих факторов.
• Изучение общей информации об организации: размер и географическое местонахождение

организации; число обслуживаемых клиентов; доля операций, осуществляемых через Интернет;
история предыдущих событий о существенных нарушениях в системе безопасности данных.
• Изучение характеристик данных: характер собранных данных (деликатные/неделикатные

персональные данные; информация, подпадающая под ограничения, которые установлены
соответствующими законами и нормативными актами, например, медицинская информация,
финансовая информация, информация о детях, не достигших определенного возраста, и пр.).
• Кто осуществляет сбор информации? Как используется каждый тип собранной информации, и
каким пользователям разрешен доступ к каждому из таких типов информации?
• Какая информация собирается без непосредственного уведомления и согласия владельца, как,

например, путем использования данных, полученных при регистрации пользователя на сайте
организации или из файлов «cookies»?
• Как осуществляется хранение каждого типа информации, и какие существуют возможности для
нарушения системы безопасности хранения данных – с учетом возможностей внешнего доступа
и несанкционированного внутреннего доступа?
• Схема потоков данных: Какие данные пересылаются внутри организации? Какая информация
передается из организации третьим сторонам?
• Кому и при каких обстоятельствах может подлежать раскрытию информация каждого типа?
• Когда происходит уничтожение информации и кто отвечает за ее уничтожение?
Оценка средств контроля включает оценку средств административного контроля, технического

контроля, физического контроля и других типов контроля.
• Какие средства административного контроля используют в организации? Например,

программы обучения для работников по вопросам соблюдения конфиденциальности личной
информации; предварительная тщательная проверка работников, которым предполагается
предоставить расширенный доступ к персональным данным; внутренний контроль процедур
обеспечения защиты данных, используемых в практической деятельности поставщиков и
обслуживающих организаций; соблюдение специальных процедур по передаче на аутсорсинг
функции по управлению ИТ-услугами и информационно-вычислительному обслуживанию;
финансово-правовая проверка первичных данных; средства контроля над ходом подготовки и
выполнения контрактов; средства контроля над сбором, использованием и раскрытием данных.
• Какие средства технического контроля используют в организации? Например, четкие

правила в отношении паролей; ограничение доступа категорией работников, которым такой
доступ действительно необходим по роду выполняемой работы; журналы контроля доступа;
шифрование, брандмауэры, системы обнаружения неавторизованного доступа; процедуры,
предусматривающие обновление ОС и ПО в области защиты данных; наличие персональной
информации, которая хранится только на переносных носителях (например, в ноутбуках).
Какие ограничительные меры используются для контроля над слиянием конфиденциальных
данных с данными, предназначенными для неограниченного доступа?
• Какие средства физического контроля используют в организации? Например, такие как

ограничение доступа работников в центры обработки данных; ограничение на использование
или перемещение переносных средств из охраняемых помещений; прекращение возможности
удаленного доступа в тех случаях, когда система безопасности портативного оборудования
взломана и нарушена защита лотков для уничтоженных документов с помощью шредера.
• Средства контроля, включающие мероприятия по защите персональных данных в

Интернете, как например: Как могут пользователи отказаться от рекламных рассылок по
электронной почте, если их персональные данные были использованы не по назначению, то
есть не в соответствии с целями, указанными провайдером Интернет-услуг при указании о
необходимости регистрации? К какой информации пользователи конкретного Web-сайта имеют
доступ, какую информацию они могут изменять или исправлять? Какие используются
механизмы подтверждения личности пользователей, которые хотят получить доступ к своей
персональной информации и внести в нее исправления? Информируются ли пользователи об
изменениях в их персональных данных или в правилах использования таких данных?
Вопрос 41: На этапе предварительного обследования в ходе аудиторского задания, целью которого
является проверка производственного цикла организации, руководство заявило о том, что продажа
металлолома находится под жестким контролем. Наилучшим способом получить информацию,
которая была бы способна подтвердить данное утверждение, является:
a) сравнение текущих доходов от продажи металлолома с доходами предыдущих периодов;
b) проведение интервью с работниками, ответственными за сбор и хранение металлолома;
c) сопоставление количества металлолома, ожидаемого от процесса производства, с фактически

проданным количеством лома;
d) сопоставление результатов инвентаризации наличных остатков металлолома с данными

регистров непрерывного учета товарно-материальных ценностей.
Вопрос 42: В целях улучшения контроля ежедневных текущих расходов организация сократила
ежедневное использование услуг курьерской службы. Несмотря на такие меры, ежемесячные счета
продолжали расти. Какие процедуры следует использовать внутреннему аудитору, чтобы выявить,
не включаются ли в счета организации на оплату непредоставленные (неоказанные) услуги?
a) Проверить математическую правильность по выборке счетов от курьерской службы.
b) Визуально просмотреть счета бухучета и счета, полученные от курьерской службы.
c) Провести наблюдение за ежедневным использованием услуг курьерской службы.
d) Осуществить выверку выборки счетов, полученных от курьерской службы, с квитанциями о

вручении корреспонденции для доставки.
Вопрос 43: Недавно организация подписала контракт типа «затраты плюс» на строительство нового,
более крупного завода. Какие из перечисленных ниже процедур будут считаться наиболее важными
для внутреннего аудитора, проверяющего условия заключенного контракта?
a) Проверить контракт на предмет конкретной даты его завершения.
b) Проверить контракт и все полученные заявки на выполнение строительных работ с целью

удостовериться, что организация выбрала подрядчика, предлагавшего наименьшую цену.
c) Проверить контракт с целью убедиться, что его условия предусматривают право заказчика на
аудит системы внутреннего контроля и фактических расходов подрядчика.
d) Проверить деловую честность подрядчика с помощью прямых расспросов.
CIA Часть 2 Аудиторские задания по консультированию
Вопрос 44: Самым убедительным способом оценки эффективности системы контроля качества будет:
a) анализ отклонений в эффективности труда рабочих;
b) анализ отклонений в эффективности использования сырья и материалов;
c) оценка микса «производство – запасы – продажи»;
d) оценка количества и причин корректировки объемов продаж (включая возвраты).
Вопрос 45: Использование метода перекрестной ссылки индивидуальных карточек табельного учета
с учетными записями и отчетами отдела кадров позволяет внутреннему аудитору сделать вывод, что:
a) работники получили оплату только за фактически отработанное ими время;
b) работники являются легальными сотрудниками (оформили все необходимые документы для

устройства на работу);
c) работники получали оплату в соответствии с установленными тарифами;
d) учетные записи отдела кадров согласуются с бухгалтерскими ведомостями по оплате труда.
Вопрос 46: Внутренний аудитор оценивает эффективность плана комиссионных платежей за

продажи, который был принят 12 месяцев назад. Какая процедура аудиторского задания, скорее
всего, будет способствовать поддержке вывода об эффективности данного плана?
a) Вычислить процентные изменения ежемесячных объемов продаж за последние 3 года.
b) Сопоставить ежемесячные торговые затраты за текущий год с аналогичными показателями за

предшествующие 2 года.
c) Составить уравнение регрессии, связывающее индексы (количественные показатели) внешних

экономических условий за предшествующие 2 года, и сопоставить прогнозные показатели
объемов продаж с фактическими показателями.
d) Сопоставить коэффициент торговых затрат (в расчете на 1 денежную единицу продаж) за

каждый месяц предшествующего года с аналогичными показателями в других компаниях
отрасли.
Аудиторские задания по консультированию

В прилагаемом к Стандартам глоссарии ИВА дает следующее определение консультационных услуг:
«[Это] деятельность по предоставлению клиенту советов, рекомендаций и т.д., характер и

содержание которой согласовываются с клиентом, нацеленная на оказание помощи и
совершенствование процессов корпоративного управления, управления рисками и контроля,
исключающая принятие внутренними аудиторами ответственности за управленческие решения.
В качестве примера можно привести предоставление советов и рекомендаций, оказание
практической помощи и обучение персонала».
Аудиторские задания по консультированию CIA Часть 2
Внутренние аудиторы всё чаще проводят исследования в области управления организациями и

реализуют консультационные проекты. В ряде таких проектов участвуют не только внутренние, но
и внешние аудиторы.
При выполнении заданий по консультированию внутренние аудиторы обладают рядом преимуществ,

связанных со знанием организации и её персонала, а также благодаря профессиональным знаниям,
которые имеют отношение к бизнесу организации. Внутренний аудитор способен ускорить реализацию
проекта независимо от того, возглавляет он этот проект или является рядовым членом группы, которая
реализует проект.
Исходя из учебного плана Института внутренних аудиторов, ниже приводится перечень некоторых
заданий по консультированию, в выполнении которых может быть занята служба внутреннего аудита.
• Организация тестирования системы внутреннего контроля.
• Оказание поддержки и помощи в проверке эффективности бизнес-процессов организации.
• Бенчмаркинг. (Обсуждался в рамках аудита системы обеспечения качества).
• Предоставление поддержки ИТ-подразделению организации и помощь в анализе и развитии

информационных систем. (Будем обсуждать в рамках аудита информационных технологий).
• Проектирование систем текущей оценки эффективности. (Обсуждалось в рамках аудита

результативности программы).
Руководящие принципы выполнения заданий по консультированию внутренними

аудиторами
В изданных в 2006 году международным Институтом внутренних аудиторов Практических указаниях
(ранее ПУ 1000.С1-1) существовал список из 12 принципов, которыми должны были руководствоваться
внутренние аудиторы при выполнении заданий по консультированию. И хотя затем это Практическое
указание было исключено, мы считаем, что указанные в нем принципы по-прежнему служат полезным
руководством для внутренних аудиторов в их работе. Ниже приводятся эти принципы.
1) Принцип приносить пользу. Принцип внутреннего аудита приносить пользу реализуется в

рамках каждой организации, имеющей в штате внутренних аудиторов, деятельность которых
соответствует принципам корпоративной культуры и ресурсам данной организации. Этот
принцип заключен в самом Определении внутреннего аудита. Он состоит в оказании услуг по
предоставлению гарантий и консультационных услуг, имеющих целью приносить пользу
организации в виде расширения её возможностей достигать поставленных целей, выявления
возможностей совершенствования операционных процессов и/или снижения риска, используя
систематизированный и последовательный подход к сферам корпоративного управления,
управления рисками и контроля.
2) Соответствие Определению внутреннего аудита. Использование последовательной и

систематизированной оценки включается в деятельность любого подразделения внутреннего
аудита. Перечень предоставляемых подразделением внутреннего аудита услуг, как правило,
может быть объединен в более общие категории – услуги по предоставлению гарантий и услуги
по консультированию. Тем не менее, услуги внутреннего аудита могут включать и некоторые
новые формы услуг, приносящих дополнительную пользу, которые соответствуют общему
Определению внутреннего аудита.
3) Сопутствующие аудиторские услуги, кроме услуг по предоставлению гарантий и

консультационных услуг. Существует множество различных услуг, которые оказывает
внутренний аудит. Услуги по предоставлению гарантий и консультационные услуги не являются
взаимоисключающими, и не препятствуют оказанию внутренним аудитом других услуг, таких
как расследование случаев мошенничества и выполнение неаудиторских функций по проверке
благонадежности финансового состояния компании. Но во многих случаях аудиторские услуги
будут включать как услуги по предоставлению гарантий, так и услуги по консультированию

(предоставление советов, рекомендаций и пр.).
4) Взаимосвязь между услугами по предоставлению гарантий и консультированием.

Консультационные услуги, оказываемые внутренним аудитом, повышают его потенциал как
деятельности внутреннего аудита, приносящей пользу организации. Хотя консультационные
услуги часто являются непосредственным результатом услуг по предоставлению гарантий,
необходимо признать, что услуги по предоставлению гарантий также могут вытекать из
аудиторских заданий по предоставлению консультационных услуг.
5) Определение полномочий на консультационные услуги в Положении о внутреннем

аудите. Традиционно внутренние аудиторы выполняют различные консультационные услуги,
начиная с анализа контрольных средств, встраиваемых в разрабатываемые системы; анализа
технических средств обеспечения безопасности; участия аудиторов в целевых рабочих группах,
созданных для анализа хозяйственной деятельности, и заканчивая подготовкой рекомендаций
по её совершенствованию. Совет директоров (или комитет по аудиту) должны наделять
внутренний аудит полномочиями по предоставлению дополнительных услуг в тех случаях,
когда они не представляют конфликта интересов и не отвлекают внутренних аудиторов от
исполнения своих обязанностей перед комитетом по аудиту. Предоставление таких полномочий
должно быть отражено в Положении о внутреннем аудите.
6) Объективность. Консультационные услуги могут способствовать пониманию аудитором

бизнес-процессов организации и вопросов, имеющих непосредственное отношение к заданиям
по предоставлению гарантий, и не обязательно приводят к отрицательному воздействию,
которому может подвергаться объективность внутреннего аудитора и службы внутреннего
аудита в целом. Принятие управленческих решений не входит в компетенцию внутреннего
аудита. Решения о целесообразности принятия или выполнения рекомендаций, выработанных и
предложенных внутренними аудиторами в ходе предоставления услуг по консультированию,
принимаются руководителями организации. Поэтому объективность внутреннего аудита не
будет подвергаться отрицательному воздействию при принятии решений руководством
7) Обоснование для предоставления услуг по консультированию внутренним аудитом.

Значительная часть консультационных услуг является естественным продолжением услуг по
предоставлению гарантий и расследованию, осуществляемых внутренним аудитом, и может
принимать форму официального и неофициального совета, анализа или оценки. Внутренний
аудит обладает уникальными возможностями для выполнения услуг по консультированию с
учетом его: (а) приверженности самым высоким стандартам объективности и (б) широты знаний
о процессах, рисках и стратегиях организации.
8) Информирование о существенных проблемах. Важнейшая польза внутреннего аудита

состоит в предоставлении разумных гарантий высшему руководству и членам комитета по
аудиту. Аудиторские задания по консультированию не могут выполняться таким образом, чтобы
скрывалась информация, которая, по мнению руководителя внутреннего аудита (РВА), должна
быть доведена до сведения соответствующих должностных лиц. В ходе выполнения заданий по
консультированию могут быть обнаружены проблемы в области корпоративного управления,
управления рисками и внутреннего контроля. Если эти проблемы являются существенными, они
должны быть доведены до сведения высшего исполнительного руководства и Совета. Все
задания по консультированию должны осуществляться на основе данного принципа.
9) Принципы предоставления консультационных услуг, установленные организацией. В

организациях должны быть сформулированы основные правила предоставления услуг по
консультированию, которые были бы понятны всем членам организации и которые должны быть
закреплены в Положении о внутреннем аудите, действующем в организации.
10) Формальные аудиторские задания по консультированию. Руководители организаций

зачастую привлекают внешних консультантов для выполнения формальных аудиторских
заданий по консультированию, которые продолжаются довольно длительное время. Однако

организация может решить, что сотрудники внутреннего аудита обладают достаточными
знаниями, навыками и другими компетенциями для выполнения аудиторского задания или его
части в рамках формального задания по консультированию. Если служба внутреннего аудита
принимает на себя обязанности по выполнению формального консультационного задания, то
эти аудиторы должны использовать последовательный и систематизированный подход к
выполнению данного задания.
11) Обязанности РВА. Выполнение заданий по консультированию позволяет РВА обсуждать с

руководством организации подробности конкретных управленческих вопросов. В рамках такого
обсуждения согласовываются аудиторский охват задания по консультированию и сроки его
выполнения, которые должны соответствовать требованиям руководства организации. Но при
этом РВА сохраняет за собой исключительное право определения конкретных методов ведения
аудита и право обращения к высшему руководству организации и членам комитета по аудиту в
тех случаях, когда характер и существенность результатов аудита представляют серьезные
риски для организации.
12) Критерии урегулирования конфликтов и возникающих проблем. Внутренний аудитор –

это в первую очередь внутренний аудитор. Поэтому при выполнении любых заданий, связанных
с предоставлением услуг, внутренний аудитор руководствуется Кодексом этики Института
внутренних аудиторов, а также Стандартами качественных характеристик и Стандартами
деятельности, которые вместе составляют Международные профессиональные стандарты
внутренних аудиторов. Все непредвиденные конфликты или проблемы должны разрешаться на
основе Кодекса этики и Стандартов.
Вопрос 47: Цель предоставления консультационных услуг состоит в том, чтобы приносить пользу и
способствовать совершенствованию деятельности организации. Внутренние аудиторы обладают
преимуществами для выполнения заданий по консультированию, поскольку:
a) они могут предоставить гарантии достоверности финансовых отчетов;
b) они имеют возможность выполнить задание быстрее;
c) они имеют возможность выполнять такие задания при любых обстоятельствах, если имеется
запрос от руководства организацией;
d) на них не будут давить временные рамки и поэтому они смогут затратить столько времени на
выполнение заданий, сколько им потребуется.
Основания для формальных заданий по консультированию

Руководитель внутреннего аудита несёт ответственность за выбор методологии, используемой для
отнесения аудиторских заданий к категории консультационных. В ряде случаев бывает необходимо
провести аудиторское задание смешанного типа, в рамках которого будут объединяться элементы как
консультационного задания, так и задания по предоставлению гарантий. Однако в других случаях
РВА может посчитать более целесообразным отделить деятельность по предоставлению гарантий от
деятельности по консультированию в ходе выполнения аудиторского задания. Здесь важно помнить о
том, что руководитель внутреннего аудита несёт ответственность за выбор методологии, с помощью
которой он может классифицировать аудиторские задания.
Консультационные услуги могут предоставляться либо в рамках обычной, или плановой, работы
внутреннего аудитора, либо в ответ на специальный запрос руководства организации. Каждая
организация должна определить наиболее целесообразные типы заданий по консультированию и
установить конкретные процедуры для каждого из таких заданий. Принятые к исполнению задания
должны быть включены в план. Цели заданий по консультированию должны соответствовать общим
ценностям и целям организации. Ниже перечислены возможные типы консультационных заданий.
• Формальные аудиторские задания по консультированию, которые запланированы

заранее и являются предметом письменных соглашений.
• Неформальные аудиторские задания по консультированию, которые осуществляются в
ходе обычной деятельности внутренних аудиторов, например такой, как участие в работе
подготовительного комитета; проектах с ограниченным сроком; заседаниях, посвященных
специальным вопросам; и в результате обмена информацией в ходе текущей деятельности.
• Специальные аудиторские задания по консультированию, предусматривающие участие
внутренних аудиторов в группе по подготовке сделки по слиянию или поглощению, либо в
группе по преобразованию (замене) системы.
• Экстренные/внеплановые аудиторские задания по консультированию, предполагающие
участие внутренних аудиторов в составе группы, образованной в целях восстановления или
поддержки операций после стихийного бедствия или другого чрезвычайного происшествия,
либо в составе рабочей группы, образованной в целях оказания временной помощи в рамках
специального запроса или сжатых сроков выполнения работ.
Кроме того, аудиторы обычно не должны соглашаться на выполнение консультационных заданий просто
ради того, чтобы обойти, либо помочь другим обойти те требования, которые в обычных условиях
применяются к аудиторским заданиям по предоставлению гарантий, – в тех случаях, когда обсуждаемую
аудиторскую услугу целесообразнее оказывать в рамках задания по предоставлению гарантий. Однако
это не исключает возможности адаптировать методологии классифицирования аудиторских заданий,
когда трактовка услуг, некогда предоставляемых в рамках заданий по предоставлению гарантий,
изменяется, и считается более приемлемым их предоставление в рамках консультационных заданий.
Независимость и объективность при выполнении заданий по консультированию

По ряду причин внутренние аудиторы всё чаще участвуют в оказании услуг по консультированию
применительно к тем областям деятельности, за которые они раньше несли ответственность. В целом,
внутренние аудиторы могут предоставлять консультационные услуги в тех областях, за которые они
ранее несли ответственность, но при этом аудиторы должны сохранять независимость и объективность
при выполнении таких функций.
Примечание. Если независимость и объективность внутренних аудиторов могут подвергнуться

отрицательному воздействию в связи с предполагаемым заданием по консультированию, информация
об этом должна быть раскрыта клиенту до принятия задания к исполнению. (Стандарт 1130.C2).
Чтобы оценить влияние прежних обязанностей на объективность выполнения задания, руководителю

внутреннего аудита следует принимать во внимание указанные ниже факторы.
• Соответствующие требования Кодекса этики и Международных профессиональных стандартов

внутреннего аудита (Стандартов).
• Ожидания заинтересованных сторон, которыми могут быть акционеры, совет директоров,
комитет по аудиту, руководство, законодательные органы, государственные организации,
регулирующие органы и заинтересованные группы общественности.
• Допущения и ограничения, установленные Положением о внутреннем аудите. Если Положение о
внутреннем аудите содержит специальные ограничения или ограничивающие условия к
привлечению внутреннего аудитора для выполнения неаудиторских функций, обсуждение таких
ограничений с менеджментом является необходимым. Если менеджмент настаивает на таком
назначении, то эта проблема должна быть доведена до сведения комитета по аудиту, который
обязан принять окончательное решение по спорному вопросу.
• Раскрытие информации, требуемое Стандартами.
• Подверженность аудиту той деятельности или обязанностей, которые выполняются внутренним
аудитором, характер и объем последующей работы аудиторов.
Если в ходе выполнения аудиторского задания по той или иной причине нарушается объективность
внутренних аудиторов, может потребоваться привлечение независимых внешних аудиторов. Когда это
сделать невозможно, требуется раскрыть информацию о прежних обязанностях аудитора в той сфере,
где проводится аудит. Такая связь аудитора с проверяемым направлением деятельности должна быть
раскрыта в относящихся к заданию отчетах.
Профессиональное отношение к работе при выполнении заданий по

консультированию
Как и в ходе любого другого задании, внутренние аудиторы должны проявлять профессиональное
отношение к работе в ходе оказания консультационных услуг, принимая во внимание:
• потребности и ожидания клиентов, включая характер и сроки выполнения задания, а также

форму отчетности о результатах;
• относительную сложность и объем работы, необходимой для достижения целей аудиторского

задания;
• затраты на предоставление консультационных услуг в сравнении с потенциальными выгодами.
Объем и содержание работ при выполнении заданий по консультированию

Если в ходе выполнения услуг по предоставлению гарантий возникает возможность оказания
консультационных услуг в существенном объеме, следует согласовать с клиентом в письменной форме
цели, содержание, соответствующие обязанности и другие относящиеся вопросы; результаты
консультационного задания должны быть доведены до сведения клиента в соответствии со стандартами,
относящимися к консультационным услугам.
Выполняя консультационное задание, внутренние аудиторы должны убедиться в том, что его объем и
содержание, а также используемая методология достаточны для достижения согласованных целей
задания. При определении объема и содержания аудиторского задания внутренние аудиторы могут
расширить или, наоборот, ограничить их исходя из запроса руководства организации. Однако при этом
внутренний аудитор всё равно должен прийти к убеждению, что объем и содержание задания будут
адекватными и позволят выполнить цели задания. Не являются исключением случаи, когда цели, объем
и содержание, а также сроки выполнения задания периодически пересматриваются и корректируются в
ходе выполнения задания.
Если внутренние аудиторы в ходе выполнения задания испытывают сомнения в отношении объема и
содержания задания, эти сомнения должны быть обсуждены с клиентом, чтобы решить, продолжать ли
выполнение задания. Как и в случае с оценкой рисков, при оказании услуг по консультированию
внутренний аудитор должен применить свое профессиональное суждение, чтобы:
• определить существенность подверженности рискам или недостатки системы контроля, а также

эффективность действий, предпринятых или предусмотренных для снижения таких рисков или
устранения недостатков системы контроля;
• установить ожидания высшего руководства, комитета по аудиту и Совета в отношении

информированности по указанным выше вопросам.
Сообщение результатов заданий по консультированию

Применительно к аудиторским заданиям по консультированию не существует каких-то специальных
требований к форме, содержанию и структуре отчетности о проделанной работе и ее результатах.
Сообщения о ходе выполнения и результатах заданий по консультированию могут различаться по форме
и содержанию в зависимости от характера задания и потребности клиента. Важно только помнить, что
«внутренние аудиторы должны согласовать со стороной, получающей консультации, цели, содержание
задания по консультированию, вопросы ответственности и другие ожидания, включая ограничения на

распространение результатов выполнения задания и доступ к аудиторской документации».
По каким-либо причинам внутреннему аудитору может понадобиться расширить список получателей

отчетности. Если это представляется аудитору необходимым, он должен предпринять следующие шаги:
• установить, какие условия содержатся в договоре в отношении консультационного задания и

относящейся к нему отчетности;
• постараться убедить стороны, получающие или запрашивающие консультационные услуги,

добровольно расширить список получателей такой отчетности по результатам задания;
• установить, какие условия относительно предоставления отчетности по результатам заданий по

консультированию содержатся в Положении о службе внутреннего аудита или предусмотрены
внутрикорпоративными политиками и процедурами;
• установить, какие условия по данному поводу содержатся в Кодексе поведения, Кодексе этики
и других внутренних нормативных документах и административных распоряжениях;
• установить, какие условия по данному поводу содержатся в Стандартах, Кодексе этики, а также
во всех остальных стандартах и кодексах, распространяющихся на внутренних аудиторов, и
нормативно-правовых актах, применимых к рассматриваемому вопросу.
Документирование информации, относящейся к заданию по консультированию

Руководитель внутреннего аудита несет ответственность за разработку политики получения, хранения и
передачи внутренним и внешним сторонам документов, относящихся к аудиторскому заданию по
консультированию. Политика должна соответствовать внутренним организационно-распорядительным
документам организации и нормам законодательства.
Требования к документированию информации, которая относится к заданиям по предоставлению

гарантий, не обязательно должны применяться к документированию информации, относящейся к
консультационным аудиторским заданиям. Основная задача внутреннего аудитора заключается в том,
чтобы избежать всех возможных спорных вопросов, касающихся запросов документации по заданию. В
более деликатных ситуациях будет требоваться особое обращение с документацией. Примерами таких
ситуаций могут быть: судебные разбирательства, требования регуляторов, вопросы налогообложения и
бухгалтерского учета и т.п.
Мониторинг аудиторских заданий по консультированию

Что касается последующего мониторинга действий по результатам задания, то внутренний аудит должен
осуществлять мониторинг результатов задания по консультированию в согласованных с клиентом
пределах. Конкретные варианты мониторинга могут зависеть от целого ряда факторов, включая прямую
заинтересованность руководства в результатах задания или оценку аудитором рисков и пользы от
проведения задания для организации.
Вопрос 48: Кто выбирает методологию для классификации заданий по консультированию?
a) Генеральный директор.
b) Председатель комитета по аудиту.
c) Председатель совета директоров.
d) Руководитель внутреннего аудита (РВА).
Вопрос 49: Какое утверждение справедливо в отношении консультационных услуг?
a) Предоставление гарантий и консультационные услуги являются взаимоисключающими и

препятствуют оказанию других услуг, например, расследованию и неаудиторским услугам.
b) РВА не имеет исключительного права выбора методологии аудита и права докладывать

высшему руководству и комитету по аудиту о случаях, когда характер и существенность
результатов составляют угрозу риска для организации.
c) Последовательный и систематизированный подход к оценке охватывает всю деятельность

внутренних аудиторов. Перечень услуг обычно можно объединить в более общие категории –
услуги по предоставлению гарантий и консультационные услуги.
d) Аудиторские услуги не могут одновременно объединять предоставление гарантий и услуги по

консультированию.
Консультационные задания по проверке внутреннего контроля

В соответствии со статьей 404 Закона Сарбейнса-Оксли, Комиссия по ценным бумагам США (КЦБ) ввела
в действие правила, требующие от эмитентов включать в годовую отчетность заявление руководства об
ответственности за формирование и поддержание на должном уровне системы внутреннего контроля в
сфере финансовой отчетности, а также за оценку руководством эффективности этой системы
внутреннего контроля. Кроме того, в соответствии со статьей 404 данного Закона, независимый
аудитор компании должен подготовить отчет и подтвердить оценку, данную руководством компании об
эффективности её системы внутреннего контроля. Если обнаруживаются существенные недостатки в
системе внутреннего контроля, которые с большой долей вероятности могут привести к существенным
искажениям финансовой отчетности, этот факт должен быть включен в отчет внутреннего аудитора.
Для того чтобы руководство организации могло сделать необходимую оценку, требуется принять
формальную программу тестирования системы внутреннего контроля, причем внутренние аудиторы
организации не могут участвовать в разработке данной программы. Чтобы сохранить независимость,
внутренний аудитор компании не может устанавливать процедуры для проверки эффективности
функционирования системы внутреннего контроля компании, готовить необходимую документацию, а
затем подтверждать результаты собственной работы. Руководство организации само должно оценить
эффективность системы внутреннего контроля в компании, а аудитор – только подтвердить результаты
оценки. Хотя независимые аудиторы могут вносить вклад в этот процесс, осуществляемый руководством
организации, большая часть работы, необходимой для выполнения требований статьи 404 Закона
Сарбейнса-Оксли, не должна выполняться аудиторской фирмой, которая затем будет подтверждать
эффективность системы внутреннего контроля организации.
В опубликованном «Заявлении об отчете руководства о состоянии системы внутреннего контроля за

составлением финансовой отчетности» от 16 мая 2005 года КЦБ выразила мнение, что «продуктивные и
эффективные оценки зависят от внутренних аудиторов и другого персонала компании, и кроме того от
внешних аудиторов, чьи услуги используются исходя из соображения их близости к области, в которой
производится оценка».
В июне 2007 года КЦБ выпустила Руководство № 33-8810, содержащее практические указания для
руководителей по оценке состояния системы внутреннего контроля за составлением финансовой
отчетности в целях выполнения требований Закона более результативно и эффективно.
Руководство по практическим указаниям разъясняет, на чём должна фокусироваться оценка

внутреннего контроля, – руководство должно оценить, позволяют ли разработанные и
установленные системы и процедуры внутреннего контроля адекватно выявлять риск того,
что существенные искажения в финансовой отчетности не будут своевременно
предотвращены и обнаружены. От руководства не требуется идентифицировать каждую процедуру
контроля в каждом процессе или документировать все бизнес-процессы, оказывающие воздействие на

состояние системы внутреннего контроля за составлением финансовой отчетности.
В Руководстве также уточняется, что оценка руководством доказательств эффективности своей системы
внутреннего контроля должна основываться на оценке риска. В отношении сфер с низким уровнем
риска руководство может использовать более качественные способы сбора доказательств, но в
отношении сфер с высоким уровнем риска руководство должно выполнить исчерпывающее
тестирование. В итоге руководство сможет сконцентрировать свои ресурсы контроля на тех сферах
финансовой отчетности, которые подвержены наиболее высоким рискам с точки зрения их влияния на
достоверность отчетности.
В июле 2007 года Комитет по надзору за отчетностью открытых акционерных компаний (создан после
принятия Закона Сарбейнса-Оксли) утвердил Стандарт аудита №5, заменивший собой Стандарт аудита
№2 и обеспечивший практическими указаниями по соблюдению требований Закона внешних аудиторов.
Поначалу требования статьи 404 Закона Сарбейнса-Оксли по оценке системы внутреннего контроля
руководством компании применялись только в отношении крупных открытых акционерных корпораций.
Но после выпуска КЦБ Руководства №33-8810 от более мелких компаний, не являющихся эмитентами
ускоренной регистрации, тоже стали требовать отчеты руководителей о состоянии системы внутреннего
контроля за составлением финансовой отчетности, начиная с финансового года, завершившегося 15
декабря 2007 года.
Поэтому тестирование системы внутреннего контроля является важным направлением консультационной

деятельности внутреннего аудитора.
Внутренние аудиторы могут получать запросы об оказании помощи в разработке процедур тестирования
и проведении самого тестирования. Аудиторские тесты системы контроля включают опросы руководства,
руководителей среднего и низшего звена и рядовых работников, а также проведение наблюдений с
целью изучения конкретных элементов процесса контроля, изучение документов и учётных записей.
Целью данных тестов является получение аудиторских доказательств того, находится ли организация и
функционирование процесса внутреннего контроля на достаточном уровне, чтобы предотвратить, либо
выявить и устранить существенные искажения в отчетности.
В вышеупомянутом Заявлении КЦБ рекомендуется, чтобы объем и процедура проведения оценки имели
разумный характер, а также, чтобы процесс оценки, включая тестирование, в достаточной степени был
подкреплен аудиторскими доказательствами. Это Заявление также содержит рекомендации руководству
организаций выделять необходимые ресурсы контроля в области, связанные с наибольшим риском для
организации, и не уделять равноценного внимания всем элементам системы внутреннего контроля без
учета факторов риска. В нем, в частности, указано: «Оценка состояния системы внутреннего контроля
за составлением финансовой отчетности будет более эффективной, если будет сосредоточена на
элементах и процедурах контроля, которые имеют отношение к тем процессам и классам операций,
отражаемых в статьях финансовой отчетности и документах, раскрывающих информацию, которые с
наибольшей вероятностью могут иметь существенное влияние на финансовые отчеты компании».
Консультационные задания по анализу бизнес-процессов и их реорганизации

Анализ бизнес-процессов является важным средством усовершенствования этих процессов или полной
их реорганизации (реинжиниринга). Анализ бизнес-процессов выдвигает на передний план вопрос о
проведении быстрых преобразований, что, учитывая современную быстро меняющуюся бизнес-среду,
может обеспечить организации конкурентное преимущество на рынке. К основным параметрам анализа
бизнес-процессов относятся: использование информационных технологий, наделение полномочиями
сотрудников, использование групп, в которые входят специалисты из разных областей и подразделений
(нередко включая и представителей заказчика), координация работ в пограничных областях бизнеса.
Анализ бизнес-процессов предполагает переосмысление всех аспектов в процессах, включая специфику
выпускаемой продукции, структуру, задачи и технологии. Внутренние аудиторы могут оказать помощь
на этапах принятия решений и внедрения посредством оценки последствий организационных изменений
и предоставления рекомендаций по поводу управления такими изменениями в организации.
Самооценка (внутренняя оценка) контроля CIA Часть 2
Самооценка (внутренняя оценка) контроля

Самооценка контроля, называемая также внутренней оценкой риска системы контроля, – это
внутрифирменный процесс анализа и оценки эффективности системы контроля в организации, который
проводится персоналом этой организации при содействии службы внутреннего контроля. Поскольку в
этом процессе участвуют все сотрудники компании, границы ответственности за выполнение контроля
расширены до масштабов, позволяющих охватить всех членов организации. В итоге, все сотрудники
организации становятся ответственными за процесс контроля в организации – то есть, «владельцами
процесса». Активное участие персонала всех уровней является важнейшим аспектом процесса
внутренней самооценки контроля. Когда люди сами занимаются выявлением своих проблем, они в
большей степени заинтересованы в их разрешении, чем в ситуациях, когда эти же проблемы
выявляются во время аудита. Таким образом, компонент «само» в слове «самооценка» является важным
фактором для внутренней оценки контроля. Обычно считается, что аудиторы обладают теми знаниями и
опытом, которые нужны для точной оценки состояния системы контроля. Что касается самооценки
контроля, то она предполагает обратное. Основополагающее допущение этой концепции заключается в
том, что рамки контроля настолько широки, а темпы изменений настолько стремительны, что
необходимо участие всех сотрудников организации для адекватной оценки эффективности системы
контроля.
Эти оценки осуществляются путем организации заседаний или рабочих совещаний, либо с помощью
анкетирования. Оценки могут относиться к любым областям деятельности компании – проектам,
процессам, бизнес-подразделениям или функциям.
Независимо от используемого формата, целью является помощь организации в оценке вероятности

достижения поставленных целей путем использования знаний работников, которые непосредственно
отвечают за реализацию этих целей.
Процедуры самооценки контроля включают:
• выявление потенциальных рисков и степень подверженности риску;
• оценку процессов контроля, направленных на снижение или управление такими рисками;
• разработку плана мероприятий по снижению рисков до приемлемого уровня;
• определение вероятности достижения запланированных бизнес-целей.
Основные выгоды от реализации программы самооценки контроля для организации заключаются в том,
что самооценка:
• способствует пониманию сотрудниками рисков организации и используемых в ней средств и

процессов контроля;
• способствует осознанию и пониманию сотрудниками необходимости контроля;
• является механизмом, обеспечивающим распознавание риска на ранней стадии;
• содействует более открытому обмену информацией, направленному на взаимодействие и

постоянное совершенствование;
• позволяет наделять сотрудников полномочиями и совершенствовать систему подотчетности.
Подходы к самооценке (внутренней оценке) контроля

Существует несколько разных подходов к организации процесса самооценки контроля, что является в
свою очередь отражением различий в отраслевых характеристиках, географическом положении
компаний, организационной структуре, корпоративной культуре, степени наделения полномочиями
рядовых работников, преобладающем стиле управления и методах формулирования стратегий и
политики организации. Широкий выбор подходов к организации самооценки контроля позволяет
предположить, что успех конкретного типа программы самооценки контроля в одной организации не
Раздел А Самооценка (внутренняя оценка) контроля
обязательно приведет к успеху этой же программы в другой организации. В каждой организации

процесс самооценки контроля должен быть индивидуализирован с учетом характеристик
организации. Это говорит о том, что подход к организации процесса самооценки контроля должен
иметь динамический характер, т.е. быть способным изменяться в ответ на изменения, происходящие с
самой организацией.
Существует три основных программы участия, которые обычно используют в практике самооценки
контроля. Эти программы включают:
1) рабочие группы содействия;
2) опросы; и
3) анализ руководителей/«самоаудит»/«самопроверка».
1. Рабочие группы содействия

Рабочие группы содействия олицетворяют процесс сбора информации от рабочих групп и бригад,
представляющих разные уровни в структурных или функциональных подразделениях. В атмосфере
рабочего совещания, если у руководителя рабочей группы нет никакого скрытого замысла, её участники
обычно очень правдивы в оценке того, что работает хорошо, а что плохо, и какие шаги по улучшению
работы следует предпринять. Подход, основанный на использовании рабочих групп содействия, при
котором аудиторы со специальной подготовкой оказывают содействие, считается особенно успешным в
организации и реализации процесса самооценки контроля.
Формат рабочих групп содействия зависит от поставленных целей, специфики рисков, контроля и
применяемых процессов.
• Формат, основанный на достижении целей, концентрирует внимание на том, как лучше

всего достичь определенной бизнес-цели. Цель такой группы заключается в определении того,
функционируют ли установленные процедуры контроля эффективно и снижают ли они в итоге
остаточные риски до приемлемого уровня.
• Формат, основанный на оценке рисков, концентрирует внимание на перечислении рисков,

связанных с достижением поставленной цели. Цель этой рабочей группы состоит в определении
существенных остаточных рисков.
• Формат, основанный на оценке контроля, концентрирует внимание на оценке работы

существующих процессов контроля. Основной целью рабочей группы в этом случае является
анализ «разрыва ожиданий» между тем, как процессы контроля функционируют на самом деле,
и уровнем ожиданий руководства организации в отношении функционирования этих процессов.
• Формат, основанный на оценке процессов, концентрирует внимание на исследовании

отдельных функций и операций, которые являются элементами в цепочке бизнес-процессов.
Главная задача рабочей группы содействия в этом случае заключается в оценке, модернизации,
подтверждении правильности, улучшении или даже оптимизации всего бизнес-процесса и
входящих в него отдельных компонентов.
От помощников в лице внутренних аудиторов требуется упорная работа и тщательная предварительная

подготовка, чтобы не допустить превращения рабочей группы просто в приятное времяпрепровождение
для её участников.
Чтобы рабочая группа содействия была успешной, необходимо выполнение пяти главных условий.
1) До того, как рабочие группы содействия начинают функционировать, помощники-

организаторы проводят беседы с участниками групп. Организаторы занимаются этим,
чтобы лучше понять назначение, цели, процессы и динамику рабочих групп содействия. Эти
беседы позволяют плавно и с гораздо меньшим количеством заминок вести обсуждение, дают
возможность организаторам быстрее разобраться с используемой терминологией. Кроме того,
при лучшем понимании рабочих групп содействия со стороны организаторов риск того, что они
могут пропустить смысл какой-то реплики участника группы, указывающей на необходимость
более детального обсуждения темы, становится минимальным.
2) Время, которое необходимо рабочей группе для организации «мозгового штурма»,

выработки идей и их обсуждения. Хорошо организованная рабочая группа начинает свою
работу с «мозгового штурма», нацеленного на определение того, что уже работает хорошо, и
что мешает рабочей группе достичь поставленных целей. Участники «мозгового штурма»
должны чувствовать, что организаторы принимают их идеи. В течение первого получаса
обсуждения команда должна идентифицировать ключевые проблемы, которые создают
преграды для результативной и эффективной работы. После этого в течение двух и более часов
обсуждаются выявленные проблемы, в результате чего участники этой группы начинают
понимать коренные причины проблем, равно как и тот факт, что они способны справиться как
минимум с частью этих коренных проблем.
3) Вопросы контроля. После того, как участники рабочей группы содействия справились с
идентификацией ключевых проблем и обсуждением их коренных причин, следует перейти к
детальному обсуждению вопросов контроля, используя для этого, например, концепцию COSO
(Интегрированная концепция внутреннего контроля), которая является общепринятой моделью
оценки риска и контроля. Участники рабочей группы отвечают на ряд вопросов, что помогает
организатору собрать необходимую информацию. Для организатора важно внимательно
слушать выступления и комментарии участников.
4) Умение быстро подвести итог дискуссии для участников. Это не должно быть нечто вроде
заключения аудитора. Скорее, это краткий итог и оценка выступлений участников рабочей
группы содействия, поскольку это запись обсуждения с их участием. В идеальном случае,
участники рабочей группы должны получать на следующий день после обсуждения краткий
итоговый документ по результатам. Такое краткое обобщение дискуссии поможет им, когда они
начнут предпринимать соответствующие меры (корректирующие действия) по решению
проблем, которые обсуждались на собрании рабочей группы.
5) Действия. Участники и организатор рабочей группы определяют приоритеты в действиях,

которые следует предпринять для решения выявленных в ходе обсуждения проблем. Обычно
меры, которые способны дать наибольшую отдачу и которые находятся в пределах
возможностей и полномочий участников рабочей группы, реализуются в первую очередь.
Однако могут быть и другие важные мероприятия, для реализации которых потребуются
ресурсы, находящиеся за рамками способностей и возможностей команды. В этом случае
аудитор может оказать помощь, доведя проблемы до сведения высшего руководства, либо
объединив нескольких рабочих групп в единую команду.
Если в ходе обсуждения рабочей группы выявляется значительный/существенный риск, от аудитора

может потребоваться подготовка отчета для высшего руководства или комитета по аудиту, точно так же
как он делал бы это в случае выявления существенных несоответствий в ходе выполнения планового
аудиторского задания. Несоответствия существенного характера, скорее всего, могут быть выявлены в
процессе сопоставления результатов работы нескольких рабочих групп содействия, когда все эти
несоответствия указывают на наличие некой тревожной закономерности. Важно, чтобы информация о
существенных проблемах была своевременно доведена до сведения высшего руководства, которое
должно принять срочные меры (разумеется, это не относится к случаям, когда высшее руководство
является источником проблемы).
Процесс самооценки контроля также может использоваться для выявления областей деятельности, в
которых было бы целесообразно провести аудит. Если же проблема решается адекватно, то аудит может
не потребоваться. Однако в тех случаях, когда проблема не ясно выражена, когда природа такой
проблемы достаточно деликатна, либо когда она не слишком серьезно воспринимается, то именно тогда
и возникает необходимость в проведении аудита. Проведение аудиторских заданий в таких ситуациях
обычно дает значимые результаты, так как практически отсутствует элемент «случайного попадания»,
присущий плановым аудиторским заданиям. Результаты внеплановых аудиторских заданий приносят

значительную пользу организации.
2. Опросы (анкетирование)
Проведение опросов или анкетирования обычно имеет целью получить простые ответы: «да/нет»,
«имеются/не имеются» на вопросы анкет. Внутренние аудиторы используют эти методы в случаях, когда
численность клиентов (потребителей аудиторских услуг) велика, или они географически разбросаны и
не могут работать в составе одной рабочей группы. Вопросы могут быть составлены с учетом специфики
каждого подразделения, его статуса и потребностей. Вопросы в анкетах должны относиться к основным
процедурам внутреннего контроля и мониторингу системы контроля. Вместе с тем, у анкетирования
имеются определенные слабые стороны и недостатки. Они указаны ниже.
• Очевидно, что правильным ответом на любой вопрос анкеты является ответ «да», и это
обстоятельство может оказывать давление на отвечающих, заставляя их преувеличивать и
прибавлять то, чего не было в действительности.
• Если результаты анкетирования используются только собственниками процесса для оценки

структуры их собственной системы контроля, тогда анкетирование является обоснованным и
эффективным способом самооценки контроля, особенно в случаях, когда бюджет службы
внутреннего аудита невелик или когда клиенты слишком разбросаны территориально и их
нельзя объединить в одну рабочую группу. Однако в случае если обработкой информации,
полученной в результате анкетирования, занимается постороннее лицо (например, аудитор), то
это уже не будет самооценкой контроля. В подобной ситуации участники рабочей группы
содействия лишаются чувства ответственности за изменения, и ощущение смысла командной
работы утрачивается.
• Некоторые работники будут «слишком заняты», чтобы заполнять анкеты, и их замечания и

идеи, которые могут являться очень важными, будут утеряны. В тех случаях, когда проводится
анкетирование, исключительное значение приобретает последующее общение с участниками
опроса с тем, чтобы лучше понять причины, которые заставили их давать те или иные ответы, а
также получить сведения от тех, кто не вернул заполненные анкеты. Некоторые люди не любят
отвечать на вопросы анкет, однако они проявляют готовность к участию в личной беседе.
3. Анализ руководителей, или «самоаудит» / «самопроверка»

Это понятие включает большинство других подходов, которые используются группами управления для
выработки информации об отдельных бизнес-процессах, деятельности по управлению рисками и
процедурах контроля. Основой для такого анализа может служить анкетирование, которое проводит
служба внутреннего аудита. Руководители заполняют анкеты, рассматривая этот процесс как форму
«самоаудита»/«самопроверки», а затем используют их для изучения бизнес-процесса. Либо специалист
в области самооценки контроля (обычно это внутренний аудитор) может свести воедино материал,
полученный от различных менеджеров и других ключевых работников компании, чтобы провести анализ
для собственников процесса, которые могут воспользоваться затем результатами этого анализа в их
последующих мероприятиях по самооценке (внутренней оценке) системы внутреннего контроля.
Примечание. Нет ничего необычного в том, что организации комбинируют перечисленные выше
подходы. Некоторые характеристики и показатели будут общими для большинства реализуемых
организациями программ.
Роль внутреннего аудита в Программе самооценки (внутренней оценки) контроля

Роль внутреннего аудита в Программе самооценки (внутренней оценки) контроля не является чем-то
неизменным и может варьироваться в разных организациях. Как только внутренний аудит вовлекается в
Программу самооценки контроля, РВА должен следить за состоянием объективности штатных аудиторов.
Роль внутреннего аудита в Программе самооценки контроля может находиться между двумя указанными
ниже полюсами.
• В одной организации вклад внутреннего аудита может быть весьма значительным. Персонал
службы внутреннего аудита может заниматься организацией, разработкой, осуществлением
процесса самооценки, и фактически контролировать процесс, проводя тренинги и привлекая
организаторов, помощников и подчиненных, а также согласовывать участие менеджмента и
рабочих групп.
• В другой организации роль внутреннего аудита может быть минимальной. Служба внутреннего
аудита выступает только в качестве заинтересованной стороны и консультанта по процессу
самооценки контроля в целом, или в качестве последнего контролера, проверяющего оценки,
сделанные рабочими группами.
Однако для большинства компаний вклад внутреннего аудита в программы по проведению самооценок
контроля находится где-то посередине между указанными выше крайностями. Как только степень
участия внутреннего аудита в Программе самооценки контроля и совещаниях отдельных рабочих групп
возрастает, руководитель внутреннего аудита должен выполнить мониторинг объективности штатных
аудиторов и предпринять шаги по контролю объективности (если требуется), а также усилить надзор за
деятельностью внутреннего аудита. Это осуществляется с целью получения гарантий, что возможные
предвзятость или пристрастность не окажут влияния на объективность конечных оценок штатных
аудиторов. Как указывается в Стандарте 1120, «внутренние аудиторы должны быть беспристрастны и
непредвзяты в своей работе и избегать конфликта интересов любого рода».
Аудиторы, которые выступают в роли помощников-организаторов рабочих групп содействия, должны

превосходно владеть навыками межличностного общения. Они должны испытывать чувство искреннего
уважения к другим людям, должны уметь и хотеть внимательно слушать и иметь желание приносить
пользу (создавать ценность) для организации. Они также должны обладать глубокими познаниями в
области системного контроля, иметь здоровый скептицизм, организаторские навыки и способности.
Кроме того, они должны быть экспертами в области аппаратных платформ и ПО, необходимых для
проведения обсуждений с участниками рабочих групп и для процесса подготовки отчетности. Наконец,
важно, чтобы аудиторы обладали хорошими аналитическими способностями и могли в достаточной
степени понимать собранную информацию и уметь сделать на ее основе убедительные выводы.
Вопрос 50: Какой из трех основных подходов к программе самооценки контроля предполагает сбор
информации от рабочих групп, представляющих собой различные уровни в бизнес-подразделении
или функции?
a) Анализ, проводимый руководителями.
b) Анкетирование (опросы).
c) Рабочие группы содействия.
d) Анализ, проводимый контролером (финансовым директором) подразделения.
Вопрос 51: В каком из форматов рабочих групп содействия работа начинается с перечисления всех
возможных барьеров, препятствий, угроз и рисков, которые могут помешать достижению
поставленных целей?
a) Формат, основанный на оценке рисков.
b) Формат, основанный на достижении целей.
c) Формат, основанный на оценке процессов.
d) Формат, основанный на оценке контроля.
Вопрос 52: В каком из форматов рабочих групп содействия основная цель заключаются в оценке,
модернизации, подтверждении правильности, улучшении или даже оптимизации всего бизнес-
процесса и входящих в него отдельных компонентов?
a) Формат, основанный на оценке рисков.
b) Формат, основанный на достижении целей.
c) Формат, основанный на оценке процессов.
d) Формат, основанный на оценке контроля.
Раздел Б – Введение CIA Часть 2
Раздел Б – Введение
В этом разделе мы остановимся на обсуждении того, как нужно руководить отдельными аудиторскими
заданиями. На долю раздела Б приходится примерно 40–50% экзамена по Части 2. Темы этого раздела
изучаются и экзаменуются на уровне профессиональной квалификации, если не указано иное.
Чтобы выполнить любое аудиторское задание, необходимо сначала осуществить планирование

такого задания. Затем необходимо осуществлять надлежащий контроль над выполнением этого
аудиторского задания и сообщать результаты заинтересованным лицам, способным в силу своих
полномочий предпринимать действия и меры по выполнению полученных рекомендаций. Последним
этапом аудиторского задания является мониторинг действий по результатам задания. Посредством
мониторинга действий по результатам задания внутренний аудитор выявляет, предпринял ли клиент
аудиторского задания меры по выполнению рекомендаций, сделанных внутренним аудитором.
Как и в случае с разделом А, мы рекомендуем внимательно прочитать содержащийся здесь материал,

убедиться в понимании основных подходов и общих принципов, а также использовать вопросы
предыдущих экзаменов для лучшего знакомства с тем, на какие аспекты делался акцент в прошлом.
Кроме того, хорошими справочными материалами в процессе подготовки к данному разделу экзамена
могут стать Стандарты и Практические указания, однако мы не рекомендуем вам стремиться заучивать
тексты этих документов.
Раздел Б Планирование аудиторского задания
Планирование аудиторского задания

Стандарт 2200: Планирование аудиторского задания
Внутренние аудиторы должны составлять и документировать план выполнения каждого аудиторского

задания, включающий цели, объем задания, его сроки и распределение ресурсов.
Процесс планирования аудиторского задания

В ходе процесса планирования должно быть определено следующее:
• цели планируемого аудиторского задания;

• объем и содержание аудиторского задания;
• ресурсы, необходимые для достижения целей аудиторского задания (финансовые и требуемые
штатные сотрудники);
• рабочая программа аудиторского задания.
Заключительным этапом процесса планирования является подготовка рабочей программы. Программа

должна быть готова до начала выполнения аудиторского задания, поскольку она подробно описывает те
действия, которые должны быть совершены внутренним аудитором для достижения целей аудиторского
задания, и может быть скорректирована в ходе выполнения задания по согласованию с руководителем
Рабочая программа задания должна:
• устанавливать цели задания;

• указывать процедуры внутреннего аудита, которые будут применяться в ходе выполнения
задания в части сбора, анализа, интерпретации и документирования информации;
• описывать проверяемые технические требования, риски, операции и процессы, которые будут
являться предметом данного задания;
• определять характер и объем необходимого детального тестирования;
• подготавливаться до начала выполнения задания и может корректироваться в ходе выполнения
задания по согласованию с руководителем внутреннего аудита или с уполномоченным им
лицом.
Также, в рамках планирования аудиторского задания руководитель внутреннего аудита определяет,

каким образом, когда и кому будут сообщаться результаты выполнения задания. Хотя содержание
рабочей программы не раскрывается большому числу людей в организации, внутренний аудитор
информирует руководителей, которые должны знать о задании, проводит совещания с руководителями,
ответственными за проверяемые виды деятельности, обобщает и распространяет информацию и любые
результаты, полученные на этих совещаниях, хранит соответствующую документацию в составе рабочих
документов по заданию. В ходе встреч с руководителями могут обсуждаться следующие вопросы:
• цели планируемого аудиторского задания, объем и содержание работы;

• ресурсы и время на выполнение задания;
• кандидатуры внутренних аудиторов, которые будут выполнять задание;
• обмен информацией в ходе выполнения задания, включая способы, сроки и определение лиц,
ответственных за его обеспечение;
• ключевые факторы, влияющие на деятельность и условия в проверяемых областях, включая
последние изменения во внутренней и внешней среде;
• вопросы и пожелания руководства;
• вопросы и документы, представляющие интерес для внутреннего аудитора;
• процесс подготовки отчетности по результатам проведения задания и последующий контроль
реализации корректирующих мероприятий.
Планирование аудиторского задания CIA Часть 2
Итоги таких совещаний по планированию должны документироваться и являться неотъемлемой частью

общей документации по аудиторскому заданию.
Примечание. Если в ходе выполнения аудиторского задания будет обнаружено, что некоторые
элементы были исключены из рабочей программы, аудитор должен сначала оценить, можно ли будет
успешно выполнить задание на основе имеющейся рабочей программы. Если такой программы будет
недостаточно, то об этом необходимо проинформировать руководителя внутреннего аудита, который
должен принять решение, каким образом следует продолжать выполнение задания.
Мы только что обсудили процесс планирования, и сейчас нам нужно понять какие факторы внутренний
аудитор должен учитывать при составлении рабочей программы аудиторского задания. Эти факторы
рассматриваются в Стандарте 2201.
Что необходимо учитывать при планировании

Стандарт 2201: Что необходимо учитывать при планировании
В ходе планирования аудиторского задания внутренние аудиторы должны учитывать:
 задачи объекта аудиторского задания, а также средства, с помощью которых объект контролирует
свою деятельность;
 существенные риски, относящиеся к объекту аудиторского задания, его целям, ресурсам и

хозяйственной деятельности, а также методы удержания рисков на приемлемых уровнях;
 адекватность и эффективность процессов корпоративного управления, управления рисками и

контроля объекта аудита в сравнении с соответствующей схемой или моделью;
 возможности значительного совершенствования процессов корпоративного управления,

управления рисками и внутреннего контроля.
Если организация получает сторонние услуги (например, если внешний поставщик услуг производит
расчет зарплаты для организации), то, скорее всего, от подразделения внутреннего аудита организации
потребуется провести аудит деятельности внешнего поставщика услуг. Это делается для того, чтобы
организация была уверена в том, что внешний поставщик имеет адекватные процедуры контроля и
систему безопасности при обработке данных организации.
Стандарт 2201.A1 устанавливает, что «при планировании аудиторских заданий, пользователями

результатов которых будут внешние стороны, внутренние аудиторы должны в письменной форме
согласовать цели, содержание, соответствующие обязанности и другие ожидания, включая ограничения
на распространение результатов выполнения задания и доступ к аудиторской документации».
Вопрос 53: Документы, которые требуются для планирования аудиторского задания, должны
содержать сведения о том, что:
a) потребности в ресурсах, необходимых для выполнения задания, были должным образом

проанализированы;
b) запланированный объем работ будет завершен в срок;
c) предполагаемые замечания по заданию были четко обозначены;
d) ресурсы, имеющиеся у внутреннего аудита, используются эффективно и результативно.
Раздел Б Планирование аудиторского задания
Цели аудиторского задания

Стандарт 2210: Цели аудиторского задания
Для каждого аудиторского задания должны быть определены его цели.
Цели аудиторского задания должны затрагивать вопросы рисков, внутреннего контроля и

корпоративного управления, связанные с проверяемой деятельностью.
Цели аудиторского задания – это основополагающие утверждения, подготовленные внутренним

аудитором и определяющие то, что предполагается выполнить в рамках аудиторского задания. Все
необходимые для выполнения задания аудиторские процедуры и их содержание должны обеспечивать
достижение целей этого задания. Цели аудиторского задания являются руководством и обоснованием
для всех работ, выполняемых в ходе аудиторского задания.
Одной из основных составляющих любого аудиторского задания является предварительная оценка

рисков, относящихся к объекту аудита. Риск связан с неопределенностью наступления события, которое
может оказать влияние на возможность достижения запланированной цели. События, которые имеют
наибольшую вероятность наступления и могут оказать неблагоприятное воздействие на деятельность
организации, становятся объектами более пристального анализа, чем события, наступление которых
маловероятно, либо оказываемое ими воздействие на деятельность компании незначительно.
Вопрос 54: В процессе планирования задания внутренний аудитор определяет цели этого задания с
тем, чтобы определить, что предполагается выполнить в рамках такого задания. Что из указанного
является одним из ключевых факторов, который необходимо учитывать при установлении целей
аудиторского задания?
a) Профессиональный уровень сотрудников подразделения внутреннего аудита, отобранных для

выполнения данного задания.
b) Риски аудируемой деятельности.
c) Рекомендации сотрудников аудируемого подразделения.
d) Получатели заключительной аудиторской отчетности.
Вопрос 55: Служба внутреннего аудита определила в качестве цели предстоящего аудиторского
задания проверку правильности бухгалтерского учета производственных основных средств. Какой из
перечисленных подходов будет наиболее целесообразным для выполнения поставленной цели
задания?
a) Проведение опроса сотрудников бухгалтерии.
b) Проверка документов, касающихся стоимости производственных основных средств.
c) Сравнение фактического количества основных средств, используемых в производственном

процессе, с ведомостью основных средств.
d) Выборка нескольких позиций из ведомости основных средств и пересчет размера их

амортизации.
Предварительное обследование CIA Часть 2
Оценка риска при планировании задания

В рамках процесса планирования задания внутренний аудитор должен провести предварительную
оценку рисков, относящихся к объекту аудита. Цели аудиторского задания должны соответствовать
результатам этой оценки.
Проводя предварительную оценку рисков, внутренние аудиторы должны рассмотреть следующее:
• цели и задачи проверяемой деятельности, которая является объектом аудита;
• политики, планы, процедуры, законы и условия контрактов, которые могут оказывать влияние
на проверяемую деятельность;
• организационную информацию о проверяемой деятельности, руководящих работниках, а также

должностные инструкции и подробную информацию о последних изменениях в организации,
включая изменения в системах;
• информацию о бюджете, результатах основной деятельности и финансовые показатели;
• рабочие документы по предыдущим аудиторским заданиям;
• отчеты по результатам других аудиторских заданий (включая задания, выполненные внешними

аудиторами);
• архив с перепиской, позволяющей выявить скрытые существенные проблемы в деятельности

объекта аудита;
• официальные документы и техническую литературу, если они имеют отношение к проверяемой

деятельности
В дополнение к вышеперечисленному, при определении целей аудиторского задания внутренние

аудиторы должны учитывать вероятность наличия ошибок, случаев мошенничества, несоответствия
законодательству и прочую возможность подверженности рискам.
Предварительное обследование
Функция предварительного обследования обсуждалась в Части 1 учебного пособия (Сбор информации).
В этом разделе мы снова вернулись к данной теме, поскольку предварительное обследование (также
называемое «обследование на месте») является первым этапом в процессе проведения аудита. Его цель
– дать внутреннему аудитору возможность начать сбор и ознакомление с предварительной информацией
об объекте аудита без её детальной и подробной проверки.
Значение такого обследования трудно переоценить. Успех или провал аудиторского задания во многом
может зависеть от того, насколько квалифицированно проведено предварительное обследование.
«Квалифицированно проведенное предварительное обследование имеет все шансы привести к
разработке грамотной программы аудиторского задания, а грамотно подготовленная программа задания,
в свою очередь, дает все шансы для надлежащего проведения аудиторского задания. Когда
предварительные обследования тщательно спланированы и реализованы, они становятся даже
большим, чем эффективная тактика ознакомления; они превращаются в определяющий фактор успеха
проводимого аудита». 4
4
Л.Б.Сойер, цит. соч., стр. 169.
Раздел Б Предварительное обследование
Цели предварительных обследований

В ходе предварительного обследования выполняется целый ряд задач, что позволяет внутреннему аудитору:
1) Лучше познакомиться с клиентом аудиторского задания и:
• целями и задачами его деятельности;
• организационной структурой и ключевыми сотрудниками;
• деятельностью, материальной базой, основными поставщиками и потребителями;
• системами корпоративного управления, управления рисками и контроля;
• информационными системами.
2) Сконцентрировать аудиторскую проверку на наиболее важных аспектах.
3) Выявить области незначительного риска и впоследствии сократить время на проверку этих

областей с малым риском.
4) Создать атмосферу сотрудничества на время проведения аудиторского задания.
Чтобы максимизировать пользу от проведения предварительных обследований, внутреннему аудитору

следует:
• заранее ознакомиться со всей основной общей информацией о клиенте, включая последнюю

финансовую и управленческую отчетность;
• подготовить вопросники, основываясь на полученной информации и результатах проведенной

оценки рисков в аудируемом подразделении;
• узнать имена и координаты контактных лиц для получения необходимой дополнительной

информации и договориться о встречах с ними;
• документировать информацию, полученную в процессе предварительного обследования, что

может выполняться в разных видах, но наиболее типичными являются составление блок-схем и
описание в виде изложения фактов;
• понять цели и задачи каждого из этапов операционного (производственного) процесса;
• выявить внутренние риски, присущие подразделению или виду деятельности, которые являются
объектом аудита.
Любые недостатки и проблемы функционирования системы внутреннего контроля, выявленные в ходе

предварительного обследования, должны быть немедленно сообщены руководству объекта аудита.
Первое сообщение осуществляется в устной форме. Если никаких действий не предпринимается, а
выявленные недостатки являются существенными, то вслед за устным сообщением должен быть
представлен письменный отчет.
Вопрос 56: Какая из указанных процедур наилучшим образом характеризует предварительное

обследование?
a) Стандартизованная анкета, используемая для получения представления о целях руководства

объекта аудита.
b) Статистическая выборка для получения информации об установках/настроениях, навыках и

знаниях ключевых работников.
c) «Экскурсия» по системе финансового контроля с целью выявления рисков и определения

средств контроля, предназначенных для управления этими рисками.
d) Процесс, предназначенный для ознакомления с деятельностью объекта аудита и связанными с

ней рисками с целью выявления областей, на которые будет сделан упор в ходе предстоящего
аудиторского задания.
Вопрос 57: При планировании задания по предоставлению гарантий обследование может помочь
выполнить все перечисленные ниже условия кроме:
a) получения комментариев и предложений от клиента аудиторского задания по поводу проблем

в системе контроля;
b) получения предварительной информации о контрольных процедурах;
c) выявления областей, на которые следует сделать упор в ходе выполнения задания;
d) оценки адекватности и эффективности контрольных процедур.
Подготовка к предварительной встрече

Предварительная встреча – это первое официальное общение с клиентом аудиторского задания,
поэтому внутренний аудитор должен наилучшим образом подготовиться к такой встрече. Изучение
информации и результатов предварительного обследования является частью подготовки к этой встрече.
Опросные листы по обследованию клиента должны быть направлены менеджерам заранее, чтобы они
имели достаточно времени заполнить их до того, как состоится предварительная встреча. Аудиторам
нужны ответы до начала такой встречи. Примерные вопросы для проведения обследования могут быть
следующими:
• Сколько подразделений и работников участвуют в вашей деятельности?
• Какие направления деятельности выполняются? Какие из них самые важные и какие причиняют
наибольшие затруднения?
• Какие процедуры контроля выполняются, и какие отчеты вы получаете?
• Каковы требования к профессиональному уровню сотрудников, и какое обучение/подготовку

они получают?
• Как устанавливаются приоритеты выполнения работ?
• Как часто случается невыполнение работы (отставание от графика), каковы их причины и как
это сказывается на затратах?
• Кто ваши основные внутренние поставщики и потребители? Как они взаимодействуют между
собой?
Раздел Б Предварительное обследование
• Какие сферы деятельности руководство больше всего хотело бы улучшить?
• Какие действия были предприняты по результатам предыдущего аудиторского отчета?
Аудитор также должен задать подробные вопросы о циклах продаж, материально-технического

снабжения (закупок) и производства; об уровне и структуре оплаты труда; о контроле над основными
средствами и о других аспектах предстоящего аудиторского задания.
Эти вопросы помогут выявить ключевые области риска и методы, с помощью которых руководство
контролирует эти риски, а также степень, в которой им удается это сделать.
Примечание. Вместе со списком вопросов следует также направить список документов, которые
понадобятся для выполнения аудиторского задания. В этот список могут входить движение и/или
остатки по бухгалтерским счетам, Уставы и Положения, должностные инструкции и блок-схемы.
Предварительная встреча
Предварительная встреча с клиентом аудиторского задания должна способствовать установлению
атмосферы сотрудничества, которая будет сохраняться на протяжении всего хода выполнения задания.
В ходе такой встречи аудитор подробно рассказывает о предстоящем задании (за исключением того, что
касается расследования мошенничества) и подчеркивает, что все наблюдения и рекомендации будут
предварительно обсуждаться с клиентом, прежде чем оформляться в виде отчета для совета директоров.
Аудитор должен также объяснить клиенту, что все меры по устранению недостатков, выявленных в ходе
выполнения задания, которые будут предприняты до направления письменного отчета о результатах
выполнения этого задания, будут приняты во внимание и подтверждены внутренним аудитором в отчете.
В ходе первоначальной встречи аудитор подводит итоги анкетирования (ответов на вопросы) клиента;
при этом особое внимание уделяется тем аспектам, которые потребуют более внимательного изучения и
тестирования в ходе выполнения задания, а также тем вопросам, которые, по мнению аудитора, требуют
дальнейших пояснений клиента.
Еще одним итогом предварительной встречи с клиентом будет сбор максимально возможного количества
документов, имеющих отношение к целям предстоящего аудиторского задания, а также организация их
безотлагательной передачи аудитору.
Посещение аудитором служебных помещений клиента позволяет получить наглядную картину места
проведения предстоящего задания и лучше его спланировать. Кроме того, посещение служебных
помещений клиента дает аудитору возможность встретиться с персоналом и обсудить вопросы (в
пределах компетенции этих работников) управления рисками, контроля и корпоративного управления.
Посещение служебных помещений может дополнять изучение ключевых процессов и документации

клиента. Такой подход позволит аудитору убедиться в том, что процедуры контроля действительно
функционируют.
Последующие встречи с клиентом

По желанию клиента возможна организация еще одной встречи для обсуждения первых впечатлений
аудитора и основных элементов рабочей программы аудиторского задания. Затраты на организацию и
проведение дополнительных встреч с клиентом должны быть заранее учтены в процессе планирования
задания.
Вопрос 58: Что из перечисленного ниже с наименьшей степенью вероятности может стать предметом
обсуждения на предварительной встрече с клиентом аудиторского задания?
a) Цели, объем и содержание аудиторского задания.
b) Список работников и документов клиента, которые необходимы аудитору для выполнения

задания.
c) Схема выборки и основные критерии отбора для проведения детального тестирования.
d) Ожидаемые даты начала и завершения задания.
Документирование предварительного обследования

Результаты предварительного обследования оформляются документально в форме комплексного отчета.
Используя документы, полученные на предварительной и последующей встречах, аудитор заводит (или
обновляет) постоянный файл (постоянный аудиторский архив).
Постоянный файл содержит постоянные документы по клиенту, которые могут использоваться для
выполнения каждого последующего аудиторского задания. В аудиторский архив заносятся такие
сведения, как цели и задачи деятельности организации клиента, организационная структура, адреса,
блок-схемы, данные о банковских счетах и прочее. Ответы на вопросы анкеты и хранящиеся в файле
документы помогут аудитору при составлении плана аудиторского задания и подготовке рабочих
документов по предстоящему аудиторскому заданию. Копия отчета по результатам предварительного
обследования направляется куратору аудиторского задания для сведения.
Вопрос 59: На стадии предварительного обследования при выполнении задания по аудиту кадровой
службы стало ясно, что расходы на оплату отеля и авиабилетов примерно равны. Бронирование и
заказ билетов на самолет и мест в отеле осуществляются секретарем кадровой службы. Учитывая эту
информацию, объем и содержание аудиторской проверки должны включать:
a) изучение факторов конкуренции, влияющих на выбор отеля;
b) рекомендации, чтобы бронирование мест на авиарейсы и на размещение в отеле выполнял не

сотрудник кадровой службы;
c) сравнение данных по расходам на гостиницу, указанных в отчетах кандидатов, с копиями

отчетов, полученными напрямую из отелей, где останавливались кандидаты;
d) получение гарантий, что юридические права кандидатов защищены на время проведения

интервью.
Вопрос 60: Еще до проведения предварительного обследования руководитель внутреннего аудита

направляет меморандум и вопросник руководителям подразделения, которое будет объектом аудита.
Каков наиболее вероятный результат использования такой процедуры?
a) Она вызывает у руководителей опасения по поводу предстоящего аудиторского задания.
b) Она вовлекает руководителей подразделения к участию в предстоящем задании.
c) Она олицетворяет собой неэкономичный способ сбора информации.
d) Она полезна только при проведении аудиторских заданий в отдаленных подразделениях.
Раздел Б Объем и содержание аудиторского задания
Объем и содержание аудиторского задания

Стандарт 2220: Объем и содержание аудиторского задания
Объем и содержание аудиторского задания должны быть достаточными для достижения целей
задания.
В объем и содержание аудиторского задания по предоставлению гарантий должно включаться изучение

соответствующих систем, документации, персонала и материальных активов, включая те, что находятся
под контролем третьих лиц. Если в ходе выполнения услуг по предоставлению гарантий возникает
возможность оказания консультационных услуг в существенном объеме, необходимо согласовать с
внутренним клиентом в письменной форме цели, содержание, соответствующие обязанности и другие
вопросы; результаты консультационного задания должны быть доведены до сведения клиента в
соответствии со стандартами, относящимися к консультационным услугам.
Выполняя консультационное задание, внутренние аудиторы должны убедиться, что его объем и
содержание достаточны для достижения согласованных целей. Если внутренние аудиторы в процессе
выполнения задания испытывают сомнения в отношении объема и содержания задания, эти сомнения
подлежат обсуждению с клиентом, чтобы решить, продолжать ли выполнение задания.
Распределение ресурсов на выполнение аудиторского задания

Стандарт 2230: Распределение ресурсов на выполнение аудиторского задания
Внутренние аудиторы должны определить объем ресурсов, необходимых для достижения целей
аудиторского задания, исходя из характера и степени сложности каждого аудиторского задания,
ограничений по срокам и доступных ресурсов.
Определяя соответствие и достаточность ресурсов, необходимых для выполнения задания, внутренним

аудиторам необходимо учитывать следующее:
• численность и опыт персонала внутреннего аудита должны основываться на результатах оценки

характера и степени сложности аудиторского задания, ограничений по срокам его выполнения
и доступных ресурсов;
• знания, навыки и другие компетенции персонала внутреннего аудита должны соответствовать

требованиям задания;
• необходимость обучения внутренних аудиторов, поскольку выполнение заданий позволяет

повышать профессиональный уровень внутреннего аудита;
• доступность внешних ресурсов, когда для выполнения задания требуются дополнительные

знания, навыки и другие компетенции.
Программа аудиторского задания

Стандарт 2240: Программа аудиторского задания
Внутренние аудиторы должны разрабатывать и документировать программы работ, позволяющие

достичь цели задания.
Программа задания должна разрабатываться и оформляться письменно для каждого задания, которое
выполняет внутренний аудитор. На объем программы аудиторского задания оказывают влияние все
вышеперечисленные факторы. Некоторые программы работ могут быть очень короткими и состоять
всего из нескольких шагов или процедур, тогда как другие программы заданий могут быть длинными и
подробными. Внутренние аудиторы разрабатывают и документально утверждают программы задания до
начала выполнения аудиторского задания (обычно после завершения предварительного обследования),
однако бывают ситуации, когда в ходе выполнения задания программа работ нуждается в пересмотре.
Процедуры аудиторского задания CIA Часть 2
Подготовка программы задания является частью процесса планирования каждого аудиторского задания
или проекта. Программа задания включает методологию проверки, которая будет использована
(например, компьютеризированные методы аудита, методики выборки, содержание работ и способы их
выполнения), и так же как во внешнем аудите она упрощает контроль и проверку выполняемой работы.
Содержание программы аудиторского задания зависит от объема и содержания работ, выполняемых в

рамках аудиторского задания. Чем крупнее проект, тем более подробной будет программа аудиторского
задания. Объем проекта определяется на первой стадии процесса планирования – при определении
целей и объема и содержания аудиторского задания.
Программа аудиторского задания готовится после завершения предварительного опроса. Подготовка

программы должна быть завершена до начала выполнения работ, так как именно программа указывает
аудиторам, что и в какой последовательности следует делать в ходе выполнения аудиторского задания.
Программа аудиторского задания должна включать информацию о целях объекта аудита, описание
имеющейся системы контроля и контрольных процедур, а также тех контрольных процедур, которые
необходимы в этой сфере деятельности в целях достижения поставленных целей. В свою очередь, цели
объекта аудита определяют цели задания. Программы аудиторских заданий должны содержать описание
процедур, т.е. подробную последовательность действий при выполнении задания.
Первоначальная программа аудиторского задания может быть составлена на основе программ

предыдущих аудиторских заданий, либо она может быть просто типовой программой задания. Но в
любом случае по мере выполнения задания может возникнуть необходимость внести изменения или
расширить первоначальную программу в зависимости от обнаруженных недостатков. Если аудитор
приходит к выводу о необходимости увеличения объема работ по заданию, следует более внимательно
изучить причины увеличения объема работ, чтобы убедиться в том, что эти причины не объясняются
проблемами или недостатками в имеющейся системе внутреннего контроля, требующими отдельного
расследования.
Руководитель внутреннего аудита утверждает программу аудиторского задания в письменной форме до

начала её выполнения. Любые изменения программы также должны быть своевременно утверждены.
Если обстоятельства позволяют, то утверждение изменений может быть сделано в устной форме.
Вопрос 61: Подразделение внутреннего аудита планирует в течение 3-х лет провести аудиторские
проверки всех подразделений крупного международного агентства по аренде автомобилей.
Руководство особенно обеспокоено проблемами при выполнении стандартизированных операций в
бухгалтерии, отделе аренды машин и на складе. Какой тип программы проведения проверки больше
всего подходит для этого проекта?
a) Типовая программа, разработанная и протестированная подразделением внутреннего аудита.
b) Индивидуальная программа, разработанная старшим внутренним аудитором после проведения

предварительного обследования каждого подразделения.
c) Вопросник по стандартным операционным процедурам подразделения.
d) Отраслевое руководство по выполнению аудиторского задания.
Процедуры аудиторского задания

Чтобы надлежащим образом спланировать задание, аудитор должен четко понимать, какие процедуры
необходимо выполнить для того, чтобы цели аудиторского задания могли быть достигнуты. Работа по
выполнению аудиторского задания представляет собой последовательность процедур, которые должны
быть выполнены внутренним аудитором. Эти процедуры могут быть как предельно простыми (например,
Раздел Б Процедуры аудиторского задания
проверка наличия подписи на определенном документе), так и достаточно сложными (например, оценка
стоимости производного инвестиционного инструмента).
Процедуры, которые должны выполняться внутренними аудиторами в рамках задания, прописываются в

программе аудиторского задания. Таким образом, программа задания служит источником информации о
том, какую работу необходимо сделать, а также является инструментом контроля, позволяющим следить
за тем, чтобы все обязательные и планируемые аудиторские процедуры были выполнены.
К сожалению, число процедур, которые можно выполнять, практически безгранично. Поэтому мы не

пытаемся привести здесь полный список этих процедур. Вместо этого мы приведем ниже некоторые
общие принципы и понятия, касающиеся выполняемых процедур в рамках аудиторских заданий.
В рамках любого задания внутреннему аудитору понадобится выполнить определенные процедуры по

сбору аудиторских доказательств. Такие доказательства станут основанием для тех заключений, к
которым придет аудитор в результате выполнения задания. Аудитору необходимо осуществлять сбор
информации до тех пор, пока у него не будет достаточных оснований, чтобы сделать соответствующие
выводы и заключения.
Все аудиторские доказательства должны быть в состоянии пройти тест на достаточность, уместность
и значимость, означая этим, что внутренние аудиторы должны собрать достаточный объем надежной,
уместной и значимой информации для достижения целей задания. Хотя эти термины уже обсуждались
подробно в Части 1 учебного пособия, мы вновь повторим их в этом разделе для закрепления знаний.
Достаточность аудиторских доказательств

Нельзя определенно сказать, какое количество аудиторских доказательств считается «достаточным».
Ответ на этот вопрос может быть дан только на основе профессионального суждения внутреннего
аудитора и зависит от множества факторов. Одним из таких факторов при определении достаточности
аудиторских данных является эффективность системы внутреннего контроля клиента аудиторского
задания. Если система внутреннего контроля функционирует в штатном режиме, то тогда «достаточное»
количество аудиторских данных, необходимых аудитору, будет меньше, чем «достаточное» количество
аудиторских данных в случае, если внутрифирменные контрольные процедуры клиента функционируют
неудовлетворительно. Вопрос об уменьшении «достаточного» количества аудиторских доказательств
возникает потому, что если система внутреннего контроля клиента функционирует в штатном режиме, то
аудитор, скорее всего, посчитает полученную информацию заслуживающей доверия, и ему потребуется
меньше доказательств, чтобы убедиться, что эта информация является достоверной.
Тем не менее, необходимо помнить о том, что независимо от того, насколько хорошо работает система
внутреннего контроля клиента, аудитор должен всегда получить определенное количество прямых
доказательств для проверки и подтверждения правильности цифр, предоставленных клиентом. Если бы
аудитор полагался в своих заключениях исключительно на информацию, предоставленную ему клиентом
аудиторского задания без какой-либо проверки, то тогда вообще работа аудитора была бы не нужна.
Определяя «достаточность» аудиторских доказательств, аудитор должен учитывать существенность
аудируемого вопроса и присущий ему риск. Чем менее существенным и «рискованным» является
вопрос, тем меньше доказательств потребуется собрать аудитору.
Достоверность аудиторских доказательств

Чтобы собранные аудитором аудиторские доказательства считались правомочными, они должны быть
достоверными. Достоверность полученных доказательств определяется степенью доверия, которую
испытывает по отношению к ним аудитор; то есть, в какой степени аудитор может полагаться на эти
доказательства. Наиболее достоверными аудиторскими доказательствами для аудитора являются
доказательства, которые были получены непосредственно аудитором. Аудитор получает такие
доказательства путем наблюдений за работой сотрудников и самостоятельного получения интересующих
его сведений из системы бухгалтерского учета компании.
Однако существует много данных, которые аудитор не может получить непосредственно сам, и поэтому
он вынужден будет полагаться на информацию, полученную из других источников. Следующими по
достоверности доказательствами для внутреннего аудитора будут данные, полученные напрямую от
независимой третьей стороны. Это значит, что доказательства получены не от клиента аудиторского
задания и не от стороны, которая непосредственно заинтересована в клиенте. (Примерами могут быть
подтверждения банка и дебиторов по состоянию взаиморасчетов, направляемые напрямую аудитору.)
Если доказательства не могут быть получены самостоятельно или от независимой третьей стороны, тогда
аудитор должен получить их непосредственно у клиента. Аудиторские доказательства, полученные
непосредственно от клиента, являются наименее надежными, и степень достоверности этих данных
для аудитора будет наименьшей; аудитору потребуется больше фактов для подтверждения
данных, полученных от клиента, чем данных, полученных от независимой третьей стороны.
Примечание. Чем эффективнее работает система внутреннего контроля клиента, тем убедительнее
будут доказательства, полученные напрямую от клиента. Однако вновь необходимо напомнить о том,
что независимо от того, насколько хорошо работает система внутреннего контроля клиента, аудитор
должен всегда проводить детальное тестирование на основе выборки, размер которой зависит от
эффективности работы внутреннего контроля.
Значимое доказательство
Для того чтобы информация рассматривалась как значимая, она должна иметь отношение к объекту,
который аудируется. Однако это не означает, что информацией, которая может быть незначимой для
данного аудиторского задания, можно пренебречь или полностью ее игнорировать. Информация может
оказаться значимой для другого планируемого аудиторского задания или процесса в компании. В этом
случае такая информация должна быть передана соответствующим руководителям компании.
Полезное доказательство
Полезным доказательством является информация, которая помогает организации достигать своих целей.
Процесс нахождения полезной информации является одной из главных задач и ролей внутреннего
аудита. Например, руководству необходимо удостовериться в правильности составления финансовой
отчетности. Таким образом, любое доказательство, выбранное аудитором, которое помогает руководству
в достижении этой цели, рассматривается как полезное.
Источники доказательств
Внутренние аудиторы собирают аудиторские доказательства, которые используются для обоснования
заключений аудиторской проверки. Существует два основных типа аудиторских доказательств: данные
бухгалтерского учета и подкрепляющие доказательства.
1) Данные бухгалтерского учета – это информация, которая является составной частью

(автоматизированных) систем бухгалтерского учета, в которых они хранятся. К ним относятся
исходные проводки и первичная документация, главная книга, журналы учета и прочие
бухгалтерские регистры, а также другая подтверждающая информация и выходные данные
бухгалтерской системы. Вместе с тем, сами по себе данные бухгалтерского учета не являются
достаточными аудиторскими доказательствами и всегда должны дополняться, по меньшей мере,
несколькими подкрепляющими доказательствами.
2) Подкрепляющее доказательство – это практически все остальные свидетельства, которые

аудитор получает из других источников, либо это может быть документ, который удостоверен
третьей стороной, например, счет-фактура, чек, контракт или похожий тип документа.
Аудиторские процедуры получения аудиторских доказательств

В своей книге Внутренний аудит Л.Б. Сойер выделяет шесть групп таких процедур. 5 Ниже приведено их
краткое описание.
1) Наблюдение. Наблюдение заключается в визуальном контроле аудитором процессов или

процедур, выполняемых другими лицами. Например, изучение конкретного документа или
наблюдение за выполнением процедур внутреннего контроля. Все наблюдения, сделанные
аудитором, должны быть подробно описаны и оформлены в виде документов.
2) Исследование. Аудитор может выполнить исследование либо посредством интервью, либо в

письменном виде посредством заполнения вопросников. Интервью являются более типичным
способом, однако их сложнее проводить эффективно, поскольку от аудитора требуется умение
понимать ответы, быстро готовить новые вопросы по ходу беседы и задавать «правильные»
вопросы (т.е. вопросы, которые приводят к получению максимально полезной информации).
Интервью нужно проводить в спокойной, не угрожающей манере, чтобы опрашиваемый человек

чувствовал себя комфортно. Зачастую добиться этого непросто по причине распространенного
восприятия внутреннего аудитора как человека, который всегда выискивает какие-то упущения
и ошибки в работе остальных.
Информация, полученная в результате интервью или путем использования других способов

проведения исследования, должна быть подтверждена (если возможно) другими работниками,
либо другими видами доказательств. Лучше всего проводить исследование в тех случаях, когда
аудитор хочет узнать, что думают или чувствуют работники по поводу какой-то ситуации или
конкретной проблемы.
3) Анализ. Это процесс, в ходе которого аудитор стремится понять целое, изучая его отдельные
составные части. Анализ предполагает сравнение фактов, обнаружение тенденций, изучение
отклонений между фактическими и прогнозируемыми результатами. Аналитические процедуры
являются частью анализа, когда аудитор изучает взаимозависимость между двумя событиями,
чтобы понять, в какой степени её фактические характеристики соответствуют ожидаемым.
Например, если число работников за определенный период возросло на 10%, то ожидается, что
расходы по заработной плате за этот же период также увеличатся. Увеличатся ли расходы
точно на 10%, зависит от того, какие именно работники были приняты на работу и в какое
время. Тем не менее фонд заработной платы должен обязательно возрасти, если общее число
работников увеличилось на 10%.
4) Сверка. Этот процесс предполагает сверку информации, полученной из одного источника, с

информацией из другого источника. Подкрепляющее доказательство служит подтверждением
для другого вида аудиторских доказательств. Одного отдельно взятого доказательства может
быть недостаточно для обоснования заключения, однако если имеется достаточное количество
доказательств, свидетельствующих об одном и том же, то можно утверждать, что заключение
аудитора будет считаться обоснованным.
5) Расследование. Это процесс поиска аудиторских доказательств или фактов, которые не лежат
на поверхности. Такой метод часто используется в тех случаях, когда кто-то подозревается в
неправомерных действиях (иногда метод называют «зондированием» или «прощупыванием»).
6) Оценка. Это процесс, в ходе которого аудитор собирает вместе всю доступную информацию и
на ее основе приходит к определенному заключению. Для окончательной оценки требуется
применение профессионального суждения, так как редко бывает, чтобы собранные аудиторские
данные и доказательства позволили аудитору полностью быть уверенным в своем заключении.
Оценки бывают в отношении остатков на счетах бухгалтерского учета, процедур внутреннего

контроля (при определении адекватности и достаточности контроля) и оценки рисков.
5
Л.Б.Сойер, цит. соч., стр.283.
Процесс оценки включает рассмотрение следующих факторов:
• сколько было отклонений от нормы (отступлений от правил);
• размеры таких отклонений (отступлений);
• почему происходили эти отклонения (отступления);
• в каких областях деятельности проявлялись эти отклонения (отступления);
• какова вероятность повторения этих отклонений (отступлений).
Примечание. Вам необходимо понимать различие между индуктивным и дедуктивным мышлением.

Индуктивное мышление – это такой процесс мышления, когда на основании мнения об отдельной
части предмета выводится общее заключение о целом предмете. Примером индуктивного мышления
можно считать заключение аудитора о соответствии фактической суммы дебиторской задолженности
данным бухгалтерского учета, который он сделал на основании проведения выборочной проверки
расчетов организации с дебиторами.
Дедуктивное мышление – это такой процесс мышления, когда на основании мнения о целом
предмете делается вывод в отношении отдельной его части. Примером такого типа мышления можно
считать применение аудитором аналитических процедур для оценки точности остатков конкретного
бухгалтерского счета.
Отслеживание операции и проверка документарного подтверждения

Существует две специальные процедуры, которые вы должны хорошо знать, – отслеживание и проверка
документарного подтверждения. Нижеследующее обсуждение касается финансовой отчетности, однако
указанные процедуры применимы во всех случаях, когда имеется документ – первоисточник и место,
где событие в итоге зарегистрировано.
Отслеживание операции – процесс, который начинается с первичного документа, продолжается

посредством изучения бухгалтерских записей и заканчивается в главной книге. Процесс отслеживания –
это процесс проверки аудитором полноты отражения данных в отчетности, чтобы удостовериться в том,
что каждое имевшее место событие, каждая осуществленная операция действительно отражены в
бухгалтерском учете.
Проверка документарного подтверждения – процесс, обратный отслеживанию, который начинается

с учетной записи в бухгалтерском учете и продолжается до тех пор, пока не найдено документарное
обоснование этой записи. Проверка документарного подтверждения – это процесс проверки аудитором
факта наличия отраженных в учете событий, чтобы удостовериться, что все события или операции,
которые были отражены в бухгалтерском учете, действительно произошли и не являются фиктивными.
Практически в каждом аудиторском задании имеются транзакции, которые нужно отследить, и такие,
которые требуют проверки документарного подтверждения.
Документ-первоисточник
Отслеживание Документарное
подтверждение
Финансовая отчетность
Примечание. На экзамене будет несколько вопросов, где вас попросят указать наилучшую процедуру
для выполнения какого-либо действия, либо процедуру, которая наиболее или наименее вероятно
должна быть выполнена. Такого рода вопросы вызывают особые трудности, поскольку в разных
компаниях и разные аудиторы по-разному подходят к решению подобных задач. Кроме того, такие
вопросы могут быть использованы практически к неограниченному набору ситуаций. Для лучшей
подготовки к данным вопросам вам следует изучить вопросы предыдущих экзаменов в программе
ExamSuccess («Успех Экзамена»), чтобы понять, в какой форме чаще всего задавались подобные
вопросы, и что именно понимает ИВА под «подходящими процедурами» в различных ситуациях.
Некоторые из таких вопросов приведены на следующих страницах.
Вопрос 62: Начальник производственного отдела промышленной компании средних размеров начал
заказывать слишком большое количество сырья и материалов, поручая доставлять их на оптовое
предприятие, которым он владел в качестве дополнительного бизнеса. Начальник отдела подделал
приходные документы, утвердил и принял счета-фактуры к оплате. Какая из аудиторских процедур,
перечисленных ниже, будет с наибольшей вероятностью обнаруживать мошенничество?
a) Сделать выборку по выплатам денежных средств; сопоставить заказы на закупку, отчеты о

получении закупленных товаров, счета-фактуры и копии платежных квитанций.
b) Сделать выборку по выплатам денежных средств и подтвердить объем сделанных закупок,

закупочную цену и дату отгрузки товара у продавцов.
c) Осмотреть приемный терминал и подсчитать количество полученных материалов; сопоставить

свои подсчеты с данными приходных документов, оформленных приемщиками груза.
d) Выполнить аналитические проверки: сопоставить данные по объему производства, количеству

закупленного сырья, остаткам сырья и материалов на складе, и исследовать расхождения в
полученных результатах.
Вопрос 63: Крупная промышленная компания имеет в своей структуре транспортное подразделение,
которое снабжает бензином служебные транспортные средства компании. Бензин заправляется
техником, который отмечает количество отпущенного горючего в предварительно пронумерованных
формах учета бензина, которые затем передаются в бухгалтерию для соответствующего учета. Когда
количество бензина снижается до определенного уровня, техник на заправочной станции заполняет
заявку на покупку бензина и направляет ее в отдел снабжения, где на основании этой заявки
оформляется заказ на закупку, который регистрируется в журнале учета закупок бензина. Какая из
аудиторских процедур, перечисленных ниже, будет самой подходящей для проверки того, насколько
точно и полно производится учет расхода бензина в компании?
a) Сравнить количество бензина, указанное в заявках на закупки, с данными по количеству

отпущенного бензина.
b) Выбрать несколько закупок бензина из журнала учета и сравнить их с соответствующими

заказами на закупку; убедиться, что бланки заказов предварительно пронумерованы, их серии и
номера совпадают с заявками на покупку бензина, и что они утверждены и подписаны
должностным лицом, не зависящим от персонала заправочной станции.
c) Выполнить аналитические процедуры по сравнению объема потребления бензина в отчетном

периоде с предыдущими периодами.
d) Сравнить количество отпущенного бензина, указанного в формах учета, с данными счетчиков

заправочной станции.
Вопрос 64: Внутренний аудитор занимается проверкой того, все ли операции дебетования счета
расходов на обеспечение безопасности компьютерной системы отражают соответствующие расходы.
Оптимальной аудиторской процедурой для выполнения этой задачи будет:
a) проведение выборки счетов-фактур, относящихся к расходам на компьютерную систему, и

определение, правильно ли счета-фактуры были классифицированы;
b) выполнение анализа расходов на обеспечение безопасности компьютерной системы в текущем

году и сравнение их с аналогичными расходами за последние пять лет;
c) выборочная проверка соответствия сумм по дебету счета расходов первичным документам для
определения характера и правомерности расходов;
d) проведение выборки расходов по зарплате, выплаченных сторонней сервисной организации, и

отслеживание их правильной классификации по счетам бухучета.
Вопрос 65: Одна из целей задания по финансовому аудиту отдела учета дебиторской задолженности
состоит в проверке соблюдения отделом предписанных стандартных процедур при выдаче кредитов.
Какая из процедур позволит получить наиболее достоверную информацию?
a) Спросить руководителей кредитного управления, выполняются ли определенные политики и

процедуры при выдаче кредитов.
b) Провести статистическую выборку заявок на кредиты и проверить их на предмет соответствия

предписанным процедурам.
c) Провести анализ взаимосвязи между тенденцией продаж в кредит и количеством безнадежных

долгов.
d) Проверить процедуры учета дебиторов по срокам оплаты.
Вопрос 66: Аудитор установил, что программное приложение основного пользователя разработано в
виде электронной таблицы. Загрузка данных о предполагаемых перевозках грузов производится из
главного компьютера, а затем с помощью электронных таблиц определяется оптимальный вариант
перевозок. Когда программа была впервые использована два года назад, она привела к резкому
снижению издержек. Однако с тех пор расходы по перевозке грузов постоянно росли, и никто, кроме
разработчика этой программы, не проверял правильность работы электронных таблиц. Алгоритм
диспетчеризации грузов достаточно сложен, однако аудитор сумел разобраться в этом вопросе и
понимает действующий алгоритм вычисления. Теперь аудитор хочет получить подтверждение
правильности использования электронными таблицами этого алгоритма диспетчеризации грузов.
Какая из перечисленных ниже процедур поможет аудитору справиться с этой задачей?
I. Разработать новую электронную таблицу и «прогнать» тестовые данные через нее и через
электронную таблицу основного пользователя, а затем сравнить результаты.
II. Использовать программу для получения распечатки логики электронных таблиц основного
пользователя. Изучить эту логику и определить, правильно ли она встроена в электронные
таблицы основного пользователя.
III. Разработать набор эмпирических данных и вручную вычислить ожидаемые результаты.
«Прогнать» эти же данные через приложение основного пользователя.
c) Варианты I и III.
Вопрос 67: Представьте ситуацию, когда внутренний аудитор подозревает серьезное мошенничество
со стороны стоматологов, выставляющих счета страховой компании на оплату услуг, которые они в
действительности не оказывали. Так, пациентам могут просто провести процедуру гигиенической
чистки, а стоматологи выставляют счета на удаление зубов или на подготовку протезов. Наилучшая
процедура, позволяющая определить, действительно ли имеет место такое мошенничество, состоит в
следующем:
a) провести случайную выборку платежей стоматологам и подтвердить суммы, выплаченные

стоматологическим кабинетам, чтобы убедиться, что эти суммы совпадают с теми, на которые
стоматологи выставляли счета;
b) взять образцы заявок на страховое возмещение, поступившие от кабинетов стоматологов, и

подтвердить указанные в них типы услуг, оказанные стоматологами, путем прямого запроса у
пациентов, которым фактически оказывались услуги;
c) провести случайную выборку заявок на страховое возмещение, направленных кабинетами
стоматологов в страховые компании, и отследить их через всю систему, чтобы удостовериться,
что сумма платежей соответствует сумме выставленных счетов;
d) составить графики платежей каждому из стоматологов в отдельности и удостовериться в

правильности этих платежей путем подтверждения сумм у страховой компании.
Контроль над выполнением задания CIA Часть 2
Контроль над выполнением задания

Стандарт 2340: Контроль над выполнением задания
Для достижения поставленных целей, обеспечения качества работы и повышения квалификации

сотрудников подразделения внутреннего аудита необходим должный контроль над выполнением
задания.
Руководитель внутреннего аудита несет ответственность за все задания службы внутреннего аудита и
обеспечивает надлежащий контроль выполнения заданий. Это помогает следить за тем, что достигаются
цели задания, обеспечивается надлежащее качество работы и повышается квалификация персонала.
Постоянный контроль начинается на этапе планирования и заканчивается после сдачи отчета по

заданию. Руководитель внутреннего аудита несет ответственность за организацию постоянного контроля
за выполнением каждого задания. В рамках этой ответственности он должен периодически проверять
ход выполнения каждого задания в части соблюдения выделенного бюджета, графика выполнения работ
и предполагаемого времени завершения задания. Кроме того, руководитель внутреннего аудита должен
проверить степень решения ранее выявленных у клиентов аудиторских заданий проблем контроля или
технических вопросов.
Примечание. Требуемая степень контроля над выполнением аудиторского задания будет зависеть от
уровня профессионализма и опыта внутренних аудиторов, а также сложности задания.
Если для выполнения аудиторского задания требуются дополнительное время и ресурсы (по сравнению
с запланированным бюджетом), аудиторы должны немедленно сообщить об этом куратору задания, и
этот вопрос должен быть рассмотрен сразу после поступления информации от аудиторов.
Процесс постоянного контроля включает в себя:
• проверку того, что аудиторы, назначенные на задание, обладают необходимыми знаниями,

навыками и другими компетенциями, необходимыми для выполнения задания;
• предоставление необходимых инструкций в процессе планирования задания и утверждение

программы задания;
• обеспечение выполнения утвержденной программы задания, кроме случаев, когда в программу

внесены обоснованные и санкционированные изменения;
• проверку того, содержат ли аудиторские рабочие документы обоснование наблюдений, выводов

и рекомендаций, сделанных по результатам задания;
• обеспечение точности, объективности, ясности, краткости, конструктивности и своевременности

информационных потоков, относящихся к заданию;
• обеспечение достижения целей задания;
• предоставление возможностей для развития знаний, навыков и других компетенций внутренних

аудиторов;
• заполнение проверочной таблицы по комплектности аудиторской рабочей документации по

заданию;
• обеспечение контроля за исполнением бюджета аудиторского задания, включая контроль учета

рабочего времени;
• определение экономии в результате внедрения рекомендаций аудиторов; и
• урегулирование различий в профессиональных суждениях руководителя внутреннего аудита и

персонала внутреннего аудита по существенным вопросам, касающимся задания.
Руководитель группы аудиторского задания должен информировать ассистентов об их обязанностях и о

целях аудиторских процедур, которые им предстоит выполнять. Работа ассистентов аудитора должна
Раздел Б Контроль над выполнением задания
проверяться с тем, чтобы руководитель группы мог убедиться, что результаты их работы находятся в
соответствии с имеющимися фактическими данными (аудиторскими доказательствами). Ассистенты
аудитора должны быть проинструктированы о необходимости немедленно информировать руководителя
группы обо всех существенных проблемах, связанных с бухгалтерским учетом и аудитом. Проверка
рабочих документов, подготовленных в ходе аудиторского задания, должна быть документально
оформлена руководителем группы, обычно путем проставления своих инициалов и даты проверки на
каждой странице документа.
Проверяющие должны выявлять все пункты в рабочих документах, которые являются неполными,
неправильными, либо требуют доработки, и могут записывать возникающие вопросы и/или замечания.
Ассистенты аудитора также должны документально оформить ответы на вопросы, возникшие в процессе
контроля.
Проверка рабочих документов

Качество выполнения аудиторского задания гарантировано тогда, когда рабочие документы надлежаще
проверяются. Все рабочие документы аудиторов должны проверять руководители аудиторских заданий.
В конечном счете, ответственность за проверку рабочих документов несет руководитель внутреннего
аудита. Проверка рабочих документов проводится с целью удостовериться, что собранные аудиторские
доказательства надлежащим образом подкрепляют заключения аудиторов и содержание отчетности по
аудиторскому заданию.
Когда проверяющий делает замечания по рабочей документации, он должен делать их в письменной

форме, чтобы выполнение этих замечаний можно было оформить документально. Прежде чем закрыть
аудиторское задание, все незакрытые замечания (незавершенные вопросы с замечаниями по проверке
документов) должны быть завершены и закрыты.
В ходе проверки рабочих документов особое внимание должно уделяться тому, чтобы убедиться:
• что в ходе выполнения задания аудитор неукоснительно следовал рабочей программе и

конкретным инструкциям, и что все этапы задания были выполнены;
• что в рабочих документах в полной мере отражены и зарегистрированы все выполненные

работы и результаты всех проведенных тестов;
• что все заключения аудитора подкреплены достаточными и убедительными аудиторскими

доказательствами;
• что при подготовке рабочих документов аудитор следовал всем соответствующим руководящим
указаниям компании в этой области.
Оценка результатов работы штатных аудиторов по выполнению заданий

Оценка результатов работы штатных внутренних аудиторов обычно проводится в конце каждого
аудиторского задания, имеющего существенное значение. Такие оценки позволяют штатному
аудитору и руководству службы внутреннего аудита получить немедленную «обратную связь» по
результатам работы аудитора. Этот процесс позволяет им обмениваться идеями и мнениями, пока
результаты выполнения задания еще свежи в памяти заинтересованных сторон. Кроме того, оценка
результатов работы аудиторов может:
• стать еще одним источником требований при решении вопросов о продвижении по службе,
выплате вознаграждений и/или увольнения аудиторов;
• оказать помощь РВА в необходимом обучении и профессиональной подготовке аудиторов;
• оказать помощь РВА в оценке методов для повышения эффективности работы внутренних
аудиторов;
• оказать помощь РВА в распределении будущих заданий между штатными аудиторами.
Контроль над выполнением задания CIA Часть 2
При проведении оценки результатов работы штатных аудиторов во внимание могут быть приняты многие
факторы. Среди них учитывается, удалось ли внутреннему аудитору:
• прийти к пониманию целей и процедур аудиторского задания;
• понять процедуры, системы и технологические процессы, используемые клиентом;

• закончить работу в соответствии с рабочим планом (сроками, бюджетом задания);
• поддерживать нормальные рабочие отношения с клиентом аудиторского задания;
• развить профессиональные отношения с клиентом аудиторского задания;
• подготовить рабочие документы в соответствии со Стандартами;
• провести комплексную оценку деятельности в процессе документирования информации, чтобы
соответствующим образом представить отчет о результатах выполнения аудита, использовании
перекрестных ссылок между рабочими документами, а также между рабочими документами,
программой аудиторского задания и инструментами картирования;
• надлежащим образом использовать аудиторский инструментарий;
• принести пользу работе аудиторской команды и клиента задания;
• продемонстрировать профессионализм в практическом применении стандартов внутреннего
аудита;
• во время проведения задания следовать принципам этики;
• продемонстрировать техническую компетенцию в соответствии с обстоятельствами.
Вопрос 68: Руководитель внутреннего аудита несет ответственность за организацию постоянного

контроля над выполнением аудиторского задания. Наиболее важной формой контроля на этапе
выполнения задания является:
a) обеспечение выполнения одобренной программы задания, кроме случаев, когда в программу

внесены обоснованные и санкционированные изменения;
b) предоставление необходимых инструкций в процессе планирования задания и одобрения

программы задания;
c) оценка результатов работы каждого внутреннего аудитора, минимум, один раз в год;
d) обеспечение точности, объективности, ясности, краткости, конструктивности и

своевременности информационных потоков, относящихся к заданию.
Вопрос 69: Когда проведение внутреннего аудита поручается внештатным работникам, руководитель
внутреннего аудита несет ответственность за:
a) обеспечение объективности, ясности и своевременности передачи информации, относящейся к

выполняемому заданию;
b) проверку программ аудиторских заданий с их последующим утверждением;
c) обеспечение надлежащего контроля с начала и до завершения аудиторского задания;
d) то, чтобы никакая работа в рамках аудиторского задания не выполнялась работниками, не

входящими в состав подразделения внутреннего аудита.
Раздел Б Контроль над выполнением задания
Вопрос 70: Что из указанного не является доказательством надлежащего контроля над выполнением
аудиторского задания?
a) Менеджер по внутреннему аудиту утверждает программу задания и дает необходимые

инструкции подчиненным в процессе планирования этого задания. Он консультирует, но не
участвует активно в выполнении утвержденных процедур аудиторского задания.
b) Менеджер по внутреннему аудиту не участвует активно в выполнении задания, но проверяет и

анализирует результаты с тем, чтобы убедиться, что все цели задания выполняются.
c) Старший внутренний аудитор постоянно отклоняется от утвержденной программы задания,

однако регулярно завершает выполнение заданий в утвержденные сроки. Временные рамки и
количество рабочих часов для выполнения заданий утверждаются менеджером по внутреннему
аудиту, он же проверяет соблюдение этих рамок.
d) Менеджер по внутреннему аудиту тщательно проверяет все аналитические процедуры,

выполненные старшими внутренними аудиторами в процессе предварительного планирования
аудиторского задания, чтобы проверить, насколько оправданы сделанные ими выводы.
Информирование о результатах CIA Часть 2
Информирование о результатах
Стандарт 2400: Информирование о результатах
Внутренние аудиторы должны сообщать о результатах выполнения задания.
Данное утверждение кажется очевидным, однако важно позаботиться о том, чтобы информирование о
результатах выполнения задания осуществлялось надлежащим образом. Процесс надлежащего
информирования о результатах (промежуточных или итоговых) должен быть четким и понятным для
внутренних аудиторов. Существуют определенные этапы этого процесса, которые необходимо понимать
внутреннему аудитору, чтобы содержание текста сообщений по аудиторской отчетности было полностью
понятно заинтересованным сторонам.
Информирование о результатах и мониторинг действий по результатам задания являются итогом

деятельности внутреннего аудита. Промежуточный и конечный продукты деятельности внутреннего
аудита представляют собой наблюдения, заключения и рекомендации, которые должны приносить
пользу клиенту аудиторского задания. Кроме того, эти продукты являются основой для оценки работы
внутреннего аудита, которая осуществляется РВА, высшим руководством организации и Советом. Отчеты
внутренних аудиторов могут также быть полезными для внешних аудиторов, регулирующих инстанций и
судебных органов.
Критерии информирования
Стандарт 2410: Критерии информирования
Сообщения о результатах должны содержать определения целей, объема и содержания задания, а

также соответствующие заключения, рекомендации и планы действий.
Не существует каких-то определенных стандартов, регламентирующих форму, содержание и структуру

сообщений о результатах. Тем не менее, хотя формат и содержание итогового отчета о результатах
задания различаются в зависимости от организации и типа задания, сообщения о результатах должны
содержать:
• определения целей, объема и содержания задания, а также соответствующие
• заключения,
• рекомендации,
• планы действий.
Форма сообщения, среди прочего, будет зависеть от проверяемого объекта, объема аудита, срочности
вопроса и круга лиц, напрямую связанных с тем вопросом, о котором информируется в сообщении. Так,
об обнаруженных аудитором серьезных недостатках в функционировании системы внутреннего контроля
или угрозах риска для компании нужно сообщать незамедлительно (и в этом случае, возможно, в устной
форме), чем когда речь идет о плановых результатах аудита. Для сообщения информации, требующей
незамедлительных действий (внимания руководства) используются промежуточные отчеты.
Независимо от формы информирования о результатах, внутренний аудитор обязан удостовериться в том,

что передаваемое сообщение соответствует ожиданиям и требованиям как руководителей оперативных
подразделений (управляющих текущими операциями), так и высшего руководства организации и её
совета директоров.
Информирование получателей о результатах выполнения задания является одной из главных целей

аудиторской отчетности. В отчете по результатам задания внутренний аудитор может предоставить свои
рекомендации по совершенствованию деятельности, уведомить об удовлетворительном состоянии дел и
корректирующих мерах. Рекомендации в аудиторской отчетности могут быть общими или конкретными и
могут предлагать подходы к изменениям или улучшению деятельности в качестве руководства для
Раздел Б Информирование о результатах
менеджеров по достижению желаемых результатов. Они также могут использоваться для выполнения
определенных действий, нацеленных на совершенствование систем и операций организации.
Вопрос 71: Что из перечисленного не относится к числу основных целей аудиторской отчетности?
a) Информирование.
b) Получение результатов.
c) Распределение обязанностей.
d) Убеждение.
Содержание итогового отчета

Как минимум, итоговый отчет о результатах задания должен содержать описание целей, объема,
содержания и результатов задания (более подробно все эти пункты обсуждаются ниже). Кроме того,
в окончательном варианте отчетности о результатах задания должно содержаться общее мнение и/или
заключение внутреннего аудитора в случае, если это необходимо.
Согласно положениям Практического указания 2410-1 (Критерии информирования),
«итоговый отчет о результатах задания может включать вводную информацию и краткие

выводы. Во вводной информации могут быть указаны проверенные подразделения и виды
деятельности и предоставлена пояснительная информация. Вводная информация может также
включать состояние дел по наблюдениям, выводам и рекомендациям из предыдущих отчетов и
указание на то, касается ли отчет планового задания или составлен в ответ на запрос. В краткой
версии представляются основные положения отчета».
Примечание. По завершении задания выпускается подписанный отчет. Термин «подписанный»

означает, что уполномоченный внутренний аудитор подписывает, от руки или в электронном виде,
отчет или сопроводительное письмо. Руководитель внутреннего аудита определяет, кто из
внутренних аудиторов уполномочен подписывать отчет. Если отчеты о результатах задания
распространяются в электронном виде, подписанная версия отчета хранится в документации
Цель задания
В разделе о целях описываются задачи по заданию (они всегда должны указываться в отчете), а
также пользователи информируются о том, зачем выполнялось задание и чего предполагалось достичь
(например, снижения издержек, повышения эффективности труда и т.д.).
Объем и содержание задания

В описании объема и содержания задания указываются:
• проверенные виды деятельности;

• проверяемый период (если это требуется);
• деятельность в смежных областях, не подвергшихся проверке, чтобы очертить границы
задания; а также
• характер и объем (содержание) выполненных по заданию работ.
Примечание. В итоговом отчете также должна быть указана информация о любых ограничениях
объема и содержания аудиторского задания. Ограничение объема и содержания имеет место в тех
случаях, когда аудитор не имеет возможности выполнить все предписанные процедуры. Причина
ограничения объема и содержания задания в данном случае не имеет значения.
Результаты задания
В этом разделе отчета описываются результаты, которые включают наблюдения, выводы, мнения (или
заключения, если применимо), рекомендации и планы действий.
Наблюдения
Наблюдения представляют собой описание уместных фактов, обнаруженных аудитором в

ходе выполнения задания. Внутренний аудитор включает в отчет только те наблюдения,
которые требуются для подтверждения или предотвращения неверного понимания выводов и
рекомендаций внутреннего аудитора. Менее существенные наблюдения или рекомендации
внутренний аудитор может сообщать неформально.
Наблюдения и рекомендации по заданию формируются в процессе сопоставления критериев

(правильного состояния – того, что должно быть) с условиями (текущим состоянием – с тем, что
есть). Независимо от того, существует ли разница, внутренний аудитор получает основания для
составления отчета.
Если в результате выполнения задания выясняется, что все условия (процессы, системы,
процедуры и пр.) соответствуют критериям (функционируют, как положено), можно сообщить о
том, что состояние дел удовлетворительно.
Выводы и заключения
Выводы и заключения (мнения) представляют собой оценку внутренним аудитором влияния

наблюдений и рекомендаций на проверяемую деятельность. В отчете о результатах задания
четко описываются все выводы. Выводы могут касаться задания в целом или его отдельных
аспектов. Они могут включать, но не ограничиваться этим, указания на то, соответствуют ли
цели и задачи деятельности или программ целям и задачам организации, достигаются ли цели и
задачи организации и функционирует ли проверяемая деятельность так, как запланировано.
Заключение (мнение) может включать совокупную оценку контроля или может быть ограничено
отдельными видами контроля или аспектами задания.
Рекомендации и планы действий
Внутренний аудитор может предоставить в отчете свои рекомендации по совершенствованию

деятельности клиента, уведомить об удовлетворительном состоянии дел и корректирующих
мерах. Рекомендации основываются на наблюдениях и выводах внутреннего аудитора.
Предложенные аудитором корректирующие меры могут быть предельно конкретными (т.е.
содержать перечень конкретных мероприятий), либо носить более общий характер (например,
указание общего направления). Так, в некоторых обстоятельствах внутренний аудитор может
рекомендовать общее направление действий и предложить конкретные меры по их реализации.
В других случаях внутренний аудитор может предложить провести дальнейшее расследование
или изучение вопроса (исследование).
Примечание. Внутренний аудитор может привести в своем отчете информацию о достижениях

клиента по заданию, описывая улучшения с момента предыдущего задания или установление
надежного контроля операций (деятельности). Эта информация может быть необходима для ясного
представления текущего состояния и лучшего обоснования итогового отчета по результатам задания.
Вопрос 72: В аудиторской отчетности по результатам выполнения задания в банке приводятся два
типа наблюдений: один тип наблюдений, «упущения», применительно к серьезным проблемам, а
другой тип наблюдений, «прочие области деятельности, требующие улучшения», применительно к
менее серьезным проблемам. Что из нижеследующего справедливо отнесено к «прочим областям
деятельности, требующим улучшения»?
a) Многие обеспеченные кредиты не включают страхового покрытия на случай стихийного

бедствия для материального имущества, используемого в качестве обеспечения.
b) Кредитные специалисты также выписывают кассовые чеки на выплату кредитных средств.
c) Банк несет ненужные почтовые расходы, не объединяя разовые почтовые отправления

владельцам текущих счетов с почтовым отправлением им ежемесячных выписок по счетам.
d) В одном из отделений банка крупная сумма наличных денег лежала на переносном столике,
поставленном позади рабочих мест кассиров-операционистов.
Критерии наблюдений и рекомендаций

Все наблюдения и рекомендации должны основываться на четырех факторах. Вы должны знать и
уметь идентифицировать эти факторы. Наблюдения и рекомендации базируются на следующем:
1) критерии: это стандарты, измерители или ожидания, используемые при оценке и/или
верификации (правильное состояние, т.е. то, что должно быть);
2) текущее состояние: это фактические доказательства, собранные внутренним аудитором в

процессе проверки (текущая ситуация, т.е. то, что на самом деле есть);
3) причины: это причины расхождений между ожидаемыми и реальными условиями (т.е.

объяснение, почему такое расхождение имеет место);
4) последствия: включают риск или подверженность организации риску и/или другие

последствия, возникшие вследствие условий, не соответствующих критериям влияния
расхождений (т.е. влияние данных расхождений).
Примечание. Те части отчетности, которые включают наблюдения и рекомендации, могут также

описывать достижения клиентов по заданию, соответствующие замечания и подтверждающую
информацию, если они не указаны в других частях отчета.
Вопрос 73: По результатам выполнения аудиторского задания в банке внутренний аудитор включил
в итоговый отчет следующее наблюдение:
«Отделение банка на Спринг стрит отказалось от взимания штрафов с должников за неуплату

очередных взносов по предоставленным кредитам. Нас проинформировали о том, что отказ от
предъявления к заемщикам требования уплаты штрафов не утвержден надлежащим должностным
лицом банка. В результате за год теряется доход в сумме примерно 5 тыс. долларов. Чтобы
обеспечить более надежный контроль над сбором штрафов за просроченные платежи по кредитам,
мы рекомендуем, чтобы кредитный директор был назначен ответственным за отказ от требования
штрафов за несвоевременные платежи по кредитам, и чтобы данное решение было оформлено в
письменной форме».
Какой из указанных элементов наблюдения был проигнорирован аудитором в сообщении?
a) Критерии или стандарты.
b) Текущее состояние.
c) Причины.
d) Последствия.
Приведенная ниже информация относится к двум последующим вопросам.
Выдержка из аудиторского наблюдения свидетельствует о том, что авансы на командировочные

расходы превышают установленные компанией максимальные суммы. Согласно политике компании
средства на командировочные расходы выдаются утвержденным сотрудникам. Аванс не должен
превышать сумму предусмотренных командировочных расходов на 45 дней. Организационные
процедуры не предусматривают подтверждения больших сумм авансов на командировочные
расходы. Сотрудники могут накапливать, и в действительности накапливают, значительные и
необоснованные суммы авансов.
Вопрос 74: «Причины» как критерий аудиторского наблюдения заключается в следующем:
a) процедура выдачи авансов не требует подтверждения;
b) политикой организации предусматривается выдача средств на командировочные расходы

утвержденным сотрудникам;
c) сотрудники накапливают значительные суммы авансов на командировочные расходы;
d) оправдательные документы по расходованию авансов на командировочные расходы

своевременно не предоставляются.
Вопрос 75: Что из перечисленного относится к критерию «текущее состояние» аудиторского

наблюдения?
a) Авансы не должны превышать сумму предусмотренных командировочных расходов на 45 дней.
b) Сотрудники накапливают значительные и необоснованные суммы авансов.
c) Процедуры не требуют обоснования значительных сумм авансов.
d) Авансы на командировочные расходы превышают установленные лимиты.
Вопрос 76: В ходе выполнения аудиторского задания по проверке командировочных расходов

торговых представителей внутренний аудитор обнаружил, что 152 из 200 выданных за прошлый год
авансов на командировочные расходы превосходили максимальные допустимые лимиты. Какое из
приведенных ниже заявлений представляет собой обоснованное мнение аудитора?
a) Большинство авансов, выданных организацией, превосходят установленные максимальные

лимиты.
b) Контроль авансов на командировочные расходы не соответствует действующей политике

c) Установленный организацией максимальный лимит аванса на командировочные расходы

слишком мал.
d) 76% всех авансов на командировочные расходы превышают установленные руководством

организации максимальные лимиты.
Качество сообщений
Стандарт 2420: Качество сообщений
Сообщения должны быть точными, объективными, ясными, краткими, конструктивными, полными

и своевременными.
Далее мы конкретизируем, что означают точные, объективные, ясные, краткие, конструктивные, полные
и своевременные сообщения.
• Точными являются сообщения, которые не содержат ошибок и искажений и правдиво

описывают соответствующие факты.
• Объективными являются достоверные и беспристрастные сообщения, которые появляются в

результате справедливой и сбалансированной оценки всех относящихся к делу фактов и
обстоятельств.
• Ясными являются сообщения, которые
o легко воспринимаемы и логичны,
o не используют ненужные технические термины,
o обеспечивают пользователей всей существенной и относящейся к делу информацией.
• Краткими являются сообщения, которые относятся к рассматриваемому вопросу и не содержат

ненужных отступлений, избыточной детализации и многословности. Краткие выводы следует
использовать в длинных отчетах.
• Конструктивными являются сообщения, которые помогают клиенту и организации и

предлагают необходимые улучшения, если необходимо.
• Полными являются сообщения, которые для целевой аудитории содержат всю важную,
существенную и относящуюся к делу информацию и наблюдения, необходимые для
обоснования выводов и рекомендаций.
• Своевременными являются сообщения, которые сделаны в необходимые сроки в зависимости

от важности вопроса, чтобы дать возможность исполнительному руководству принять
соответствующие меры по исправлению ситуации.
Стиль написания отчета

Стиль написания отчета должен быть таким, чтобы не привлекать к себе ненужного внимания. Стиль
должен быть простым и точным. Некоторые рекомендации в отношении стиля перечислены ниже.
• Предложения должны быть короткими, но, когда этого требует сложное содержание отчета,
можно использовать длинные предложения.
• Должен соблюдаться логический порядок в изложении материала в отчете.
• Ссылки на источники должны быть обозначены и понятны.
• Следует избегать изложения фактов, событий и т.п., не имеющих отношения к аудиторскому

заданию.
• Следует исключить использование жаргонных выражений.
• Стиль письма должен быть одинаковым на протяжении всего отчета.
• Следует избегать многословия.
Кроме того, автору отчета следует использовать активный залог вместо пассивного залога во всех
случаях, когда это представляется возможным (т.е. следует писать «Я ударил по мячу» вместо «Мяч был
ударен мною»).
Редактирование текста играет важную роль в подготовке отчетов, которые носят профессиональный
характер, как с точки зрения содержания, так и с точки зрения представления заинтересованным
сторонам. Поскольку итоговые отчеты зачастую содержат информацию, которая является крайне важной
для клиента, на редактирование текста отчета следует отводить достаточно времени. Специалист,
проверяющий материал в отчете, должен позаботиться о том, чтобы текст отчета был читабельным,
правильным (не содержал ошибок) и адекватным.
• Читабельность имеет отношение к тому, насколько ясно и понятно изложен материал с точки
зрения читающего отчет.
• Правильность относится к отсутствию в тексте ошибок (грамматических, пунктуационных,

орфографических).
• Адекватность в данном случае означает то, насколько тактично и беспристрастно изложен

материал, а также насколько сбалансировано освещаются в отчете более и менее значимые
аудиторские наблюдения.
Заключительным этапом перед сдачей отчета является окончательная редакторская правка (вычитка)
текста. Необходимо должным образом проверить каждую ссылку в тексте отчета, сравнить каждое
заявление, каждый показатель, каждую дату и должность в отчете с данными из соответствующих
источников в рабочих документах.
Ошибки и упущения
Стандарт 2421: Ошибки и упущения
Если в окончательном варианте отчетности содержится существенная ошибка или упущение,

руководитель внутреннего аудита должен довести исправленную информацию до сведения всех лиц,
получивших первоначальный вариант отчетности.
В данном контексте ошибка или упущение определяются как ненамеренное искажение или
случайный пропуск важной информации в итоговом отчете о результатах выполнения аудиторского
задания. В том случае, когда в окончательном отчете о результатах выполнения аудиторского задания
содержится существенная ошибка или упущение, РВА должен довести исправленную информацию до
сведения всех лиц, получивших первоначальный вариант отчета.
Вопрос 77: Что согласно Стандартам наилучшим образом характеризует сущность аудиторского
мнения, выражаемого в итоговом отчете аудитора?
a) Мнения обычно представляют собой субъективные суждения внутренних аудиторов по поводу

причин имеющихся упущений.
b) Мнения – это сделанные внутренними аудиторами оценки влияния наблюдений на аудируемую

деятельность.
c) Мнения – это сделанные внутренними аудиторами заключения по поводу соответствия целей

клиентов аудиторских заданий.
d) Мнения должны относиться только к оценке достоверности финансовой отчетности клиентов

аудиторских заданий.
Вопрос 78: Служба внутреннего аудита сети розничных магазинов совсем недавно завершила
выполнение аудиторского задания по оценке корректировок объема продаж во всех магазинах юго-
восточного региона страны. В процессе выполнения задания выяснилось, что действия некоторых
магазинов обходятся компании в значительную сумму, поскольку эти магазины используют практику
увеличения кредитов на счетах покупателей вдвое. Итоговый отчет о результатах аудиторского
задания, опубликованный через восемь недель после его завершения, включал рекомендации
внутренних аудиторов в адрес руководства магазинов, направленные на предотвращение практики
увеличения вдвое кредитов на счетах покупателей. Какой из перечисленных ниже стандартов был
проигнорирован аудиторами в данном случае?
a) Контроль исполнения рекомендаций после завершения задания был недостаточным.
b) Внутренние аудиторы должны были предпринять соответствующие меры по исправлению

недостатков сразу после того, как они обнаружили случаи удвоения кредитов на счетах
покупателей.
c) Рекомендации внутренних аудиторов не должны были включаться в итоговый отчет.
d) Итоговый отчет о результатах выполнения задания был выпущен несвоевременно.
Вопрос 79: Содержание сделанного во время выполнения задания наблюдения следующее:
«Инвестиционный план компании включает средства на покупку 11 новых транспортных средств.

Проверка соответствующих карточек учета эксплуатации показала, что за прошедший год пробег 10
из 70 транспортных средств компании не превысил 2,5 тыс. миль. Транспортные средства компании
приписаны к различным группам, а интенсивность их использования очень сильно отличается друг
от друга. Политика обмена автомобилями между группами с высокой и низкой интенсивностью
использования транспортных средств отсутствует. Отсутствие критерия перераспределения и
системы контроля использования автомобилей может привести к покупке ненужных автомобилей».
Что целесообразно порекомендовать руководству компании на основе представленных фактов?
a) Установить минимальный размер пробега 2,5 тыс. миль в квартал в качестве критерия для
выделения транспортного средства группе пользователей.
b) Установить систему попеременного использования транспортных средств разными группами

пользователей.
c) Отложить предлагаемую закупку транспортных средств, пока их очевидная избыточность не

будет объяснена и устранена.
d) Воздержаться от утверждения инвестиционного плана, пока служба внутреннего аудита не

проверит другие проекты.
Вопрос 80: В ходе выполнения задания по аудиту работы складского хозяйства внутренний аудитор
обнаружил, что сотрудники склада не всегда должным образом проверяют заявки на получение,
прежде чем отпускать материальные средства. В результате, без соответствующего разрешения со
склада было отпущено материальных средств на сумму 5 тыс. долларов. Какое из перечисленных
заключений, включенных в итоговый отчет, поможет руководству оценить, достигаются ли цели
организации экономно и эффективно?
a) Заявки на получение материальных средств не всегда проверяются должным образом, прежде

чем отпускаются со склада.
b) Материальные средства на общую сумму 5 тыс. долларов были отпущены со склада без
соответствующего разрешения, поскольку заявки на получение не всегда проверяются
должным образом.
c) Персонал отпустил со склада материальные средства на общую сумму 5 тыс. долларов без
соответствующего разрешения, поскольку заявки на получение не были проверены. Мы
рекомендуем, чтобы осуществлялась проверка каждой заявки, прежде чем материальные
средства отпускаются со склада.
d) Мы рекомендуем требовать от сотрудников склада проверять каждую заявку, прежде чем

отпускать материальные средства, с целью обеспечения того, чтобы материальные средства
не отпускались со склада без соответствующего разрешения.
Сообщение результатов
Стандарт 2440: Сообщение результатов
Руководитель внутреннего аудита должен довести результаты задания до сведения соответствующих

лиц.
До выпуска итогового отчета о результатах задания руководителем внутреннего аудита внутренние

аудиторы обсуждают выводы и рекомендации с руководителями соответствующего уровня. Обычно это
происходит в процессе выполнения задания и/или на заключительных (итоговых) совещаниях.
Уровень должностей участников обсуждений и анализа на таких встречах меняется в зависимости от
организации и характера отчета, но обычно в совещаниях принимают участие лица (соответствующие
внутренние аудиторы и представители клиента или других подразделений), осведомленные о деталях
операций, и те, кто может обеспечить реализацию корректирующих мер. Другой метод заключается в
предоставлении на рассмотрение руководителям проверяемой деятельности проекта итогового отчета с
замечаниями, наблюдениями и рекомендациями по заданию. Одна из целей предоставления проекта
отчета заключается в том, что такие обсуждения и анализ помогают избежать непонимания и неверной
интерпретации фактов, предоставляя клиенту возможность пояснить специфические детали и выразить
свою точку зрения по поводу наблюдений, выводов и рекомендаций.
В идеальном варианте, результаты аудита обсуждаются с клиентом аудиторского задания, и

клиент соглашается с этими результатами и рекомендациями. Факт согласия клиента с результатами
аудиторского задания и рекомендациями может быть отражен в отчете. В процессе обсуждения с
клиентом внутренний аудитор согласовывает с ним результаты задания и любой необходимый план
действий по совершенствованию деятельности. Если внутренний аудитор и клиент аудиторского задания
не пришли к согласию по результатам задания, в отчет о результатах задания включаются обе позиции
и причины несогласия. Письменные комментарии клиента могут быть приложены к отчету о результатах
задания, включены в отчет или сопроводительное письмо к нему.
Внутренний аудитор должен задокументировать итоги обсуждения на заключительном совещании после

его завершения. Ответ клиента по поводу проведенного аудита также может быть отражен в отчете.
Примечание. Хотя внутренний аудитор и обсуждает сделанные выводы и содержание отчета с

клиентом аудиторского задания, это обсуждение не является переговорами. Аудитор не
стремится получить дополнительную информацию и не добивается согласия клиента с содержанием
отчета. Цель обсуждения состоит в том, чтобы проинформировать руководство об основных моментах
отчета и удостовериться, что все факты в отчете изложены правильно.
Руководитель внутреннего аудита или назначенное им лицо проверяет и утверждает окончательную

отчетность по результатам аудиторского задания перед ее выпуском и решает, кому и каким образом
она представляется. Руководитель внутреннего аудита направляет итоговый отчет о результатах
задания руководству проверяемого объекта и тем сотрудникам организации, которые могут обеспечить
должное рассмотрение результатов задания. Обычно к ним относятся руководитель (ответственный
менеджер) подразделения или функции, которая была объектом аудита, а также другие руководители
или работники, которые могут принять корректирующие меры или обеспечить осуществление таких мер
по результатам аудиторского задания.
Если объект аудита имеет существенное значение для операционной деятельности организации, то
получателем окончательной отчетности по аудиторскому заданию может быть совет директоров. Однако
в большинстве случаев Совет получает краткий отчет, который направляется ему руководителем
внутреннего аудита. Председатель правления в компании обычно не является получателем каких-либо
отчетов, однако при необходимости руководитель внутреннего аудита может направить краткий отчет по
наиболее существенным позициям аудиторского задания руководителям организации более высокого
уровня. Отчет по результатам аудиторского задания также направляется руководителем внутреннего
аудита другим заинтересованным или затронутым в отчете сторонам, таким как внешние аудиторы, если
это требуется Положением о внутреннем аудите или политикой организации.
Примечание. Определенная информация не подлежит раскрытию всем получателям отчета, поскольку

может быть конфиденциальной, затрагивать права собственности или касаться неправомерных или
незаконных действий представителей высшего руководства. Такая информация раскрывается в
отдельном отчете. Если она касается высшего руководства, отчет направляется непосредственно
Совету.
Сообщение о фактах коррупции или незаконной деятельности

В обычных условиях работы сотрудники отчитываются перед своими начальниками или руководителями
(докладывают им о случившемся). Поэтому, если какая-либо деятельность (или поступок) вызывают у
сотрудников беспокойство и возникают опасения, что такая деятельность может быть незаконной или
противоречить стандартам деловой этики компании, то сотрудники должны докладывать об этом своему
начальнику или руководителю. Однако в этой ситуации сотрудники могут столкнуться со следующими
проблемами:
• начальник или руководитель сами могут быть вовлечены в эту незаконную или неэтичную
деятельность; либо
• сотрудник мог доложить начальнику или руководителю о вызывающей у него беспокойство

ситуации, но начальник или руководитель не предприняли никаких мер либо отвергают его
сомнения без дальнейших разговоров.
В данной ситуации сотрудники могут посчитать необходимым доложить о своих опасениях на другой
уровень подотчетности – вышестоящему руководству. Сотрудники, исходя из необходимости, могут
информировать о сложившихся обстоятельствах директора более высокого уровня или, возможно,
один из комитетов совета директоров (например, комитет по аудиту), т.е. сообщить информацию за
пределы обычного канала коммуникаций, или даже вне организации. Сообщения такого рода обычно
называют «доносительством» («whistleblowing»). Акт сообщения негативной информации внутри
организации, но вне иерархии подчиненности называют внутренним «доносом», а раскрытие такой
информации государственному органу или иному регулятору вне организации называют внешним
«доносом». Вопросы доносительства рассматриваются в Практическом указании 2440-2 (Сообщение
чувствительной конфиденциальной информации внутри и вне иерархии подчиненности).
Главная проблема в связи с доносительством состоит в том, насколько защищены права «доносителей»
и обеспечена ли им защита от угрозы местью, что может включать угрозу быть уволенным, не получать
повышения по службе или даже быть подвергнутым остракизму со стороны коллег. Хотя большинство
«доносителей» часто защищены от угрозы местью, тем не менее, бывает много случаев, когда к лицам,
сообщающим о случаях нарушения законодательства или иных неправомерных действиях, применяют
наказание как средство устрашения. Однако во многих странах существуют отдельные законы в части,
касающейся доносительства граждан, обеспечивающие им защиту, если они сообщают информацию о
нарушениях определенных видов. В рамках защиты эти граждане могут предъявлять иски о возмещении
убытков от потери работы, если доказано, что увольнение стало местью за сообщение сведений о
незаконных или неправомерных деяниях.
Профессиональной обязанностью внутреннего аудитора является раскрытие известной ему

информации о незаконных или неправомерных действиях. Такие незаконные или неправомерные
действия могут обнаруживаться в ходе аудиторской проверки, и в этом случае внутренний аудитор
обязан довести информацию о выявленных в ходе проверки нарушениях до сведения высшего
руководства и Совета. Однако большинство случаев мошенничества раскрываются не внутренними
аудиторами, а кем-то из сотрудников, кто «бьет тревогу». Поэтому в рамках своих профессиональных
интересов и профессионального отношения к работе внутренние аудиторы должны проследить за тем,
включены ли в Кодекс поведения организации соответствующие правила и политики, вдохновляющие
сотрудников сообщать обо всех случаях незаконных или неправомерных деяний. К другому методу,
который используют организации в целях поощрения сотрудников сообщать о фактах коррупции или
незаконной деятельности, относится «горячая (телефонная) линия». «Горячая линия» является
очень удобным решением для сотрудников, когда они могут сообщить о незаконных и неправомерных
действиях в высшие органы управления организации, не называя себя. Эта информация, сама по себе,
не будет являться доказательством; но она будет служить сигналом тревоги для таких подразделений,
как внутренний аудит, дающим право на проведение расследования.
Вопрос 81: Кто из перечисленных ниже должностных лиц обычно не получает итоговый отчет о
результатах выполнения аудиторского задания по проверке закупочного цикла компании?
a) Директор отдела закупок.
b) Независимый внешний аудитор.
c) Руководитель внутреннего аудита (РВА).
d) Председатель совета директоров.
Вопрос 82: С большой долей вероятности можно утверждать, что итоговый отчет о результатах
аудита снабженческих операций подразделения будет направлен:
a) руководителям низшего звена, обладающим достаточными полномочиями для реализации мер

в соответствии с рекомендациями аудитора, поскольку такие меры входят в круг обязанностей
этих руководителей;
b) руководителям высшего звена, поскольку их всегда следует держать в курсе событий;
c) специалистам среднего и нижнего звена в подразделении клиента аудиторского задания,

поскольку именно их интересы более всего затрагиваются аудиторским заданием;
d) внешним аудиторам организации, поскольку им будет нужна эта информация для проведения
последующих заданий.
Вопрос 83: Заключительные совещания проводятся для того, чтобы удостовериться в точности
представления информации, использованной внутренним аудитором. Следующая по важности цель
заключительного совещания состоит в том, чтобы:
a) добиться немедленного решения по рекомендациям аудитора;
b) улучшить отношения с клиентом аудиторского задания;
c) согласовать круг лиц для направления итогового отчета по аудиторскому заданию;
d) кратко проинформировать высшее руководство о результатах аудиторского задания.
Вопрос 84: Что из перечисленного ниже может являться потенциальным недостатком, когда проект
итогового отчета по аудиторскому заданию направляется руководителям клиента для рассмотрения
и последующих комментариев?
a) Клиент аудиторского задания получает возможность предпринять корректирующие действия

до того, как будет подготовлен окончательный отчет по результатам задания.
b) Клиент аудиторского задания получает возможность оспорить наблюдения и рекомендации,

сделанные аудитором.
c) Тем самым демонстрируется искреннее уважение аудитора к клиенту задания.
d) Обсуждение проекта отчета может сконцентрироваться на формулировках, а не реальных

проблемах, выявленных в ходе выполнения задания.
Устные сообщения
Устное сообщение играет важную роль в обмене информацией в ходе выполнения аудиторского
задания, однако это средство общения следует использовать корректно и в надлежащих случаях. В
соответствии со своей природой в качестве средства информационного обмена, устные сообщения не
оставляют после себя регистрационных записей того, что было сказано. Такая особенность и является
источником проблемы, когда впоследствии возникают разногласия по поводу содержания устного
сообщения.
Тем не менее, имеется ряд преимуществ устного сообщения как средства обмена информацией:
• оно является своевременным;
• аудитор может получить немедленную «обратную связь» от адресата сообщения;
• клиенты аудиторских заданий имеют возможность дать ответ;
• оно способствует улучшению отношений, поскольку носит более личный характер;
• клиент имеет возможность указать на неверную информацию или неправильное понимание

аудитором какого-то факта или ситуации.
Промежуточные отчеты
Промежуточные отчеты используются до выпуска итогового отчета. Промежуточные отчеты могут быть
письменными или устными и могут представляться формально или неформально. Промежуточные отчеты
используются для сообщения:
• информации, требующей незамедлительных действий (внимания);
• информации об изменениях объема и содержания задания в части проверяемой деятельности;

или с целью
• информирования руководства о ходе задания, если задание выполняется длительное время.
Использование промежуточных отчетов не уменьшает и не отменяет необходимости представления

итогового отчета о результатах выполнения аудиторского задания.
Вопрос 85: Внутренний аудитор завершил задание по проверке деятельности организации и готов
сдать итоговый отчет. Однако клиент аудиторского задания не согласен с заключениями аудитора. В
такой ситуации внутренний аудитор должен:
a) воздержаться от сдачи итогового отчета о результатах аудиторского задания, пока не будет

получено согласие клиента по спорным пунктам;
b) по согласованию с клиентом аудиторского задания выполнить дополнительный объем работы,

направленной на разрешение спорных пунктов отчета, и отложить сдачу итогового отчета о
результатах аудиторского задания, пока не будет достигнуто соглашение с клиентом;
c) сдать итоговый отчет о результатах аудиторского задания, указав в нем, что позиция клиента
привела к ограничению объема и содержания аудиторского задания, что, в свою очередь,
вызвало расхождение во взглядах относительно заключений аудитора;
d) сдать итоговый отчет о результатах аудиторского задания, указав позиции обеих сторон и
причины возникновения разногласий.
Вопрос 86: В процессе выполнения задания по оценке работы с наличностью, внутренний аудитор
обнаружил, что значительные суммы наличных остаются на ночь в рабочем помещении, в которое
можно легко попасть с оживленной улицы. Более того, нет ни системы обеспечения безопасности, ни
вооруженного охранника рядом. Когда аудитор начал обсуждать эту ситуацию с соответствующими
руководителями клиента, ему было заявлено следующее: «У нас никогда не случалось ограбления
или потери наличных. Так зачем нам тратить ненужные деньги на повышение безопасности?». Что
должен сделать внутренний аудитор?
a) Сделать устный промежуточный отчет. В итоговом отчете о результатах аудиторского задания

сконцентрировать внимание на корректирующих мерах, которые следует предпринять клиенту
для улучшения положения дел.
b) Изложить все факты, но дать возможность руководству клиента высказать свою точку зрения,
в результате чего, вероятнее всего, будет принято решение о необходимости корректирующих
мер.
c) Поскольку у клиента никогда не случалось убытков от процедур работы с наличными, нет

необходимости указывать в отчете данное наблюдение аудитора.
d) Обеспечить широкую рассылку аудиторской отчетности; это серьезная проблема, о которой

должен знать каждый работник организации.
Мониторинг действий по результатам задания CIA Часть 2
Мониторинг действий по результатам задания

Стандарт 2500: Мониторинг действий по результатам задания
Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга действий

исполнительного руководства, предпринимаемых по результатам задания.
Мониторинг является последним этапом аудиторского задания. Он является важной частью задания,
поскольку без надлежащего и своевременного мониторинга подразделение внутреннего аудита может
оставаться в неведении по поводу результатов сделанных им наблюдений и рекомендаций. Без такого
знания польза от деятельности внутреннего аудита для организации окажется существенно сниженной.
Руководитель внутреннего аудита должен разработать и поддерживать систему мониторинга действий

исполнительного руководства, предпринимаемых по результатам задания. Кроме того, руководитель
внутреннего аудита должен разработать процесс последующего мониторинга, цель которого –
убедиться, что предпринятые исполнительным руководством действия были эффективными или что
высшее исполнительное руководство приняло риск, решив не предпринимать никаких действий.
В некоторых случаях наблюдения и рекомендации внутренних аудиторов бывают столь важными, что
требуют немедленного внимания руководителей организации. Однако если высшее руководство
организации оказывается не в состоянии предпринять адекватные действия в ответ на эти наблюдения и
рекомендации, то оно должно будет принять на себя риск невыполнения корректирующих действий или
неприменения рекомендаций.
Процесс последующего мониторинга внутренними аудиторами определен в Практическом указании

2500.А1 (Последующий мониторинг) следующим образом:
«Последующий мониторинг – это процесс оценки внутренними аудиторами адекватности,

эффективности и своевременности действий, предпринятых руководством в отношении
информации о наблюдениях и рекомендациях, включая сделанные внешними аудиторами и
другими сторонами. Этот процесс также включает в себя определение, принят ли высшим
руководством и Советом риск невыполнения корректирующих действий в отношении
сообщенной информации о наблюдениях».
Примечание. В Положении о внутреннем аудите должна устанавливаться ответственность за

последующий мониторинг.
Руководитель внутреннего аудита несет ответственность за разработку графика последующего

мониторинга как части плана работ по аудиторским заданиям. График последующего мониторинга
разрабатывается исходя из:
1) соответствующего риска и его последствий (подверженности ему), а также
2) степени сложности и
3) срочности корректирующих действий.
Также, что касается соответствующих процедур последующего мониторинга, то, в соответствии с

Практическим указанием 2500.А1, руководитель внутреннего аудита определяет характер, сроки и
объем (масштаб) последующего мониторинга с учетом следующих факторов:
• существенность сообщенных наблюдений и рекомендаций;
• уровень усилий и затрат, необходимых для коррекции выявленных недостатков;
• возможные последствия, которые могут стать результатом того, что корректирующие действия
не будут выполнены;
• сложность корректирующих действий;
• требуемый период времени (сроки).
Раздел Б Мониторинг действий по результатам задания
В отдельных случаях, если, по мнению руководителя внутреннего аудита, устный или письменный ответ
руководства свидетельствует о том, что принятые меры достаточны, учитывая степень важности
наблюдений или рекомендаций, внутренние аудиторы могут провести последующий мониторинг как
часть следующего аудиторского задания. При решении вопроса о масштабе/объеме последующего
мониторинга внутренние аудиторы также должны учитывать действия аналогичного характера,
выполняемые другими подразделениями организации.
Примечание. Мониторинг результатов задания по консультированию должен осуществляться в

согласованных с клиентом пределах. Эти пределы зависят от множества различных факторов,
включая ясно выраженную заинтересованность руководства организации в задании этого типа, а
также оценку аудитором уровня рисков и пользы от выполнения задания для организации.
Практическим указанием 2500-1 (Мониторинг действий по результатам задания) определяются методы,

с помощью которых внутренние аудиторы могут осуществлять мониторинг действий по результатам
задания. В Практическом указании говорится: «внутренний аудит может осуществлять эффективный
мониторинг действий по результатам аудиторского задания с помощью:
• направления информации о наблюдениях и рекомендациях по заданию руководителям

соответствующего уровня, ответственным за осуществление действий;
• получения и оценки ответов руководства и предлагаемого плана действий в отношении

наблюдений и рекомендаций в процессе выполнения задания или в разумные сроки после
выпуска отчета о результатах задания. Ответы являются более полезными, если включают
существенную информацию для оценки руководителем внутреннего аудита адекватности и
своевременности предлагаемых действий;
• периодического получения от руководства организации обновленной информации для оценки

результатов их усилий по исправлению ситуации и/или применения рекомендаций;
• получения и оценки информации от других подразделений организации, несущих

ответственность за последующий мониторинг или корректирующие действия;
• отчетности перед высшим руководством и/или Советом о статусе ответов на аудиторские

наблюдения и рекомендации».
Информирование о принятых рисках

Стандарт 2600: Информирование о принятых рисках
Если руководитель внутреннего аудита приходит к выводу о том, что уровень риска, принятого
исполнительным руководством, не может быть приемлемым для организации, руководитель
внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если
руководитель внутреннего аудита приходит к выводу, что проблема по-прежнему осталась
нерешенной, руководитель внутреннего аудита должен проинформировать Совет по данному вопросу.
Как уже было отмечено выше, принятие решения о соответствующих мерах в ответ на аудиторские
наблюдения и рекомендации является ответственностью высшего руководства организации. Что же
касается ответственности руководителя внутреннего аудита, он должен оценить, в какой мере действия,
предпринятые исполнительным руководством организации в ответ на наблюдения и рекомендации
внутренних аудиторов, способствовали своевременному разрешению выявленных в рамках аудиторского
задания проблем.
Возможны ситуации, когда высшее руководство организации может принять риск неисправления
обнаруженного нарушения, принимая во внимание затраты или другие причины. Однако при условии,
что Совет проинформирован о решении высшего руководства организации принять риск невыполнения
действий или неприменения рекомендаций, обязательства внутреннего аудита перед организацией
считаются выполненными, даже в случае категорического несогласия с решением.
Мониторинг действий по результатам задания CIA Часть 2
Вопрос 87: Последующий мониторинг может проводиться с тем, чтобы убедиться в выполнении
корректирующих действий в отношении конкретных наблюдений, сделанных в ходе выполнения
задания по предоставлению гарантий. Соответствующая ответственность службы внутреннего аудита
по выполнению последующего мониторинга должна быть определена:
a) в Положении о внутреннем аудите или в соглашении с клиентом аудиторского задания;
b) в заявлении о миссии комитета по аудиту;
c) в служебной записке/меморандуме, которая (-ый) рассылается до начала выполнения каждого

аудиторского задания;
d) в заявлении о целях, которое делается в рамках соответствующей аудиторской отчетности.
Вопрос 88: Допустим, что наблюдения внутренних аудиторов являются настолько серьезными, что,
по их мнению, требуют незамедлительных действий со стороны руководства организации. Какое из
следующих утверждений об ответственности внутренних аудиторов в части сообщения результатов и
проведения последующего мониторинга является верным?
I. Внутренние аудиторы должны активно осуществлять мониторинг действий по результатам

задания до тех пор, пока недостатки не будут исправлены или рекомендации выполнены.
II. Результаты первичных наблюдений должны быть доведены до сведения высшего руководства
и комитета по аудиту даже в том случае, если задание еще не завершено.
III. Внутренние аудиторы должны проверить действия, предпринятые руководством, чтобы

определить, устранены ли недостатки.
c) Только варианты II и III.
Вопрос 89: Предварительное обследование аудитора показало, что в отношении наблюдений и

рекомендаций по результатам ранее проведенных аудиторских заданий корректирующие действия
никогда не предпринимались. В ходе последующей работы у клиента подтвердилось, что проблема
по-прежнему существует. Какие действия следует предпринять внутреннему аудитору?
a) Никаких действий. Поскольку любые действия будут являться выполнением оперативного

контроля.
b) Обсудить вопрос с РВА. Проблема требует специального решения в зависимости от данных

обстоятельств.
c) Обсудить проблему с лицами, ответственными за нее, поскольку они должны знать, как ее
устранить.
d) Предписать ответственным лицам устранить проблему. У них было достаточно времени, чтобы
сделать это.
Раздел Б Мониторинг действий по результатам задания
Вопрос 90: Внутренние аудиторы организации провели ряд аудиторских заданий по предоставлению
гарантий. Итоговые рекомендации были с готовностью приняты клиентами аудиторских заданий
исходя из потенциальной экономии затрат. Учитывая экономию затрат от принятия рекомендаций по
выполненным заданиям, а также ограниченность ресурсов у службы внутреннего аудита, главный
аудитор, ответственный за выполнение этих заданий, принял решение о ненужности проведения
последующего мониторинга. Главный аудитор рассудил, что экономия затрат сама по себе является
достаточным стимулом для выполнения клиентом аудиторских рекомендаций. Так, последующий
мониторинг не был включен в план как часть следующего аудиторского задания. Является ли данное
решение главного аудитора правильным?
a) Да. Последующий мониторинг по результатам заданий не является общепринятой нормой.
b) Нет. Внутренние аудиторы должны определить, выполнены ли клиентом все рекомендации по

результатам задания.
c) Нет. Ограниченность ресурсов внутреннего аудита не является достаточной причиной для

отмены последующего мониторинга.
d) Да. Учитывая достаточность довода о наличии мотивации у клиента выполнить рекомендации,

необходимость в последующем мониторинге отсутствует.
Раздел В – Введение CIA Часть 2
Раздел В – Введение
Последним разделом экзамена CIA по Части 2 является раздел «Риски мошенничества и средства
контроля». На долю этого раздела приходится примерно 5–15% экзамена по Части 2. Темы указанного
раздела изучаются и тестируются на уровне профессиональной квалификации.
Основное внимание в данном разделе, посвященном вопросам мошенничества, уделяется исследованию

и оценке системы внутреннего контроля организации, являющейся основным средством предотвращения
и выявления фактов мошенничества. Внутренние аудиторы играют важную роль в том, чтобы свести
факты мошенничества в организации до минимума.
Поскольку на долю этого раздела приходится лишь 5–15% экзамена, подготовка к этой части экзамена
не должна вызывать затруднений и занимать слишком много времени при подготовке к экзамену. Для
эффективного изучения тем этого раздела, мы рекомендуем внимательно прочитать содержащийся здесь
материал, убедиться в понимании общих принципов и подходов и использовать вопросы предыдущих
экзаменов в программе HOCK ExamSuccess («Успех Экзамена») для лучшего знакомства с тем, на какие
аспекты делался акцент в прошлом.
Раздел В Риски мошенничества и средства контроля
Риски мошенничества и средства контроля

Иногда выполнение аудиторских заданий по выявлению и расследованию фактов мошенничества также
является частью компетенции подразделения внутреннего аудита. Из-за характера задания (кто-то
преднамеренно совершил незаконные действия) и юридических последствий (компания может понести
судебную ответственность, если случай мошенничества был расследован некорректно), аудиторские
задания по выявлению и расследованию фактов мошенничества являются исключительно серьезными и
важными для компании.
По определению Института внутренних аудиторов, мошенничество – это «любые незаконные действия,

характеризующиеся обманом, сокрытием или злоупотреблением доверием», сделанные преднамеренно.
Именно преднамеренность является тем критерием, с помощью которого можно отличить мошенничество
от ошибки или неточности. Мошенничество имеет место тогда, когда преднамеренно совершаются:
• незаконное присвоение (кража) активов компании;
• искажение финансовой отчетности; или
• коррупционные правонарушения, к числу которых относятся незаконные денежные

вознаграждения, взятки и откаты, злоупотребление служебным положением и вымогательство
экономического характера.
Примечание. Если какое-либо из перечисленных выше действий совершается непреднамеренно, то

оно не относится к мошенничеству.
Один из главных вопросов для внутреннего аудита в отношении мошенничества – это осознание своей
роли в предотвращении, выявлении и преследовании мошеннических действий. Согласно требованиям
Стандарта 1210.А2:
«Внутренние аудиторы должны обладать достаточными знаниями, чтобы оценить риск

мошенничества и то, каким образом организация управляет этим риском. В то же время не
предполагается, что внутренние аудиторы обладают компетенцией специалиста, чья основная
функция заключается в выявлении и расследовании фактов мошенничества».
Данное положение Стандарта означает, что сами внутренние аудиторы не несут ответственности за
предотвращение мошенничества, однако они должны уметь идентифицировать мошенничество,
когда оно имеет место. Это положение также означает, что внутренним аудиторам необходимо уметь
распознать признаки и ситуации, указывающие на возможность совершения мошеннических действий.
Мы начнем рассмотрение данной темы с определения типов мошенничества, а затем перейдем к более
детальному изучению роли внутренних аудиторов применительно к выполнению заданий по выявлению
и расследованию фактов мошенничества.
Типы мошенничества
Мошенничество может заключать в себе целый набор нарушений и незаконных действий, которые
характеризуются преднамеренным обманом. Мошенничество могут совершить как привлеченный со
стороны в организацию персонал, так и работники самой организации. Мошенничество может
совершаться в одном из двух случаев:
• либо в интересах/на благо организации,
• либо в ущерб (во вред) организации.
Ниже приведены примеры мошеннических действий, которые могут быть выгодными или полезными
для организации.
• Продажа или передача прав на получение фиктивных активов, либо активов, о которых была
представлена ложная информация.
Риски мошенничества и средства контроля CIA Часть 2
• Незаконные выплаты, например, незаконные пожертвования на политические цели, взятки,

незаконные вознаграждения («откаты»), а также выплаты государственным служащим либо
посредникам государственных служащих, заказчиков и поставщиков.
• Намеренное неточное представление или оценка операций, активов, обязательств и доходов.
• Намеренное установление неправильных трансфертных цен (например, оценка рыночной

стоимости товаров в процессе обмена между связанными сторонами). Путем намеренного
искажения структуры цен руководство организации может предпринять попытку искусственным
путем улучшить операционные результаты своей организации, участвующей в сделке, в ущерб
другой участвующей стороне.
• Намеренное проведение неравноправных операций между связанными сторонами (сделок с

заинтересованностью), в рамках которых, помимо установления неправильных трансфертных
цен, одна из участвующих сторона получает выгоду, отсутствующую обычно в сделках без
заинтересованности.
• Сознательное сокрытие или нераскрытие важной информации, которая могла бы ухудшить

финансовую картину организации для внешних сторон.
• Запрещенные виды бизнеса, например, те, которые ведутся в нарушение государственных

законодательных актов, правил, указаний регуляторов или условий контрактов.
• Налоговое мошенничество.
Далее приводятся примеры мошеннических действий, которые могут осуществляться в ущерб/во вред
• Получение взяток и незаконных вознаграждений («откатов»).
• Передача отдельному работнику или стороннему лицу потенциально прибыльной операции,

осуществление которой в обычных обстоятельствах привело бы к получению организацией
прибыли.
• Растрата (кража), типичным примером которой является незаконное присвоение денег или
имущества, а также фальсификация финансовых документов для сокрытия совершенного
деяния, что в результате затрудняет его выявление.
• Преднамеренное сокрытие или искаженное представление событий или данных.
• Требования об оплате товаров или услуг, которые в действительности не были проданы или
оказаны организации.
Совершение мошенничества
Обычно считается, что требуется наличие трех условий, чтобы человек мог совершить мошенничество:
1) Человек должен иметь мотивацию к тому, чтобы совершить мошенничество.
2) Человек должен иметь возможность совершить мошенничество.
3) Человек должен уметь найти оправдание своему поведению.
Мотивация
Мотивация является причиной, лежащей в основе мошенничества, – причиной, по которой человек
решается совершить мошенничество. Мотивация – это не просто какая-то одна причина, почему человек
совершает мошенничество, а некий набор широко распространенных причин, к которым относятся:
• Внутреннее давление со стороны высшего руководства организации в отношении того, чтобы

соответствовать чьим-то другим ожидания (например, в части ожидаемого объема сбыта или
дохода), когда неспособность оправдать такие ожидания может приводить к потере работы или
понижению в должности.
• Внешнее давление со стороны финансирующих организаций, которое угрожает финансовой

стабильности организации. Например, несоблюдение различных требований соглашения о
долговом финансировании и пр.
• Затруднительные обстоятельства в части оплаты своего стиля жизни и/или своих пороков
(например, расходы на азартные игры, казино, наркотики).
• Затруднительные обстоятельства в части максимального увеличения премий и вознаграждений

по результатам труда (например, компания имеет структуру вознаграждений, ограниченную
определенными условиями).
Возможность
Недостаточно просто желания, чтобы совершить мошенничество, если у человека нет возможности его
совершить. Просто потому, что нельзя совершить мошенничество, если нет возможности для этого. Ниже
перечислены некоторые факторы и условия, которые дают человеку такую возможность.
• Знание слабых сторон системы внутреннего контроля компании.
• Доступ к учетным регистрам (записям) или активам.
• Отсутствие надлежащего непосредственного контроля за работой сотрудника.
• Неэтичный главенствующий настрой в компании («тон наверху»).
• Уверенность человека в том, что он не будет пойман на мошенничестве.
Умение найти оправдание

Последним фактором, который должен присутствовать, чтобы мошенничество могло быть совершено, –
это умение человека («талант») найти оправдание своему поведению. До тех пор, пока человек не
найдет («не придумает») оправдание для себя, он не совершит мошенничество, даже если присутствуют
мотивация и возможность его совершения. Все объясняется очень просто: найти оправдание – значит,
убедить себя в том, что существует абсолютно уважительная причина для того, что ты делаешь.
Этические ценности, моральные принципы и представления о добре и зле – это то, что мешает
некоторым людям найти оправдание мошенничеству.
Ниже даны несколько примеров того, какое оправдание может найти человек, совершая мошенничество.
• Человек считает, что получает недостойное вознаграждение за свою работу. Он считает, что
компания не доплатила ему за работу, сделанную в прошлом. Поэтому кража денег – это для
него не кража, а скорее получение того, что по праву принадлежит ему.
• Человек не получает того признания, которое, как он считает, должен получать.
• Необходимость иметь больше денег для жизни.
• Может быть и так, что человек оправдывает мошенничество потому, что он планирует вернуть
украденные деньги в будущем.
Если оправдание мошенничества, мотивация и возможность его совершить не «сходятся» в какой-то

форме вместе, то мошенничество не будет совершено.
Ответственность внутреннего аудитора

Внутренний аудитор несет ответственность за проверку существующих процедур контроля с целью
определить их адекватность для предотвращения или обнаружения фактов мошенничества. Кроме того,
внутренний аудитор должен оценивать возможность совершения мошенничества и то, как организация
управляет риском мошенничества.
Однако внутренний аудитор не несёт ответственности за предотвращение мошенничества.

Вследствие того, что работники могут войти в сговор, чтобы обойти систему и процедуры контроля,
невозможно кому бы то ни было гарантировать отсутствие фактов мошенничества или возможности для
совершения мошенничества.
Лучше предотвратить мошенничество с помощью процедур контроля, чем обнаружить факт

мошенничества после того, как оно было совершено. Однако это не всегда возможно, поскольку
даже самые эффективные процедуры контроля можно обойти.
Если имеется подозрение в совершении мошенничества, внутренний аудитор должен уведомить об этом
представителя соответствующего уровня управления организации. «Соответствующим уровнем
управления», скорее всего, являются комитет по аудиту и совет директоров. Доклад о подозреваемом
случае мошенничества должен направляться, как минимум, на один управленческий уровень выше того
уровня, на котором подозревается совершение мошеннических действий.
Примечание. В случаях выявления мошенничества внутренний аудитор должен выяснить, каким

образом было совершено мошенничество, что нужно исправить (изменить) в процедурах контроля и
что нужно сделать, чтобы предотвратить повторение данного типа мошенничества в будущем.
Факторы, которые способствуют совершению мошенничества, разнообразны и многочисленны, но зная

слабые места в системе контроля, внутренний аудитор оказывается в лучшей позиции с точки зрения
возможностей выявления и предотвращения случаев мошенничества. В процессе исполнения своих
обязанностей внутренние аудиторы должны установить, соблюдаются ли перечисленные далее условия.
• Организация установила цели и задачи, которые являются реалистичными.
• Организация способствует созданию внутренней среды, характеризующейся сознательностью

работников в отношении системы контроля.
• В организации имеются письменные внутренние нормативные документы (например, Кодекс

этики), в которых перечислены запрещенные виды деятельности и указано, какие действия
будут предприняты организацией в отношении нарушителей, когда нарушения будут выявлены.
• Организация установила надлежащие политики, правила, процедуры и формы отчетности по

контролю деятельности в целях обеспечения сохранности активов, в частности, в сферах
повышенного риска.
• Организация создала соответствующие информационные каналы и способы связи, которые

позволят руководству своевременно получать достаточную и достоверную информацию.
• Признается необходимость выполнения рекомендаций, направленных на совершенствование

структуры контроля в целях предотвращения мошенничества.
Вопрос 91: В ходе исполнения своих обязанностей внутренние аудиторы должны быть начеку в
отношении мошенничества и других должностных преступлений. 6 Важным фактором, отличающим
мошенничество от других форм должностных преступлений, является то, что:
a) мошенничество охватывает целый набор нарушений и незаконных действий, которые всегда

характеризуются преднамеренным обманом;
b) в отличие от других форм должностных преступлений, мошенничество всегда направлено

против внешней стороны;
c) должностные преступления обычно совершаются в интересах организации, в то время как

мошенничество совершается в интересах только отдельного лица;
d) должностные преступления обычно совершаются сторонними лицами в ущерб организации, в

то время как мошенничество совершается членами организации в ее интересах.
Вопрос 92: Какое (какие) из приведенных ниже утверждений справедливо (-ы) в отношении
предупреждения мошенничества?
I. Главным способом предупреждения мошенничества является использование эффективной

системы контроля, созданной по инициативе высшего руководства организации.
II. Внутренние аудиторы несут ответственность за оказание содействия в предупреждении

мошенничества, проводя проверку и оценку адекватности системы внутреннего контроля.
III. Внутренние аудиторы должны определить, действительно ли имеющиеся информационные

каналы обеспечивают получение руководством адекватной и достоверной информации в
отношении эффективности системы контроля и совершения необычных операций.
b) Только варианты I и II.
c) Только вариант II.
d) Вариант I, II и III.
Расследование фактов мошенничества

Когда внутренний аудитор подозревает мошенничество, он должен оценить возможные последствия этих
действий и обсудить данный вопрос с представителем соответствующего уровня управления компании,
который должен дать указание о начале расследования.
Обычно в обязанность внутреннего аудитора не входит сообщение о мошенничестве лицам за пределами

организации, но в некоторых случаях ему может потребоваться направить отчет о факте мошенничества
в Комиссию по ценным бумагам, предыдущему аудитору, в государственный орган, а также сообщать
необходимую информацию по этому поводу в суде.
Расследование мошенничества, которое проводит внутренний аудитор, заключается в проведении

дополнительных процедур, необходимых для установления факта совершения мошенничества и, если
такой факт установлен, то для определения размеров мошенничества. Помимо внутренних аудиторов в
расследовании мошенничества (либо проведении самостоятельного расследования) участвуют и другие
6
Должностное («беловоротничковое») преступление – это ненасильственное преступление, совершённое с целью
незаконного получения денежных средств.
стороны, в частности, юристы, следователи, персонал службы безопасности и другие специалисты из

числа работников организации и представителей внешних сторон.
При проведении заданий по расследованию фактов мошенничества внутренние аудиторы должны

выполнить все перечисленные далее действия.
• Оценить возможности и границы соучастия в мошенничестве в рамках организации. Эта оценка

может иметь принципиальное значение для обеспечения того, чтобы не допустить ситуации,
когда внутренние аудиторы будут передавать информацию лицам, которые могут участвовать в
совершении мошенничества, или будут получать искаженную информацию от таких лиц.
• Определить уровень необходимых знаний, навыков и других компетенций для проведения

эффективного расследования. Оценка профессиональных качеств и навыков внутренних
аудиторов и других специалистов, привлекаемых к участию в расследовании, проводится с
целью удостовериться в том, что задание по расследованию мошенничества будет выполняться
людьми, обладающими адекватным типом и уровнем технических знаний и навыков. Для этого
требуется удостовериться в наличии профессиональных дипломов, лицензий, соответствующей
репутации и отсутствии связей с лицами, в отношении которых ведется расследование, равно
как и с другими работниками или руководителями организации.
• Разработать процедуры, позволяющие установить личности мошенников, масштабы (размеры)

мошенничества, способы, при помощи которых было совершено мошенничество, и причины
мошеннических действий.
• Обеспечить координацию действий с руководством, сотрудниками юридической службы

(юрисконсультом) и другими специалистами, чье участие представляется целесообразным в
расследовании фактов мошенничества.
• Знать о правах лиц, подозреваемых в совершении мошенничества, и персонала организации в

рамках проводимого расследования, а также о репутации самой организации.
Кроме того, по результатам расследования фактов мошенничества, внутренние аудиторы должны

оценить имеющиеся сведения, чтобы:
• определить необходимость внедрения дополнительных процедур контроля, либо повышения

эффективности имеющихся процедур, в целях снижения уровня уязвимости организации к
фактам мошенничества в будущем;
• разработать методики аудиторских тестов, которые помогут выявлять аналогичные или схожие
типы мошенничества в будущем;
• способствовать выполнению обязанностей аудитора по поддержанию достаточного уровня

знаний о мошенничестве, что позволит идентифицировать признаки мошенничества в будущем.
Руководитель внутреннего аудита обязан немедленно доложить высшему руководству и Совету о

выявлении любого существенного случая мошенничества. Однако следует иметь в виду, что до
того, как представить отчет о факте мошенничества, нужно провести адекватное расследование,
которое позволит установить с достаточной уверенностью, что факт мошенничества действительно имел
место. РВА должен следить за тем, чтобы в отчет не включались необоснованные заявления.
Обязанности внутренних аудиторов по обнаружению фактов мошенничества в ходе выполнения заданий

по аудиту перечислены ниже.
• Внутренние аудиторы должны иметь достаточные знания о мошенничестве, чтобы уметь

распознавать признаки того, что могло быть совершено мошенничество. Такие знания
включают необходимость иметь представление о характеристиках мошенничества, способах
совершения и типах мошенничества, которые распространены в тех областях деятельности,
которые являются объектом аудиторского задания.
• Внутренние аудиторы не должны упускать из виду факторы, которые дают возможности для
совершения мошенничества, например, недостатки системы внутреннего контроля. Если
обнаружены существенные недостатки в работе системы внутреннего контроля, то подлежащие
проведению внутренними аудиторами дополнительные аудиторские тесты должны включать те,
которые будут направлены на выявление любых других признаков мошенничества. К таким
другим признакам мошенничества относятся: выполнение несанкционированных операций,
незаконная блокировка контролирующих механизмов, необъяснимые ошибки в расчете цен,
чрезмерно высокие потери продукции. Внутренние аудиторы должны понимать, что наличие
одновременно более чем одного признака повышает вероятность того, что в данном случае
могло иметь место мошенничество.
• Внутренние аудиторы должны оценить признаки того, что в данном конкретном случае могло
быть совершено мошенничество, и решить, есть ли необходимость предпринимать какие-либо
дальнейшие действия, или следует рекомендовать проведение расследования.
• Внутренние аудиторы должны уведомить руководство соответствующего уровня управления в

организации, если установлено, что присутствуют достаточные признаки того, что совершено
мошенничество, чтобы рекомендовать проведение расследования.
Ответственность за обнаружение фактов мошенничества

Что касается обнаружения фактов мошенничества руководство организации и служба внутреннего
аудита выполняют различные роли. В ходе обычного выполнения своих обязанностей внутренний аудит
обеспечивает независимый анализ, изучение и оценку деятельности организации в качестве услуги для
организации. Целью внутреннего аудита в обнаружении мошенничества является оказание помощи
сотрудникам организации в эффективном исполнении ими своих обязанностей путем предоставления им
результатов анализа, оценок, рекомендаций, советов и информации относительно аудируемых видов и
направлений деятельности. Одной из целей проведения аудиторского задания по обнаружению фактов
мошенничества является повышение эффективности системы внутреннего контроля по разумной
стоимости для организации.
Как уже было отмечено выше, руководство организации несёт ответственность за формирование и
обеспечение функционирования эффективной и экономичной системы внутреннего контроля.
Внутренние аудиторы обязаны соблюдать принцип «профессионального отношения к работе» в
отношении обнаружения фактов мошенничества.
Вопрос 93: Руководитель внутреннего аудита (РВА) выявляет существенный факт мошенничества, в
котором, похоже, замешан исполнительный вице-президент организации, которому подотчетен РВА.
Что из перечисленного ниже должен предпринять руководитель внутреннего аудита?
a) Провести расследование, чтобы убедиться, что исполнительный вице-президент действительно

является участником мошеннической деятельности.
b) Провести беседу с вице-президентом, чтобы получить необходимые доказательства.
c) Уведомить регулирующие инстанции и полицию.
d) Сообщить об имеющихся фактах генеральному директору и членам комитета по аудиту.
Вопрос 94: Внутренний аудитор обнаружил признаки мошенничества с возможным участием

работников организации и готовит предварительный отчет для руководства. Этот отчет должен
содержать:
a) заявление, что аудиторское задание, выполненное с профессиональным отношением к работе,

не может, тем не менее, дать абсолютной гарантии того, что никаких нарушений не было
совершено;
b) заключение внутреннего аудитора о том, имеется ли достаточно информации для того, чтобы
провести полное расследование;
c) результаты проверки на полиграфе («детекторе лжи») лиц, подозреваемых в совершении

мошенничества;
d) список аудиторских тестов, которые позволят раскрыть подобные случаи мошенничества в

будущем.
Признаки мошенничества
В ходе планирования аудиторского задания внутренний аудитор должен учесть потенциальные области
совершения мошенничества, с которыми ему, возможно, придется иметь дело при выполнении задания.
Следовательно, внутренние аудиторы должны быть хорошо знакомы с факторами риска и «красными
флагами» (предупреждающими знаками, или признаками) мошенничества.
«Красными флагами» (предупреждающими знаками, или признаками) называют такие признаки или
действия, которые ассоциируются с мошенничеством или убедительно указывают на мошенническое
поведение. Эти знаки по своей сути субъективны. Поэтому вполне возможно, что какой-то из «красных
флагов» не попадет в поле зрения аудитора при выполнении правильно спланированного задания.
Как уже отмечалось, факторы, которые способствуют совершению мошенничества, разнообразны и

многочисленны. Однако зная о таких факторах, внутренний аудитор оказывается в лучшей позиции с
точки зрения возможностей обнаружения и предотвращения мошенничества. Некоторые из факторов,
которые благоприятствуют совершению мошенничества, проистекают, как правило, из-за недостатков
процедур внутреннего контроля. Они перечислены ниже.
• Отсутствие разделения обязанностей.
• Наличие неограниченного доступа к активам организации.
• Неспособность сопоставить фактические активы с учетными записями об этих активах.
• Совершение операций без надлежащего официального разрешения.
• Нехватка кадров или нехватка квалифицированного персонала, что приводит к неадекватному

исполнению процедур контроля.
• Сговор между работниками.
• Неограниченный доступ к компьютерным дискам, серверам, базам данных.
• Наличие дорогостоящих, компактных и высоколиквидных активов.
• Возможности менеджеров обойти или заблокировать имеющиеся процедуры контроля.
• Отсутствие должного контроля за компьютерами вне помещений компании.
Мошенничество со стороны руководителей (менеджеров) организации

Мошенничество, в котором замешаны руководители организации, является сферой, которая требует
особого внимания аудиторов. Условия хозяйствования и желания менеджеров, связанные с достижением
поставленных целей, ситуация в отрасли, правовая среда и сфера деятельности организации – всё это
является факторами риска подготовки подделанной (фальсифицированной) отчетности.
Основным фактором риска, который может указывать на возможность подготовки фальсифицированной

финансовой отчетности с целью мошенничества, является обход (блокировка) контролирующих
механизмов и процедур контроля со стороны руководства. Выяснилось, что в случаях подделки
финансовой отчетности руководителям часто удавалось обходить или блокировать системы внутреннего
контроля в сфере бухгалтерского учета.
Типы действующих в компании механизмов контроля, а также типы активов, которые имеет компания,
влияют на уровень риска незаконного присвоения (хищения) активов. Аудитор также должен запросить
руководителей о том, как они понимают риски мошенничества, и знают ли о фактах мошенничества,
которые имеют место или могут случиться в компании.
Ниже перечисляются некоторые причины, которые могут подтолкнуть руководителей организации к

совершению мошенничества. 7
• Руководители организации иногда делают неосмотрительные шаги, после чего повернуть назад
уже не могут.
• Центры прибыли могут искажать факты, чтобы избежать или сдержать разукрупнение.
• Некомпетентные руководители могут идти на подлог, чтобы сохранить за собой должность.
• Результаты деятельности могут искажаться ради возможности получения бòльших бонусов.
• Стремление добиться успеха может толкать некоторых менеджеров на мошенничество и обман.
• Недобросовестные менеджеры могут служить противоположным интересам.
• Прибыли могут быть завышены ради получения дополнительных рыночных преимуществ.
• Тот, кто контролирует и активы, и учетные записи по операциям с активами, имеет отличную
возможность фальсифицировать такие записи.
Потенциальные «красные флаги» (признаки мошенничества)

Нижеприведенный перечень «красных флагов» (признаков мошенничества), которые могут указывать
на наличие серьезных проблем у организации, был опубликован Институтом внутренних аудиторов в
ноябре 2003 г. 8
• Чрезмерно быстрый рост или весьма высокая рентабельность, особенно в сравнении с другими
компаниями в той же отрасли. (Например, корпорация Enron показала в отчетах за 2000 год
доходы в сумме 100 млрд. долл., что на 151% выше чем в 1999 году, в то время как вторая по
размеру компания в отрасли (трубопроводный транспорт) сообщила о доходах за 2000 год в
сумме менее 30 млрд. долл.).
• Финансовые результаты кажутся слишком хорошими и значительно лучше, чем у конкурентов,

хотя нет каких-либо существенных отличий в технологических операциях.
• Необычные изменения в балансе, а также изменения в трендах или в важных взаимосвязях

между показателями финансовой отчетности, например, когда дебиторская задолженность
растет быстрее выручки.
7
Л.Б. Сойер, Internal Auditing, 5-е изд., стр. 1203-1205.
8
Tone at the Top, November 2003.
• Крупные суммы на банковских счетах, наличие дочерних компаний или отделений (филиалов) в
юрисдикциях, относящихся к «налоговому раю», причем отсутствуют ясные оправдывающие
основания деятельности.
• Широкий географический разброс мест ведения хозяйственной деятельности организации с

децентрализованной структурой управления и неудовлетворительной системой внутреннего
контроля.
• Неспособность генерировать денежные потоки от основной деятельности, в то время как в

отчетности показывается рост доходов.
• Чрезмерный оптимизм в новостных релизах и в общении с акционерами, при этом генеральный

директор выступает в роли проповедника, убеждающего инвесторов в высоком потенциале
экономического роста в будущем.
• Методы бухгалтерского учета, при которых приоритет отдается форме, а не содержанию.
• Принципы и методы бухгалтерского учета, которые отличаются от принятых в отрасли норм.
• Чрезвычайно высокая степень зависимости от заемных средств; предельная способность едва

справляться с обязательствами по погашению задолженности.
• Особенно высокая уязвимость к изменениям процентных ставок.
• Проведение необычных, очень сложных операций на крупную сумму ближе к концу года.
• Невыполнение на практике требований кодекса поведения организации.
• Угроза неизбежного банкротства или отчуждения заложенной недвижимости. Операции между

связанными сторонами на крупные суммы, совершаемые не в порядке обычной деятельности.
• Чрезмерно сложная организационная структура с необычными формами юридического лица,

многочисленными управленческими уровнями подчиненности или контрактные соглашения,
оформленные без очевидных деловых целей.
• Сложные формы делового сотрудничества, которые трудно понять, а практические задачи и

цели которых, по-видимому, являются неочевидными.
Вопрос 95: Внутренним аудиторам порекомендовали принимать во внимание «красные флаги»

(признаки мошенничества) для определения возможного участия руководителей организации в
мошенничестве. Что из перечисленного ниже не представляет сложности в использовании «красных
флагов» в качестве признаков мошенничества?
a) Многие широко распространенные «красные флаги» связаны с ситуациями, в которых не

имеет места мошенничество.
b) Некоторые «красные флаги» с трудом поддаются оценке или количественному измерению.
c) Сбор информации о «красных флагах» не относится к обычному этапу выполнения

d) Литература о «красных флагах» не настолько надежная, чтобы иметь положительное влияние

на внутренний аудит.
Вопрос 96: Внутреннего аудитора должна тревожить возможность совершения мошенничества, если:
a) наличные денежные поступления за минусом суммы расходов, оплачиваемых из малой кассы,

ежедневно сдаются в банк;
b) выверка ежемесячных выписок по банковским счетам производится теми же работниками,

которые ведут регистры непрерывного складского учета запасов;
c) ведомости дебиторской и кредиторской задолженности ведет один и тот же работник;
d) один и тот же работник, действующий в одиночку, имеет единоличный доступ к кассе (за
исключением случаев неожиданных проверок со стороны руководства или аудитора).
Процедуры аудиторских заданий по выявлению и расследованию мошенничества

Результаты оценки рисков, полученные внутренним аудитором, будут оказывать основное влияние на
характер и масштаб аудиторских процедур, которые необходимо выполнить с целью обнаружения и
расследования фактов мошенничества. Аналитические процедуры могут выполняться в рамках
большого числа аудиторских заданий и могут способствовать выявлению фактов мошенничества на
ранней стадии.
Примечание. Закон Бенфорда (Benford’s Law) представляет собой формулу для распределения
вероятности первой цифры разных измерений и вычислений. Закон Бенфорда, или закон первой
цифры, гласит, что в таблицах чисел, основанных на данных источников из реальной жизни, цифра 1
на первом месте встречается гораздо чаще, чем все остальные – приблизительно в 30% случаев.
Более того, чем больше цифра, тем меньше вероятности, что она будет стоять на первом месте в
числе. По Закону Бендорфа, цифра 2 встречается на первом месте в 18% случаев, цифра 3 – в 12%,
4 – в 10%, 5 – в 8%, 6 – в 7%, 7 – в 6%, 8 – в 5%, 9 – в 4%. Закон применим к цифрам из обычного
мира и социальной сферы, будь это показания счётчика, цифры из газетной статьи, уличные адреса,
цены акций, количество населения, уровень смертности, длина рек, физические и математические
константы, и процессы, описываемые эмпирическими законами (которые весьма распространены в
природе). На основе Закона Бендорфа были разработаны математические тесты, которые введены в
практику работы аудитора для анализа и выявления нерегулярностей в данных клиентов при аудите.
Первый вопрос, на который должен ответить аудитор при проведении теста, – соответствует ли набор
неких данных распределению Бенфорда или нет. На основе правдоподобного допущения, что люди,
которые «придумывают» цифры для сокрытия недостач, обычно используют довольно равномерный
разброс цифр, простое сравнение вероятности первой цифры проверяемых данных на соответствие
распределению по Закону Бендорфа должно будет выявить нетиповые результаты. С учётом этого
допущения Закон Бендорфа можно использовать для выявления признаков «черной» бухгалтерии.
Другим методом выявления фактов мошенничества является выборка на обнаружение ошибок или
отклонений от нормы. Целью этой выборки обычно является обнаружение, по крайней мере, одной
позиции с определенными характеристиками, чтобы доказать случай имеющегося подозрения вместо
того, чтобы высказывать мнение обо всей совокупности в результате аудита выбранных образцов.
Поскольку количество позиций выборки, которые подвергаются аудиту, может быть различным, размер
выборки не устанавливается заранее. Именно аудитор принимает решение о достаточности размера
выборки в конкретных условиях для обоснования своего заключения или мнения, что совокупность не
содержит искомых характеристик. Кроме того, от аудитора также зависит и решение об оценке влияния
необнаруженных позиций в совокупности.
«Криминальный аудит»
Новым и быстро развивающимся направлением в области анализа хозяйственной деятельности и
бухгалтерского учета является так называемый «криминальный аудит» (по аналогии с понятным всем
определением «криминальное расследование»). «Криминальный аудит» представляет собой внутреннее
расследование возможных финансовых злоупотреблений по сигналу «красных флажков» (появившихся
по тем или иным причинам подозрений), и проводится сотрудниками собственной безопасности с
использованием навыков аудитора в отношении случаев, которые могут иметь потенциальные
юридические последствия (например, отмывание денег, перевод денежных средств террористам или
бандитам и прочее). Здесь роль эксперта-криминалиста заключается в оказании помощи внутренним
аудиторам в сборе доказательств, требуемых для подтверждения или отрицания подозрения, выявлении
замешанных в мошенничестве сторон и сборе и хранении доказательств, которые затем могут быть
использованы в ходе дисциплинарного или уголовного разбирательства. В таких обстоятельствах часто
привлекаются внешние эксперты. Это продиктовано рядом причин, прежде всего, необходимостью
сочетать традиционные методы расследования со сложными финансовыми расчетами, требующими
высокой квалификации, и, главное, соблюдать конфиденциальность, которую обеспечивать только
собственными силами не всегда возможно. Кроме того, расследование финансовых злоупотреблений
требует специальной подготовки и особых навыков. И, наконец, привлечение собственных бухгалтеров
совсем неуместно, когда кто-то из них находится под подозрением в причастности к расследуемым
злоупотреблениям.
Вопрос 97: Руководитель службы безопасности компании получил анонимный звонок, в котором
содержались обвинения в адрес руководителя отдела маркетинга в получении взяток от одного из
средств массовой информации. В результате, подразделение маркетинга превратилось в одного из
потенциальных клиентов аудиторских заданий в ближайшие годы. Положение о внутреннем аудите
предусматривает ответственность подразделения внутреннего аудита по расследованию фактов
мошенничества. Если получение доступа к документам и персоналу этого СМИ невозможно, то
наилучшим действием для внутреннего аудитора в целях расследования возможного получения
незаконных вознаграждений будет:
a) организация поиска неучтенных обязательств (долгов) перед СМИ;
b) получение списка одобренных СМИ, с которыми разрешено работать;
c) подготовка краткой финансовой и поведенческой характеристики подозреваемого;
d) отслеживание всех недавних существенных списаний дебиторской задолженности.
Юридические риски
Когда внутренний аудитор участвует в расследовании мошенничества, он должен быть уверен в том, что
данное расследование ведется профессионально и с соблюдением всех необходимых правовых норм.
Несоблюдение требований правовых норм может привести к тому, что организация окажется под
угрозой дорогостоящей тяжбы, инициированной лицом, в адрес которого было выдвинуто обвинение в
мошенничестве.
При расследовании возможного факта мошенничества внутренний аудитор должен не забывать о

гражданских и законных правах подозреваемого. Нарушение этих прав может дать возможность лицу,
подозреваемому в совершении мошенничества, предъявить иск к внутреннему аудитору и организации.
Ниже приводится перечень типичных оснований для возбуждения иска лицом, которое обвиняется в
совершении мошенничества.
• Дискредитация, которая выражается в необоснованных публичных утверждениях в адрес

третьей стороны, сделанных работодателем или сотрудником работодателя (каким является
внутренний аудитор), и которые вредят репутации подозреваемого. Дискредитация бывает двух

типов:
o клевета – устная дискредитация;
o пасквиль – письменная клевета (дискредитация через печать с использованием твердого
носителя информации, например, газеты, фильма, письма).
• Неправомерное лишение свободы, имеющее место, когда работодатель безосновательно

ограничивает свободу какого-либо лица. Ограничение свободы не обязательно должно означать
физическую изоляцию.
• Злонамеренное судебное преследование, являющееся обвинением наемного работника со

стороны работодателя без каких-либо серьезных на то оснований. Так, например, работодатель
может начать безосновательное судебное преследование работника с намерением причинить
ему вред.
• Отказ от судебного преследования по определенным мотивам. Это ситуация, когда

работник совершил преступление, а работодатель отказывается от судебного преследования
работника по какой-то причине (например, при условии возмещения похищенных средств).
Работодатель может пойти на такой шаг, но он не может торговаться в отношении возмещаемой
суммы на том основании, что не будет инициировано судебное разбирательство.
Аудитор также должен быть в курсе вопросов, которые могут возникнуть в связи с признанием вины
подозреваемым в совершении преступления. Признание вины – это полное подтверждение обвиняемым
своих незаконных действий. Однако признание вины может считаться «опротестуемым» (сделанным
под давлением), если к подозреваемому лицу применялся любой вид принуждения (физическое или
психологическое, либо угроза физического или психологического воздействия) в момент признания.
Если признание вины не было сделано добровольно, то оно может быть оспорено (не признано) судом.
Признание факта не является полным признанием вины подозреваемым в совершении незаконных

действий, однако и оно может быть использовано против подозреваемого. В случае признания факта
обвиняемая сторона соглашается с тем, что она совершила некое действие, но не признает, что это было
сделано предумышленно. Не признает обвиняемая сторона и самого обвинения.
Из-за многочисленных юридических вопросов, с которыми связано расследование мошенничества,

соответствующие решения, как правило, принимаются специалистами в области безопасности. Что
касается внутренних аудиторов, то им рекомендуется выполнять перечисленные ниже действия.
• Внутренний аудитор должен проконсультироваться с юрисконсультом организации, если речь

идет о возможных юридических рисках.
• Допросы целесообразно проводить в присутствии двух и более человек, один из которых

выступает в качестве свидетеля.
• Внутренний аудитор должен тщательно подготовиться к беседе с подозреваемым и быть

уверенным в используемых фактах до начала проведения допроса.
Вопрос 98: В ходе выполнения задания внутренний аудитор обнаружил пропажу денежных средств в
компании. Дальнейшее расследование позволило аудитору выявить возможного подозреваемого.
Когда расследование было завершено, аудитор согласился не сообщать об этом факте компетентным
органам при условии, что виновный вернет компании украденные средства. У внутреннего аудитора
было резонное основание считать, что подозреваемый действительно украл средства компании. Что
из перечисленного наилучшим образом объясняет действия этого аудитора?
a) Злонамеренное обвинение.
b) Пасквиль (письменная клевета).
c) Дискредитация (необоснованное обвинение).
d) Отказ от судебного преследования по выгодной для компании причине.
Вопрос 99: Что из перечисленного ниже является «красным флагом» (признаком), означающим, что
компания участвует в мошенничестве?
a) У компании имеются крупные денежные резервы, хотя доходы за последние полгода были
низкими.
b) В последние два года финансовые поступления у компании были на 10% выше, чем в среднем
по отрасли.
c) Проведение необычных, очень сложных операций на крупную сумму ближе к концу года.
d) Децентрализованная структура управления с сильной системой внутреннего контроля.
Приложение А Образец Кодекса корпоративного поведения
Приложение А: Образец Кодекса корпоративного поведения

Наши ценности
• Наилучшие решения – это результат взаимодействия с коллегами по работе и сотрудничества с

клиентами.
• В основе эффективного взаимодействия лежит преданность делу, взаимное доверие, уважение

достоинства личности и использование единых ценностей.
• Мы выполняем все свои обещания и способствуем развитию ценностей, приумножая их эффект.
• Мы добиваемся высоких стандартов деятельности благодаря внедрению инновационных идей,

приобретению новых знаний и их быстрой адаптации.
• Мы действуем в интересах клиентов и общества, используя передовые практики.
• Лидерство требует твердости убеждений, наличия мировоззренческой концепции и соблюдения

принципов деловой этики.
Укрепление позиции [компании]
• Наши клиенты и коллеги доверяют [нам], нашей профессиональной компетенции и честности –

качествам, которые лежат в основе нашей репутации. Мы стремимся сохранять и укреплять
свою репутацию.
• Мы стараемся работать только с теми клиентами, которым мы правомочны оказывать услуги, и

которые ценят наши услуги, а также соответствуют предъявляемым требованиям легитимности
и добросовестности деятельности.
• Выступая на форумах, когда для аудитории естественно предположить, что мы выступаем как
представители [компании], мы выражаем только точку зрения [компании] и не высказываем
публично свое личное мнение.
• Мы используем все активы, принадлежащие [компании] или нашим клиентам, в том числе
материальные, интеллектуальные активы и активы, записанные в памяти ЭВМ, ответственно,
эффективно и надлежащим образом, и только для законных и официально разрешенных целей.
Профессиональная принципиальность
• Мы предоставляем профессиональные услуги в соответствии с политиками [компании], а также

согласно техническим и профессиональным стандартам, выполняя свои обязанности честно,
объективно и эффективно.
• Мы предлагаем только те услуги, которые мы можем предоставлять, и которые стремимся

оказывать на уровне принятых нами обязательств.
• Мы добросовестно конкурируем на рынке услуг, не используя ни при каких обстоятельствах

нечестные или незаконные средства для получения преимущества перед своими конкурентами,
и занимаемся только законной деятельностью, основанной на этических нормах бизнеса.
• Мы выполняем свои договорные обязательства, предоставляем надлежащую отчетность по

оказанным услугам и объективно оцениваем свои услуги.
• Мы соблюдаем конфиденциальность и уважаем право на неприкосновенность (сферы) частной

жизни наших клиентов, сотрудников и иных заинтересованных лиц, с которыми ведем дела. Без
надлежащего разрешения мы не используем конфиденциальную информацию в личных целях, в
целях извлечения какой-либо выгоды [для компании] или для третьих сторон. Мы раскрываем
конфиденциальную информацию или персональные данные только при крайней необходимости,
и только когда получено соответствующее разрешение и/или когда это продиктовано нашими
профессиональными правами или законодательными и регулятивными требованиями.
Образец Кодекса корпоративного поведения CIA Часть 2
• Мы стремимся избегать конфликта интересов. В случае выявления потенциальных конфликтов

интересов, и если мы считаем, что интересы соответствующих сторон могут быть в достаточной
мере защищены благодаря реализации надлежащих процедур, мы реализуем такие процедуры.
• Мы высоко ценим независимость мнения. Мы дорожим доверием наших клиентов и акционеров

и соблюдаем все нормативные и профессиональные стандарты, которые разработаны с тем,
чтобы обеспечивалась объективность, необходимая в нашей работе. Тем самым мы стремимся
гарантировать, что наша объективность не нарушается и не воспринимается как поставленная
под сомнение. Мы учитываем все факторы, которые могут оказывать или восприниматься как
оказывающие отрицательное влияние на нашу объективность.
• Сталкиваясь с трудными вопросами или ситуациями, которые подвергают [компанию] риску, мы

консультируемся с соответствующими органами управления [компании] для предотвращения
возможного вреда, прежде чем предпринять какие-либо действия. При этом мы следуем всем
установленным техническим и административным требованиям в отношении консультаций.
• Мы считаем неприемлемым участие в коррупционной деятельности и недопустимым предлагать,

давать, требовать или получать взятки и «откаты» любого вида.
Уважительное отношение ко всем заинтересованным сторонам
• Мы относимся тактично и уважительно к своим коллегам, клиентам и иным заинтересованным

лицам, и следуем принципам справедливости, беспристрастности и открытости в ведении дел с
ними.
• Мы гордимся этническим и социокультурным многообразием нашего трудового коллектива и

считаем это нашим конкурентным преимуществом, которое стремимся развивать и расширять.
• Мы выступаем за создание и поддержание рабочей атмосферы, свободной от дискриминации и

преследований, и не допускаем никакой дискриминации по любым признакам.
• Мы стараемся гармонично сочетать трудовую деятельность и личную жизнь и помогаем в этом

другим.
• Мы инвестируем средства в обучение сотрудников и предоставляем возможность непрерывного

развития и совершенствования своих навыков и талантов каждому сотруднику.
• Мы создаем для своих сотрудников безопасные, достойные и профессиональные условия труда

и справедливо оплачиваем их труд.
Корпоративная социальная ответственность
• Мы уважаем и поддерживаем основные права каждого человека, не нарушаем права своих

сотрудников на личную жизнь и не участвуем в деятельности, нарушающей права человека.
• Мы ведем свою коммерческую деятельность социально-ответственным способом, в рамках

законодательства, обычаев и традиций тех стран, где мы работаем, и оказываем всяческое
содействие в развитии местных сообществ.
• Мы стремимся осуществлять свою деятельность так, чтобы обеспечивать защиту окружающей

среды и сводить к минимуму негативное воздействие на неё от наших деловых операций.
• Мы содействуем благотворительной, образовательной и общественно-полезной деятельности и

поддерживаем её.
• Мы подтверждаем свою готовность поддерживать международные и отечественные усилия по

искоренению коррупции и финансовых преступлений. 9
9
Адаптировано из документа COSO «Управление рисками предприятия – Интегрированная модель» (модель ERM;
Enterprise Risk Management – Integrated Framework, COSO).
Приложение Б Международные основы профессиональной практики
Приложение Б: Международные основы профессиональной практики

Примечание: Информация о Международных основах профессиональной практики ИВА (МОПП)
получена с сайта международного Института внутренних аудиторов (www.theiia.org).
Целью Международных основ профессиональной практики (МОПП) является создание общепризнанного

руководства, которое укрепляло бы позиции Института как органа, устанавливающего стандарты в
профессии внутреннего аудита на глобальном уровне. Регулируя текущую практику и обеспечивая
условия для ее будущего совершенствования, МОПП призваны помочь практикующим внутренним
аудиторам и связанным с ними участникам процесса во всем мире соответствовать требованиям и
условиям все расширяющегося рынка высококачественных услуг внутреннего аудита. Нормативная
база, пропагандируемая Институтом, включает только официальные документы (authoritative guidance),
разработанные международными техническими комитетами Института с соблюдением надлежащих
процедур, которые делятся на две категории: обязательные для применения и настоятельно
рекомендуемые руководства.
Обязательные для применения руководства

Эта категория требует обязательного соответствия содержащимся в руководствах принципам. При этом
само руководство разрабатывается в рамках специальной процедуры, предполагающей общественное
обсуждение. Соответствие принципам, установленным в обязательной части руководства, является
важнейшим условием для профессиональной деятельности в сфере внутреннего аудита. Обязательные
для применения руководства состоят из: (1) Определения внутреннего аудита; (2) Кодекса этики; и (3)
Международных стандартов профессиональной практики внутреннего аудита (Стандартов).
Элементы Определения
Определение внутреннего аудита устанавливает основную

Определение
цель, характер, объем и содержание внутреннего аудита.
Кодекс этики Института устанавливает принципы и ожидания,

определяющие поведение людей и организаций при проведении
Кодекс этики внутреннего аудита. Он содержит минимальные требования к
поведению и скорее ожидания в отношении поведения в
определенных ситуациях, чем предписания конкретных действий.
Стандарты являются документами, основанными на принципах и

предоставляющими основу для проведения внутреннего аудита.
Стандарты содержат обязательные для исполнения требования,
состоящие:
- из утверждений, содержащих базовые требования в отношении
профессиональной деятельности в области внутреннего аудита
Международные стандарты
и для оценки его эффективности, применяемые во всем мире как
профессиональной практики
физическими лицами, так и организациями;
- из интерпретаций, поясняющих термины или концепции,
(Стандарты)
описываемые в Стандартах.
Значение терминов, используемых в Стандартах, поясняется в
Глоссарии. Для правильного понимания и применения Стандартов
следует рассматривать в совокупности положения Стандартов, их
интерпретации и конкретные значения терминов, приводимые в
Глоссарии (Словаре терминов).
Международные основы профессиональной практики CIA Часть 2
Настоятельно рекомендуемые руководства

Настоятельно рекомендуемые руководства не являются обязательными, хотя утверждены Институтом с
соблюдением надлежащих процедур. Соответствие таким положениям настоятельно рекомендуется. При
этом само руководство разрабатывается Институтом и/или техническими комитетами Института. В нём
описываются способы эффективного применения Определения внутреннего аудита, Кодекса этики и
Международных стандартов профессиональной практики внутреннего аудита (Стандартов).
Настоятельно рекомендуемые руководства включают: (1) Заявления о позиции; (2) Практические
указания; и (3) Практические руководства.
Элементы Определения
Заявления о позиции Института помогают широкому кругу заинтересованных

сторон, включая тех, кто не связан с профессией внутреннего аудитора, понять
существенные вопросы корпоративного управления, управления рисками и
контроля и определить связанные с ними роли и предел ответственности
Заявления о внутреннего аудита. Заявления о позиции включают:
позиции 1) Заявление о роли внутреннего аудита в планировании ресурсов для службы
(Position Papers) внутреннего аудита (СВА); и
2) Заявление о роли внутреннего аудита в использовании модели внутреннего
контроля COSO «Управление рисками предприятия – Интегрированная
модель».
Практические указания представляют собой руководства для внутреннего

аудитора по применению Определения внутреннего аудита, Кодекса этики и
Стандартов и содействуют применению уместных подходов и методов. Они
Практические применяются для описания подходов, методологии или аспектов рассмотрения,
указания но не для детального описания процессов или процедур. Практические
(Practice указания включают в себя подходы и методы, относящиеся к: (1)
Advisories) специфическим вопросам, связанным с международными, страновыми или
отраслевыми особенностями; (2) специфическим видам заданий; и (3)
вопросам, связанным с особенностями законодательства или регулирования.
Практические руководства представляют собой детальные руководства по

осуществлению деятельности внутреннего аудита. Они включают детальные
описания процессов и процедур, таких, как приемы и техники, программы и
пошаговые подходы, включая примеры отчетов. Эти руководства включают:
1) Общие практические руководства. На настоящий момент разработано
восемь руководств, охватывающих следующие области задач внутреннего
аудита: оценка адекватности системы управления рисками; оценка
эффективности системы внутреннего контроля; деятельность руководителя
внутреннего аудита – назначение, оценка деятельности, освобождение от
должности и пр.
Практические 2) Серия руководств по технологическому аудиту (GTAG). На настоящий
руководства момент разработано пятнадцать руководств серии GTAG, написанных на
(Practice Guides) понятном языке делового общения и направленных на своевременное и
регулярное рассмотрение вопросов и проблем, связанных с управлением,
контролем и обеспечением безопасности информационных технологий.
3) Руководства по оценке риска информационных технологий (GAIT). На
настоящий момент разработано три руководства серии GAIT, в которых
описаны взаимосвязи между деловым риском, ключевыми средствами
контроля бизнес-процессов, автоматизированными средствами контроля и
другими функционально важными прикладными и общими средствами
контроля в компьютерных информационных системах (ИС). Каждое
практическое руководство этой серии посвящено конкретному аспекту
оценки риска и контроля ИТ.
Приложение В Кодекс этики Института внутренних аудиторов
Приложение В: Кодекс этики Института внутренних аудиторов

Примечание: Следующая информация о Кодексе этики ИВА получена с сайта ИВА (www.theiia.org).
Примечание: Хотя Кодекс этики и не включен специально в программу подготовки к экзамену по

Части 2, мы считаем эту тему достаточно важной и приводим текст Кодекса этики для информации.
Кодекс этики ИВА

Кодекс этики устанавливает принципы и ожидания, определяющие поведение людей и организаций
при проведении внутреннего аудита. Он содержит минимальные требования к поведению и скорее
ожидания в отношении поведения в определенных ситуациях, чем предписания конкретных действий.
Вступление
Кодекс этики является необходимым и целесообразным документом для внутреннего аудита,
деятельность которого основывается на доверии к предоставлению независимых и объективных
гарантий в отношении процессов корпоративного управления, управления рисками и контроля.
Расширяя Определение внутреннего аудита, Кодекс этики международного Института внутренних
аудиторов включает два важных компонента: Принципы и Правила поведения.
1) Принципы – это ценности профессии и практики внутреннего аудита, следование которым

ожидается от аудитора.
2) Правила поведения описывают нормы поведения, соблюдение которых ожидается от

внутренних аудиторов.
Правила помогают внутреннему аудитору в практическом применении Принципов в конкретных

ситуациях и способствуют формированию этичного поведения внутренних аудиторов.
Термин «внутренний аудитор» относится к членам Института внутренних аудиторов, получателям или
соискателям на получение профессиональных сертификаций Института внутренних аудиторов, а также к
тем специалистам, которые оказывают услуги по внутреннему аудиту в рамках Определения
Область применения и обеспечение исполнения Кодекса этики

Кодекс этики международного Института внутренних аудиторов применяется как к отдельным
работникам, так и организациям, которые предоставляют услуги в сфере внутреннего аудита.
Действия членов Института внутренних аудиторов, а также получателей и соискателей на получение

профессиональных дипломов международного Института внутренних аудиторов, связанные с
нарушением Кодекса этики международного Института внутренних аудиторов будут оцениваться, и к
ним будут применяться меры воздействия в соответствии с Уставом и Административными директивами
международного Института внутренних аудиторов. Тот факт, что какой-либо конкретный поступок или
образ действия не упоминается в Правилах поведения Кодекса, не может служить оправданием его
неприемлемости или дискредитирующего характера и, следовательно, совершивший его член Института
внутренних аудиторов, обладатель или соискатель на получение профессионального диплома
международного Института внутренних аудиторов может быть подвергнут дисциплинарным мерам
наказания.
Кодекс этики Института внутренних аудиторов CIA Часть 2
Принципы
Внутренние аудиторы должны придерживаться следующих принципов.
1) Честность
Честность внутреннего аудитора является фундаментом, на котором основывается доверие к мнению
аудитора.
2) Объективность
Внутренние аудиторы демонстрируют наивысший уровень профессиональной объективности в процессе
сбора, оценки и передачи информации об объекте аудита. Внутренние аудиторы делают взвешенную
оценку всех относящихся к делу обстоятельств и в своих суждениях не подвержены влиянию своих
собственных интересов или интересов других лиц.
3) Конфиденциальность
Внутренние аудиторы уважительно относятся к праву собственности на информацию, которую они
получают в процессе своей деятельности, и не разглашают информацию без соответствующих на то
полномочий, за исключением случаев, когда раскрытие такой информации продиктовано юридическими
или профессиональными обязанностями.
4) Профессиональная компетентность
Внутренние аудиторы применяют знания, навыки и опыт, необходимые для оказания услуг в сфере
Правила поведения
Примечание: Пункты, изложенные курсивом, добавляются нами для последующего пояснения.
1) Честность
Внутренние аудиторы:
1.1. Должны выполнять свою работу честно, добросовестно и ответственно. [Другими словами,
аудитор делает все правильно.]
1.2. Должны действовать в рамках закона и, если того требует закон или профессиональные
стандарты, раскрывать соответствующую информацию.
1.3. Не должны сознательно участвовать в акциях или действиях, дискредитирующих

профессию внутреннего аудитора или свою организацию.
1.4. Должны уважать юридически и этически оправданные цели своей организации и вносить
вклад в их достижение.
2) Объективность
2.1. Не должны участвовать в какой-либо деятельности, которая могла бы нанести ущерб их

беспристрастности или восприниматься как наносящая такой ущерб. Это также
распространяется на деятельность и отношения, которые могут противоречить интересам
Приложение В Кодекс этики Института внутренних аудиторов
2.2. Не должны принимать в подарок ничего, что могло бы нанести ущерб их

профессиональному мнению или восприниматься как наносящее такой ущерб. [Принятие
аудитором дорогого подарка (например, получение права пользования коттеджем на берегу
моря) считается нарушением объективности аудитора.]
2.3. Должны раскрывать все известные им материальные факты, которые, не будучи раскрыты,
могут исказить отчеты об объекте аудита. [Например, определенные суммы были
капитализированы, а не отнесены на расходы. Этот факт должен быть доведен до сведения
руководителей организации и членов Комитета по аудиту.]
3) Конфиденциальность
3.1. Должны быть разумны и осмотрительны в использовании и сохранении информации,

полученной в ходе выполнения своих обязанностей.
3.2. Не должны использовать информацию в личных интересах или любым другим образом,
противоречащим закону или могущим нанести ущерб достижению юридически и этически
оправданных целей организации.
4) Профессиональная компетентность
4.1. Должны участвовать только в тех заданиях, для выполнения которых обладают
достаточными профессиональными знаниями, навыками и опытом.
4.2. Должны оказывать услуги внутреннего аудита в соответствии с Международными

профессиональными стандартами внутреннего аудита.
4.3. Должны непрерывно повышать свой профессионализм, а также эффективность и качество

оказываемых услуг.
Ответы CIA Часть 2
Ответы
1 b – Любое засвидетельствование (выдача подтверждения), равно как и окончательное заключение о
результатах оценки (assessment) рисков делается силами только внешних аудиторов. Внутренний
аудитор может заниматься предварительной оценкой (evaluating) рисков и их анализом при условии, что
внешний аудитор делает заключение или проводит окончательную оценку рисков.
2 b – Одной из обязанностей руководителя внутреннего аудита является координация работы
внутренних и внешних аудиторов с целью выполнения своих профессиональных обязанностей и
недопущения дублирования работы внешнего аудитора.
3 a – Это одна из тех процедур, которая находится в русле обязанностей руководителя внутреннего
аудита по координации работы внешних и внутренних аудиторов с целью сокращения дублирования
этих работ.
4 d – Действительно, анализ и проверка процедур, используемых другими подразделениями, могут
снизить потребность в охвате аудиторскими проверками определенных функций и процессов.
5 a – Надзор за работой внешних аудиторов является обязанностью совета директоров компании.
Руководитель внутреннего аудита отвечает за координацию работ между внутренними и внешними
аудиторами. Вместе с тем, возможно, что совет директоров поручит руководителю внутреннего аудита
оказывать практическую помощь в работе внешнего аудитора.
6 b – Общий уровень профессионализма внутренних аудиторов заметно вырос, а возросшие расходы
организаций на внешний аудит сделали для них необходимым устранение дублирования работ
внутренних и внешних аудиторов и ведение контроля отработанных внешними аудиторами часов для
выполнения заданий.
7 b – При выполнении любого задания о характере всех недостатков, отмеченных внутренним
аудитором, необходимо докладывать в отчете руководителям организации. Вариант (c) является
неверным, поскольку проведение аудиторского задания может оказаться целесообразным, если
руководство организации хочет получить обратную связь по поводу нового кодекса в данный момент. В
самом деле, аудитор не определяет целесообразность того или иного аудиторского задания.
8 d – Четыре ключевых обязанности – это: 1) соблюдение принятых в обществе нормативно-правовых
актов; 2) соответствие общепринятым деловым нормам, этическим и моральным принципам и ожиданиям
определенных социальных ролей; 3) обеспечение общего преимущества для общества в целом и
соблюдение интересов конкретных заинтересованных групп как в долгосрочном, так и в краткосрочном
плане; 4) предоставление полной и правдивой отчетности своим владельцам, регулирующим органам,
другим заинтересованным сторонам, широкой общественности в целях обеспечения ответственности за
принятые решения, действия и результаты деятельности.
9 a – Рабочая программа аудиторского задания специфична для каждого отдельного задания; она не
влияет на определение перечня аудиторских заданий, которые необходимо выполнить.
10 c – Хотя совету директоров хотелось бы думать, что он может определять, какие именно аудиторские
задания следует выполнять, на самом деле это не так. Бюджет на проведение аудиторской проверки в
том или ином направлении деятельности также не является решающим фактором. Таким образом, из
всех перечисленных вариантов только риск финансового ущерба или наступление иных наносящих
ущерб обстоятельств должны приниматься во внимание.
11 b – Принятие в штат нового работника, вероятно, будет иметь меньшее значение, чем другие
перечисленные факторы. Вопросы, которые следует рассматривать при планировании аудиторских
заданий, включают: (а) период времени, прошедший с момента выполнения последнего задания в этой
области (подразделении, направлении деятельности); (б) запрос со стороны высшего руководства; (в)
изменения в бизнес-среде; (г) изменение ситуации в области рисков; (д) потенциальная польза от
выполнения задания; (е) изменения в практических навыках сотрудников внутреннего аудита.
12 b – В ответе на этот вопрос следует указать наименее значимый фактор из приведенных вариантов.
Из всех перечисленных факторов то обстоятельство, что в прошлом году упомянутое структурное
подразделение было проверено внешним аудитором, является наименее значимым. Хотя сам факт
прошлогодней проверки этого подразделения внешним аудитором является добрым знаком, никто не
освобождает внутренних аудиторов от обязанности заниматься постоянным мониторингом ситуации в
подразделении, которое подвержено потенциально высокому уровню рисков.
13 c – Во всех случаях распределение аудиторских заданий между менеджерами должно производиться
на основе результатов анализа рисков и оценки имеющихся навыков работников. Личные предпочтения
и желания, связанные с командировками, не должны становиться критериями распределения заданий.
14 d – Уровень компетентности персонала сложно оценить и измерить. Абсолютно приемлемо
использовать групповой консенсус для этой работы. Фактически групповой консенсус является более
CIA Часть 2 Ответы
правильным инструментом, чем индивидуальная оценка, поскольку групповой подход может позволить
избежать индивидуальных искажений в оценках. Вариант (a) неверен, поскольку оценка риска
предполагает учет как качественных, так и количественных показателей.
15 a – Риск и измерение рисков включают оценку вероятности реализации риска, а также размеры
потенциального ущерба. Поэтому варианты (b) и (c) неверны, т.к. каждый из них включает только по
одному из указанных параметров риска. Вариант (d) является неверным, поскольку оценка рисков не
всегда может быть сведена только к числовому значению. Управленческое суждение в той или иной
сфере деятельности может стать фактором риска. Чем больше руководителям приходится полагаться на
свои суждения, тем больше уровень риска.
16 a – Чтобы аудиторы могли расширить набор своих знаний, они должны выполнять задания в
различных областях. Эта задача решается путем ротации аудиторов и направления их на различные
задания.
17 b – Чтобы убедиться в том, что персонал подразделения внутреннего аудита подготовлен для
выполнения своих обязанностей, руководитель внутреннего аудита обязан обеспечивать наставничество
(консультировать персонал внутреннего аудита по вопросам их деятельности) и предоставлять
возможности для соответствующего обучения.
18 b – Установленные политики и процедуры зависят от размеров и структуры подразделения
внутреннего аудита и сложности выполняемой им работы. Вариант (a) неверный, так как одних только
правил и процедур недостаточно для обеспечения соблюдения стандартов деятельности. Они только
помогают в процессе деятельности. То же самое относится к варианту (c): политики и процедуры могут
только помочь в усилиях достичь стабильных результатов.
19 c – Небольшими службами внутреннего аудита можно управлять неформально, поскольку
персоналом в них можно руководить и контролировать путем ежедневного тщательного надзора. В
крупных службах внутреннего аудита обычно возникает необходимость в более формальных и
всеохватывающих политиках и процедурах в качестве руководства для персонала в последовательном
соблюдении требований Стандартов.
20 d – Отчеты о проделанной работе, периодически направляемые Совету и высшему руководству, не
должны включать сведения о еженедельных итогах работы каждого внутреннего аудитора. Совету и
высшему руководству нужны итоговые отчеты с указанием существенных для их внимания вопросов.
21 c – В качестве раздела в итоговом отчете о проделанной работе руководитель внутреннего аудита
должен привести сведения о статусе и степени выполнения аудиторских заданий в течение отчетного
года.
22 d – Из всех перечисленных вариантов поддержка комитетом по аудиту деятельности внутреннего
аудита по мониторингу реализации рекомендаций службы внутреннего аудита принесет ей наибольшую
пользу. Что касается других вариантов, то они относятся к тем видам деятельности, которыми комитет
никогда не будет или не сможет заниматься.
23 c – Первым шагом для внутренних аудиторов является обсуждение выводов и рекомендаций с
соответствующими руководителями организации. Такое обсуждение позволяет внутренним аудиторам
подтвердить точность и достоверность отчетности по результатам выполнения задания. Следующим
этапом является рассылка отчетов тем членам организации, которые обладают достаточными
полномочиями, чтобы определить, что результатам выполнения задания уделено должное внимание.
Такими полномочиями обладают, например, члены комитета по аудиту.
24 c – Проверка и анализ предыдущих отчетов о результатах оценки рисков не являются основной
целью процесса управления рисками. Внутренний аудитор должен установить, что принятые в
организации процессы управления рисками направлены на решение пяти основных целей, чтобы
сформировать мнение об общей адекватности этих процессов на уровне организации.
25 c – Это детальная проверка систем. Планируемое задание касается оценки адекватности новых
политик и процедур для поддержания соответствующего риск-профиля. Проверка только некоторых
инвестиций не решает этой задачи.
26 c – Обычное наблюдение за изменениями процентных ставок в течение времени предоставит очень
мало полезной информации для оценки текущей инвестиционной стратегии. На процентные ставки
влияют многие факторы, находящиеся вне контроля руководства, возможно, в значительной мере,
состояние экономики и экономическая среда в целом.
27 d – Из перечисленных навыков, этим навыком обладает, возможно, только внутренний аудитор.
Инженеры, ИТ - специалисты и бухгалтеры по учету затрат имеют более глубокие знания по вопросам,
перечисленным в пунктах (a), (b) и (c).
28 b – Операционные аудиторские задания оказывают помощь руководству подразделения-клиента тем,

что проводят оценку выполнения установленных целей и операционных показателей, а также позволяют
проверять экономичность и эффективность использования имеющихся ресурсов.
29 d – Система нормативных затрат предполагает сравнение заранее установленной величины затрат с
фактическими. Сравнивая фактические затраты с нормативными затратами, можно оказать помощь
руководству в оценке им результативности и эффективности производственного подразделения,
деятельность которого проверяется.
30 c – Оценка аудиторского риска – это оценка совокупной вероятности того, что предпосылки
формирования отчетности будут существенно искажены, а аудитор не сможет определить существенную
ошибку в финансовой отчетности. Внутренне присущий риск – это подверженность существенному
искажению предпосылок подготовки финансовой отчетности при условии, что соответствующие правила
и процедура внутреннего контроля отсутствуют и аудитор пропустит это искажение.
31 a – Внутренние аудиторы должны провести транзакционный аудит, поскольку организации может
быть предъявлена материальная претензия в связи с загрязнением окружающей среды, которое было
совершено предыдущими владельцами. И тогда возможные размеры материальной ответственности за
ущерб окружающей среде могут перевесить выгоды от покупки этой коммерческой собственности.
32 a – Проведение оценки участков застройки обоих производственных объектов является одной из
процедур аудиторского задания, а не его целью. Варианты b, c и d относятся к целям задания.
33 c – Аудиторские задания должны проводиться специалистами, обладающими должным уровнем
квалификации и профессионализма. Поэтому дополнительная подготовка штатных работников является
первым шагом для проведения экологического аудита.
34 d – Все из перечисленных процедур должны быть проведены в ходе аудита работы внешней
сервисной организации. Кроме того, аудитору следует удостовериться, что она сертифицирована
местными властями на проведение данных работ.
35 d – Внутренний аудитор должен давать только разумные гарантии, он не может давать 100-
процентную гарантию того, что установленные цели и задачи будут достигнуты. Все остальные
варианты ответа являются составными частями аудиторской деятельности по аудиту системы е-
коммерции.
36 d – Финансово-правовые проверки осуществляются для проверки и обоснования проведения
крупной сделки, например, слияния или поглощения, образования совместного предприятия или
продажи активов.
37 a – Для оценки существа дела, находящегося в судебном производстве, потребуется участие
внешних экспертов. От внутреннего аудитора требуется понимание основ законодательства, и он не
обязан быть юристом.
38 a – Если цена покупки дочерней компании зависит от ее прибыльности, то внутренние аудиторы
должны обратить особое внимание на процедуры капитализации основных средств. Может так
случиться, что бывшие владельцы (теперь ставшие менеджерами) могут капитализировать некоторые
расходы, тем самым пытаясь завысить цену покупки компании.
39 c – Решение о целесообразности и степени участия внутренних аудиторов в восстановительном
процессе принимает руководство организации. Подразделение внутреннего аудита занимается только
предоставлением консультационных услуг и разумных гарантий.
40 d – В бенчмаркинге могут использоваться финансовые и нефинансовые критерии в качестве эталона.
Процент доставленных вовремя заказов клиентам на самом эффективном предприятии компании – это
пример внутреннего нефинансового сравнительного показателя, поскольку он позволяет сравнивать
различные предприятия в рамках одной компании, и он является нефинансовым, поскольку измеряет
своевременность доставок продукции заказчикам.
41 c – Сопоставление количества металлолома, ожидаемого от процесса производства, с количеством
фактически проданного лома будет являться наилучшим способом подтверждения эффективности
контроля продажи металлолома.
42 d – Правильным методом, который позволит аудитору определить, не выставляются ли счета за
непредусмотренные организацией услуги, является выборочная выверка счетов от курьерской службы с
квитанциями о вручении корреспонденции для доставки. С помощью такого метода внутренний аудитор
сможет определить, все ли оказанные услуги допускались политикой компании.
43 c – Поскольку данный контракт относится к типу «затраты плюс», внутренний аудитор должен иметь
право проверить право заказчика на аудит системы внутреннего контроля и фактических расходов
подрядчика.
44 d – Из всех перечисленных вариантов наиболее убедительным способом оценить эффективность

системы контроля качества является оценка количества и причин корректировки объемов продаж
(включая возвраты). Такие корректировки включают количество возвратов продукции от заказчиков
(покупателей), и одной из причин возвратов является плохое качество выпущенной продукции.
Следовательно, если количество возвратов увеличивается, это может являться признаком наличия
проблем в системе контроля качества продукции.
45 b – Подтвердив, что получившие зарплатные карты сотрудники также имеются в регистрационных
записях отдела кадров, можно подтвердить, что люди, получающие заработную плату в организации,
являются ее легальными сотрудниками.
46 c – Наилучшим методом оценки эффективности плана комиссионных платежей за продажи является
регрессионный анализ. Такой анализ представляет собой статистический инструмент, позволяющий
обнаруживать тренды в бизнес-данных, таких как, например, объемы продаж или затраты, и строить
модели, основанные на сопоставлении прогнозных показателей объемов продаж с фактическими.
47 b – Внутренние аудиторы знают свою организацию и сотрудников, а также обладают навыками,
специфичными для бизнеса организации. С учетом данных факторов, внутренние аудиторы могут
быстрее выполнить задание.
48 d – Ответственность за определение методологии для классификации аудиторских заданий по
консультированию несет руководитель внутреннего аудита (РВА).
49 c – Именно это утверждение является верным.
50 c – Рабочие группы содействия участвуют в процессе сбора информации от рабочих групп (команд),
которые представляют различные уровни бизнес-подразделения или функции. Основные форматы
рабочих групп содействия могут быть основаны на целях, рисках, контроле и используемых процессах.
51 a – В формате, основанном на оценке рисков, работа начинается с перечисления всех возможных
барьеров, препятствий, угроз и рисков, которые могут помешать достижению целей. Цель назначения
такой рабочей группы состоит в выявлении значительного остаточного риска.
52 c – Формат, основанный на оценке процессов, делает упор на определенных видах деятельности,
которые являются элементами цепочки деятельности. Общая цель рабочей группы содействия данного
типа заключается в оценке, обновлении, обосновании, улучшении и даже упрощении целого процесса и
входящих в его состав видов деятельности.
53 a – Частью этапа планирования аудиторского задания является определение необходимых для
выполнения этого задания ресурсов и принципов их распределения. Вариант (c) неверный, так как
идентификация предполагаемых наблюдений относится к объему аудиторского задания.
54 b – Цели аудиторского задания должны быть связаны с процедурами оценки рисков, систем контроля
и корпоративного управления в рамках направления (вида) деятельности, которое является объектом
55 c – Если целью аудиторского задания является проверка правильности учета оборудования, аудитор
должен, прежде всего, выбрать это оборудование, найти соответствующие данные в бухгалтерских
книгах и затем проверить правильность этих записей.
56 d – Это лучшее определение предварительного обследования, поскольку оно действительно
представляет собой процесс сбора информации. Вариант (a) неверный, поскольку стандартизованные
анкеты и анкетирование могут использоваться и на других этапах аудита, а не только в ходе
предварительного обследования.
57 d – Обследование не влияет прямо на оценку эффективности и адекватности системы контроля у
клиента. Оно поможет только идентифицировать процедуры контроля и, возможно, некоторые области,
на которые нужно будет обратить особое внимание в ходе выполнения задания. В ходе обследования
аудитор получает информацию от клиента, и он не может сделать объективное заключение об
адекватности и эффективности системы контроля, пока сам не проведет необходимые проверки.
58 c – Хотя эти вопросы и могут обсуждаться на предварительной встрече, все-таки из всех
перечисленных вариантов этот наименее вероятен. Схема выборки и основные критерии отбора – это те
вопросы, который аудитор обычно решает самостоятельно, без помощи клиента. Если эти вопросы будут
обсуждаться слишком подробно, то клиент может получить возможность повлиять на результаты
проверки (тестирования) за счет применения того или иного метода выборки.
59 a – Внутренний аудитор должен иметь возможность предоставить рекомендации, и это можно
сделать только после того, как он убедится, что в кадровой службе имеются политики и процедуры,
обеспечивающие выбор оптимальных цен на билеты и места в отелях. Вариант (с) неверен, т.к. это
конкретный этап рабочей программы, который должен быть сделан в ходе выполнения задания, а не на
стадии предварительного обследования.
60 b – Направление меморандума руководителем внутреннего аудита в адрес руководителей низшего

звена подразделения-клиента приведет к участию этих руководителей в аудиторском задании. Если
письмо написано корректно, то это не должно вызвать у них никакого опасения (озабоченности) по
поводу предстоящего аудита.
61 a – Программы аудиторского задания, которые используются при проверке более одного
подразделения, уместны, когда выполняемые работы являются одинаковыми по сути. В этой ситуации
использование подобного типа программ является допустимым.
62 d – В данном случае мошенничества количество заказанного сырья отличается от количества сырья,
доставленного в промышленную компанию, а разница отправляется в компанию, управляемую
менеджером-мошенником. Чтобы выявить данное мошенничество, нужно сравнить документы, где
указываются размеры заказов, с документами, в которых указано количество доставленного сырья, а
также приходные документы с оплаченными счетами-фактурами. Учитывая, что все эти цифры не будут
совпадать и в результатах будут расхождения, их сопоставление поможет выявить мошенничество.
63 d – Чтобы определить, все ли количество отпущенного бензина учтено в документах, нужно
сопоставить количество отпущенного бензина (проверяется по счетчикам на терминалах заправочной
станции) с количеством бензина, которое было указано в журнале учета отпуска (что делается путем
изучения записей об отпуске бензина в журнале учета). То есть это вариант (d). Вариант (a) неверен,
т.к. он не учитывает количество бензина, которое указывается техником. Вариант (b) указывает только
на то, что бензин был куплен, и оформление покупки было сделано правильно, но ничего не говорит об
учете расхода бензина. Вариант (c) также ничего не говорит об учтенном в журнале техника количестве
отпущенного бензина.
64 c – Наилучшим способом для определения того, все ли операции по дебетованию счета оправданны,
будет проведение выборочного контроля дебетовых сальдо по счету и проверка их правильности путем
сверки с первичными документами.
65 b – Наилучшим способом определить, выполняются ли предписанные стандартные процедуры при
выдаче кредитов, является выборка по заявлениям нескольких клиентов, которым предоставлялись
кредиты, и проверка их на предмет соответствия предписанным процедурам. Вариант (a) является
недостаточным, поскольку аудитору нельзя полагаться только на слова работников подразделения.
Варианты (c) и (d) не отвечают на вопрос, выполнялись ли предписанные процедуры при кредитовании.
66 d – Все три вида тестов способствуют выполнению поставленной задачи. Процедуры I и III
значительно быстрее, чем II, однако эта последняя процедура также полезна, если аудитор имеет
необходимые навыки, а в условиях говорится, что он действительно их имеет.
67 b – Проблема в том, что стоматолог оказывает одну услугу, а выставляет счет страховой компании за
другую. Лучшим способом обнаружить данные факты будет проверка заявок на страховое возмещение
из стоматологического кабинета за оказанные услуги с последующим подтверждением указанных в них
услуг с фактически оказанными услугами, запросив пациентов. Возможно, это окажется трудоемкой
процедурой, но именно такая процедура позволит выявить мошенничество стоматологов. Все другие
перечисленные варианты являются просто подтверждением того факта, что стоматологи получали
завышенные, неправильные суммы.
68 a – Руководитель внутреннего аудита несет общую ответственность, но поскольку он не в состоянии
осуществлять надзор за каждой аудиторской процедурой, то руководитель внутреннего аудита должен
проверять и осуществлять надзор с целью обеспечить выполнение одобренной программы работ задания
в соответствии с принятым планом. Любые изменения в рабочей программе должны быть утверждены.
69 c – В любом аудиторском задании независимо от того, кто его выполняет, руководитель внутреннего
аудита несет ответственность за обеспечение надлежащего контроля с начала и до завершения этого
задания.
70 c – Тот факт, что все аудиторские задания укладывались в отведенные временные рамки, еще не
означает, что эти задания были надлежащим образом выполнены. Многочисленные отклонения от
утвержденных программ аудиторских заданий, которые не контролировались и не утверждались,
свидетельствуют о низком качестве контроля над выполнением задания.
71 c – Отчетность по аудиторскому заданию предназначена для информирования, убеждения и
получения результатов. Распределение обязанностей не входит в число основных целей отчетности по
аудиторскому заданию.
72 c – Ненужные почтовые расходы, скорее всего, не будут настолько существенными, и поэтому
подпадут в тип наблюдений «прочие области деятельности, требующие улучшения». Другие варианты
неверны, поскольку обладают потенциальной возможностью нанесения существенного ущерба банку, и
поэтому они будут классифицированы как «упущения».
73 a – Внутренний аудитор должен был включить в наблюдение критерии или стандарты, которые
должны применяться в данной ситуации. Остальные элементы наблюдения были отмечены аудитором в
сообщении.
74 a – Поскольку отсутствует необходимость обосновывать командировочные расходы, работники
накапливают значительные суммы авансов. Кроме того, процедура выдачи авансов не требует
подтверждения. Поэтому отсутствие необходимости подтверждения больших сумм авансов и является
причиной проблемы.
75 d – Критерий «текущее состояние» аудиторского наблюдения относится к тому, что фактически
существует. Ситуация же состоит в том, что фактические суммы выдаваемых и накапливаемых
работниками авансов превышают установленные организацией максимальные лимиты.
76 b – Поскольку выборка включала только авансы, выплачиваемые торговым представителям, аудитор
не имеет оснований делать выводы об авансах во всей организации. Заключение, к которому пришел
аудитор, должно ограничиваться рамками авансов только в счет командировочных расходов. В
результате, заключение может быть только о том, что данные командировочные авансы не
контролируются в соответствии с правилами организации. Внутренний аудитор не вправе определять
адекватность действующей политики организации.
77 b – Мнение внутреннего аудитора – это сделанные внутренним аудитором оценки влияния
наблюдений на аудируемую деятельность.
78 d – Поскольку в процессе выполнения задания были выявлены обстоятельства, ведущие к потере
компанией своих доходов, информация об этом должна была быть передана незамедлительно, т. е. в
ходе выполнения задания. Поскольку итоговый отчет о результатах был выпущен только спустя 8
недель, то он был выпущен несвоевременно.
79 c – Чтобы предотвратить закупку ненужных транспортных средств, компания должна отложить
предлагаемую закупку транспортных средств до тех пор, пока их очевидная избыточность не будет
объяснена и устранена с помощью дополнительного анализа.
80 c – Отчет должен содержать не только описание возникшей ситуации, но и рекомендации
внутреннего аудитора по ее исправлению.
81 d – Итоговый отчет о результатах выполнения аудиторского задания по проверке закупочного цикла
компании имеет слишком специальный характер, чтобы направлять его председателю совета
директоров. Внешний аудитор может быть в числе получателей такого отчета, поскольку он имеет
отношение к выполняемой внешним аудитором работе.
82 a – Итоговые отчеты о результатах аудита снабженческих операций подразделения следует
направлять лицам, обладающим достаточными полномочиями для реализации мер в соответствии с
рекомендациями аудитора, либо лицам, которые несут ответственность за работу аудируемого
подразделения.
83 b – За счет организации заключительного совещания аудитор может улучшить отношения с клиентом
аудиторского задания, обсуждая с ним вопросы, возникшие по результатам выполненного задания.
84 d – Одним из недостатков предоставления проекта отчета по аудиторскому заданию руководителям
клиента заключается в том, что они попытаются внести изменения в отчет, либо станут оспаривать
наблюдения и рекомендации аудитора.
85 d – Когда клиент аудиторского задания не согласен с заключительным отчетом, аудитор должен
сдать итоговый отчет о результатах аудиторского задания, указав позиции обеих сторон и причины
возникновения разногласий. Аудитору не следует вносить изменения в текст отчета или менять объем
аудиторского задания в ответ на несогласие клиента аудиторского задания.
86 a – Любой риск, связанный с работой с наличными, имеет существенный характер, и тот факт, что в
прошлом не случалось воровства или грабежей, не имеет значения. Поэтому аудитор должен сделать
промежуточное сообщение в устной форме. В итоговом отчете о результатах аудиторского задания
сконцентрировать внимание на корректирующих мерах, которые следует предпринять клиенту для
улучшения положения дел.
87 a – Обязанности службы внутреннего аудита по осуществлению последующего мониторинга
выполнения корректирующих действий в отношении конкретных наблюдений, сделанных в ходе
выполнения задания по предоставлению гарантий, должны быть определены в Положении о внутреннем
аудите или в соглашении с клиентом аудиторского задания.
88 d – Определенные наблюдения и рекомендации могут носить настолько важный характер, что
требуют немедленных действий со стороны руководства организации. Внутренние аудиторы должны
активно осуществлять мониторинг действий по результатам задания до тех пор, пока недостатки не
будут исправлены или рекомендации выполнены. Руководитель внутреннего аудита устанавливает
процедуры, включающие: временные рамки для ответа руководства на результаты наблюдений
аудиторов и сделанные рекомендации; оценку ответа руководства; верификацию ответа (если

необходимо); осуществление последующего мониторинга (если необходимо); процесс информирования
руководства соответствующего уровня и Совета в случае неудовлетворительных ответов или действий,
включая принятие риска. (ПУ 2500-1).
89 c – Если корректирующие действия не предпринимаются, внутренний аудитор должен обсудить
проблему с лицами, ответственными за нее, поскольку они должны знать, как ее устранить. Такие лица
(клиенты) будут располагать наилучшими возможностями для решения проблемы.
90 c – Последующий мониторинг должен быть включен в план как часть следующего аудиторского
задания. Ограниченность ресурсов внутреннего аудита не является достаточной причиной для отмены
последующего мониторинга.
91 a – Мошенничество охватывает целый набор нарушений и незаконных действий, которые
характеризуются преднамеренным обманом. Совершить мошенничество могут как сторонние лица, так и
работники самой организации.
92 d – Все три утверждения верны.
93 d – РВА должен уведомить соответствующих должностных лиц внутри организации в тех случаях,
когда у него возникает подозрение в совершении мошенничества, и рекомендовать дальнейшие
действия.
94 b – Предварительный или окончательный отчет желателен при завершении стадии обнаружения
мошенничества. Этот отчет должен содержать заключение аудитора о наличии информации для
проведения полного расследования.
95 d – Информация о потенциальных «красных флагах» хорошо представлена документально.
96 a – Все без исключения наличные поступления должны ежедневно депонироваться в банке.
97 c – Наилучшим действием для внутреннего аудитора в этой ситуация является подготовка краткой
финансовой и поведенческой характеристики руководителя отдела маркетинга. Распространенным
признаком мошенничества, совершаемого работником, являются необъяснимые изменения финансового
положения этого работника.
98 d – Отказ от судебного преследования по какой-либо причине является сделкой, которая
предполагает соглашение с нарушителем ради отказа от предъявления обвинения.
99 c – Когда руководство компании вовлечено в совершение мошеннических операций, оно нередко
пытается использовать сложные юридические структуры с целью сокрытия преступления.

RCIA P2 Text Feb14 A4

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

RCIA P2 Text Feb14 A4

Загружено:

Авторское право:

Доступные форматы

Дипломированный

Если эта книга напечатана по вашему индивидуальному заказу, то на ней

Использование подлинных экземпляров книг, подготовленных компанией

Брайан Хок, CIA, CMA

(866) 807-HOCK or (866) 807-4625

Опубликовано в феврале 2014 г.

Авторы выражают благодарность Институту внутренних аудиторов за

Кроме того, мы признательны Институту дипломированных бухгалтеров по

Авторы хотели бы также выразить благодарность Институту ITGI (IT Governance

© 2014 HOCK international, LLC

Никакая часть настоящего издания не может быть использована или воспроизведена

Авторы выражают благодарность следующим лицам за их помощь в подготовке

Предварительные замечания издателя

По ходу данных материалов мы стремились использовать определенную лексику,

Данные материалы подготовлены исключительно для оказания помощи соискателям

 Программа ExamSuccess компании HOCK – содержит вопросы, которые содержались в

 Флэш-карты – они содержат краткие обобщения и выводы по основным темам, а также

 Тренировочный экзамен – для каждой части экзамена имеется свой тренировочный

 Доступ к преподавателям – мы советуем вам обращаться к преподавателям компании

Brian J. Hock, CIA, CMA

Продолжительность и структура экзамена................................................................. 1

Раздел A – Управление внутренним аудитом – Введение ....................................... 3

Проведение экологического аудита 56

Раздел Б – Введение ................................................................................................... 100

Значимое доказательство 112

Раздел В – Введение ................................................................................................... 140

Приложение А: Образец Кодекса корпоративного поведения ............................ 155

Ответы ........................................................................................................................... 162

(Эта страница намеренно оставлена незаполненной)

Продолжительность и структура экзамена

Более подробную информацию об экзаменах можно получить на вебсайте международного Института

• Раздел А: Управление внутренним аудитом (40–50%).

• Раздел Б: Контроль над выполнением аудиторского задания (40-50%).

• Раздел В: Риски мошенничества и средства контроля (5-15%).

• Профессиональная квалификация – кандидат должен продемонстрировать должный

• Знания – кандидат должен продемонстрировать должный уровень знаний (понимание

(Эта страница намеренно оставлена незаполненной)

Раздел A – Управление внутренним аудитом – Введение

Данный раздел включает шесть указанных ниже тем.

1) Стратегическое назначение деятельности внутреннего аудита. Экономическая

2) Функциональное назначение деятельности внутреннего аудита. Деятельностью

• запланированные аудиторские задания выполнялись в установленные сроки;

• требуемые для выполнения запланированных аудиторских заданий ресурсы распределялись

• результаты аудиторских заданий доводились до сведения всех заинтересованных сторон в

3) Составление риск-ориентированного плана деятельности внутреннего аудита.

4) Роль внутреннего аудита в процессе управления рисками. В этой части раздела

5) Управление рисками внутреннего аудита. Эта часть раздела посвящена рассмотрению

• Аудиторские задания по финансовому аудиту. Это анализ экономической деятельности

• Аудиторские задания по подтверждению нормативно-правового соответствия. Это

• Аудиторские задания по операционному аудиту. Это проверка эффективности и

Управление внутренним аудитом

Руководитель внутреннего аудита должен эффективно управлять подразделением внутреннего аудита

Внутренний аудит приносит пользу организации (и её заинтересованным лицам), когда руководитель

• результаты, достигнутые в ходе работы службы внутреннего аудита, соответствуют целям и

• деятельность внутреннего аудита соответствует Определению внутреннего аудита и

• лица, работающие в подразделении внутреннего аудита, демонстрируют соответствие

В Стандартах международного Института внутренних аудиторов указывается, что «внутренний аудит

Стратегическое назначение деятельности внутреннего аудита

Далее в этом разделе мы рассмотрим ограничения, с которыми сталкивается в своей деятельности

Изменение экономической обстановки

Внутренний аудит как деятельность, базирующаяся на оценочных суждениях

Стратегическое (долгосрочное) планирование

• быть ориентиром деятельности внутреннего аудита в долгосрочной перспективе;