Внутренний аудит — это независимая, объективная деятельность по предоставлению гарантий и консультаций, призванная повысить ценность и улучшить деятельность организации. Она помогает организации достичь своих целей, применяя систематический, дисциплинированный подход к оценке и повышению эффективности процессов управления рисками, контроля и руководства. [ 1 ] Внутренний аудит может достичь этой цели, предоставляя информацию и рекомендации, основанные на анализе и оценке данных и бизнес- процессов . [2] Благодаря приверженности принципам честности и подотчетности внутренний аудит представляет ценность для руководящих органов и высшего руководства как объективный источник независимых консультаций. Профессионалы, называемые внутренними аудиторами, нанимаются организациями для выполнения деятельности по внутреннему аудиту.
Область внутреннего аудита в организации может быть широкой и включать такие темы, как управление организацией, управление рисками и управленческий контроль над: эффективностью/результативностью операций (включая защиту активов), надежностью финансовой и управленческой отчетности, [3] [4] и соблюдением законов и нормативных актов. Внутренний аудит может также включать проведение упреждающих аудитов мошенничества для выявления потенциально мошеннических действий; участие в расследованиях мошенничества под руководством специалистов по расследованию мошенничества и проведение аудитов мошенничества после расследования для выявления сбоев в контроле и установления финансовых потерь.
Внутренние аудиторы не несут ответственности за выполнение деятельности компании; они консультируют руководство и совет директоров (или аналогичный надзорный орган) относительно того, как лучше выполнять свои обязанности . Вследствие своей широкой сферы участия внутренние аудиторы могут иметь разнообразное высшее образование и профессиональный опыт.
Институт внутренних аудиторов (IIA) является признанным международным органом по установлению стандартов для профессии внутреннего аудита и присваивает звание сертифицированного внутреннего аудитора на международном уровне посредством строгого письменного экзамена. В некоторых странах доступны и другие звания. [5] В Соединенных Штатах профессиональные стандарты Института внутренних аудиторов были кодифицированы в уставах нескольких штатов, относящихся к практике внутреннего аудита в правительстве (три примера — штат Нью-Йорк, Техас и Флорида). Существует также ряд других международных органов по установлению стандартов.
Внутренние аудиторы работают в государственных учреждениях (федеральных, государственных и местных); в публичных компаниях; и в некоммерческих компаниях во всех отраслях. Отделы внутреннего аудита возглавляются главным аудитором (CAE), который обычно отчитывается перед аудиторским комитетом совета директоров , а административная отчетность — перед генеральным директором (в Соединенных Штатах такая отчетность требуется законом для публичных компаний).
Профессия внутреннего аудита неуклонно развивалась с развитием науки управления после Второй мировой войны. Она концептуально во многом похожа на финансовый аудит , проводимый публичными бухгалтерскими фирмами, мероприятия по обеспечению качества и банковскому соответствию. Хотя некоторые из методов аудита, лежащих в основе внутреннего аудита, заимствованы из управленческого консалтинга и профессий публичного бухгалтера, теория внутреннего аудита была задумана в первую очередь Лоуренсом Сойером (1911–2002), которого часто называют «отцом современного внутреннего аудита»; [6] и современная философия, теория и практика современного внутреннего аудита, определенные в Международных рамках профессиональной практики (IPPF) Института внутренних аудиторов, во многом обязаны видению Сойера.
С введением в действие в Соединенных Штатах Закона Сарбейнса-Оксли 2002 года, известность и ценность профессии возросли, поскольку многие внутренние аудиторы обладали навыками, необходимыми для помощи компаниям в выполнении требований закона [ требуется ссылка ] . Однако сосредоточенность отделов внутреннего аудита публичных компаний на финансовой политике и процедурах, связанных с SOX, подорвала прогресс, достигнутый профессией в конце 20-го века в направлении видения Ларри Сойера внутреннего аудита. Начиная примерно с 2010 года, IIA снова начала выступать за более широкую роль, которую внутренний аудит должен играть на корпоративной арене, в соответствии с философией IPPF. [7]
Хотя внутренние аудиторы нанимаются непосредственно своей компанией, они могут достичь независимости посредством своих отношений отчетности. Независимость и объективность являются краеугольным камнем профессиональных стандартов IIA; и подробно обсуждаются в стандартах и вспомогательных практических руководствах и практических рекомендациях. Профессиональные внутренние аудиторы обязаны стандартами IIA быть независимыми от проверяемой ими деловой активности. Эта независимость и объективность достигаются посредством организационного размещения и линий отчетности отдела внутреннего аудита. Внутренние аудиторы публичных компаний в Соединенных Штатах обязаны функционально подчиняться совету директоров напрямую или подкомитету совета директоров (обычно аудиторскому комитету), а не руководству, за исключением административных целей.
Требуемая организационная независимость от руководства позволяет проводить неограниченную оценку деятельности руководства и персонала и позволяет внутренним аудиторам эффективно выполнять свою роль. Хотя внутренние аудиторы являются частью руководства компании и получают за это зарплату от компании, основным заказчиком деятельности внутреннего аудита является организация, ответственная за надзор за деятельностью руководства. Обычно это аудиторский комитет , комитет совета директоров . Организационная независимость эффективно достигается, когда главный аудитор функционально подчиняется совету директоров. Примеры функциональной отчетности совету директоров включают совет директоров: [8] Утверждение устава внутреннего аудита; Утверждение плана внутреннего аудита, основанного на оценке рисков; Утверждение бюджета и плана ресурсов внутреннего аудита; Получение сообщений от главного аудитора о результатах деятельности внутреннего аудита относительно его плана и других вопросов; Утверждение решений относительно назначения и увольнения главного аудитора; Утверждение вознаграждения главного аудитора; и Направление соответствующих запросов руководству и главному аудитору для определения наличия ненадлежащих ограничений по объему или ресурсам.
Деятельность внутреннего аудита в первую очередь направлена на оценку внутреннего контроля . Согласно структуре внутреннего контроля COSO , внутренний контроль в широком смысле определяется как процесс, осуществляемый советом директоров, руководством и другим персоналом организации, призванный обеспечить разумную уверенность в достижении следующих основных целей, к которым стремятся все предприятия:
Руководство несет ответственность за внутренний контроль, который включает пять важнейших компонентов: контрольную среду; оценку рисков; контрольные мероприятия, ориентированные на риски; информацию и коммуникацию; и мониторинговые мероприятия. Менеджеры устанавливают политики, процессы и практики в этих пяти компонентах управленческого контроля, чтобы помочь организации достичь четырех конкретных целей, перечисленных выше. Внутренние аудиторы проводят аудит, чтобы оценить, присутствуют ли и работают ли эффективно пять компонентов управленческого контроля, и если нет, дают рекомендации по улучшению.
В Соединенных Штатах служба внутреннего аудита независимо оценивает систему внутреннего контроля руководства и сообщает о своих результатах высшему руководству и аудиторскому комитету совета директоров компании.
Профессиональные стандарты внутреннего аудита требуют, чтобы функция оценивала эффективность деятельности организации по управлению рисками . Управление рисками — это процесс, посредством которого организация выявляет, анализирует, реагирует, собирает информацию и отслеживает стратегические риски, которые могут фактически или потенциально повлиять на способность организации достигать своей миссии и целей.
В рамках COSO Enterprise Risk Management (ERM) Framework стратегия, операции, отчетность и цели соответствия организации имеют связанные стратегические бизнес-риски — негативные результаты, возникающие в результате внутренних и внешних событий, которые препятствуют способности организации достигать своих целей. Руководство оценивает риск как часть обычного хода деловой активности, такой как стратегическое планирование, маркетинговое планирование, планирование капитала, бюджетирование, хеджирование, структура поощрительных выплат, кредитная/кредитная практика, слияния и поглощения, стратегические партнерства, законодательные изменения, ведение бизнеса за рубежом и т. д. Правила Сарбейнса-Оксли требуют обширной оценки рисков процессов финансовой отчетности. Корпоративный юридический консультант часто готовит комплексные оценки текущих и потенциальных судебных разбирательств, с которыми сталкивается компания. Внутренние аудиторы могут оценить каждое из этих действий или сосредоточиться на всеобъемлющем процессе, используемом для управления рисками в масштабах всей организации. Например, внутренние аудиторы могут консультировать руководство относительно отчетности о перспективных операционных мерах совету директоров, чтобы помочь выявить возникающие риски; или внутренние аудиторы могут оценить и сообщить о том, могут ли совет директоров и другие заинтересованные стороны иметь разумную уверенность в том, что управленческая команда организации внедрила эффективную программу управления корпоративными рисками.
В более крупных организациях основные стратегические инициативы реализуются для достижения целей и проведения изменений. Как член высшего руководства, руководитель отдела аудита (CAE) может участвовать в обновлениях статуса этих основных инициатив. Это позволяет CAE сообщать о многих основных рисках, с которыми сталкивается организация, аудиторскому комитету или обеспечивать эффективность отчетности руководства для этой цели.
Функция внутреннего аудита может помочь организации устранить риск мошенничества посредством оценки риска мошенничества, используя принципы сдерживания мошенничества . Внутренние аудиторы могут помочь компаниям установить и поддерживать процессы управления рисками предприятия . [9] Этот процесс высоко ценится многими предприятиями для создания и внедрения эффективных систем управления и обеспечения поддержания качества и соблюдения профессиональных стандартов . [10] Внутренние аудиторы также играют важную роль, помогая компаниям выполнять оценку риска SOX 404 сверху вниз . В этих последних двух областях внутренние аудиторы, как правило, являются частью группы оценки рисков в консультативной роли.
В прошлом деятельность внутреннего аудита в отношении корпоративного управления была в целом неформальной и осуществлялась в основном посредством участия в совещаниях и обсуждениях с членами совета директоров. Согласно структуре ERM COSO, управление — это политика, процессы и структуры, используемые руководством организации для управления деятельностью, достижения целей и защиты интересов различных групп заинтересованных сторон в соответствии с этическими стандартами. Внутренний аудитор часто считается одним из «четырех столпов» корпоративного управления, другими столпами являются совет директоров, руководство и внешний аудитор. [11]
Основное направление внутреннего аудита в отношении корпоративного управления — помощь аудиторскому комитету совета директоров (или эквивалентному органу) в эффективном выполнении своих обязанностей. Это может включать в себя сообщение о критических проблемах управленческого контроля, предложение вопросов или тем для повестки дня заседаний аудиторского комитета и координацию с внешним аудитором и руководством для обеспечения получения комитетом эффективной информации. В последние годы IIA выступает за более формальную оценку корпоративного управления, особенно в областях надзора совета директоров за рисками предприятия, корпоративной этикой и мошенничеством. См. также § Три линии защиты ниже.
На основе оценки рисков организации внутренние аудиторы, руководство и надзорные органы определяют, на чем сосредоточить усилия внутреннего аудита. Этот фокус или приоритетность являются частью годового/многолетнего плана аудита. План аудита обычно предлагается CAE (иногда с несколькими вариантами или альтернативами) для рассмотрения и утверждения аудиторским комитетом или советом директоров. Деятельность внутреннего аудита обычно проводится как одно или несколько отдельных заданий.
Он должен быть адаптирован к конкретной цели аудита, и выбор метода аудита должен быть адаптирован к его конкретной цели. В противном случае он будет отклоняться от цели аудита. [12]
Типичное задание внутреннего аудита [13] включает следующие этапы:
Продолжительность аудиторского задания варьируется в зависимости от сложности проверяемой деятельности и доступных внутренних аудиторских ресурсов. Многие из вышеуказанных шагов являются итеративными и не все могут происходить в указанной последовательности.
Помимо оценки бизнес-процессов, специалисты, называемые аудиторами информационных технологий (ИТ), проверяют средства контроля информационных технологий .
Внутренние аудиторы обычно выпускают отчеты в конце каждого аудита, в которых суммируются их выводы, рекомендации и любые ответы или планы действий от руководства. Аудиторский отчет может иметь резюме — основную часть, которая включает в себя конкретные выявленные проблемы или выводы и соответствующие рекомендации или планы действий, а также дополнительную информацию, такую как подробные графики и диаграммы или информацию о процессе. Каждый вывод аудита в основной части отчета может содержать пять элементов, иногда называемых «5 C»:
Рекомендации в отчете о внутреннем аудите призваны помочь организации достичь эффективных и действенных процессов управления, управления рисками и контроля, связанных с операционными целями, целями финансовой и управленческой отчетности, а также целями соблюдения правовых и нормативных требований.
Результаты аудита и рекомендации могут также относиться к конкретным утверждениям о транзакциях, например, были ли проверенные транзакции действительными или авторизованными, полностью ли они обработаны, точно ли оценены, обработаны в правильный период времени и надлежащим образом ли раскрыты в финансовой или операционной отчетности, а также к другим элементам.
Ниже приведены шаги, которые помогут добиться постоянного улучшения с помощью результатов аудита.
Согласно стандартам IIA, критически важным компонентом процесса аудита является подготовка сбалансированного отчета, который предоставляет руководителям и совету директоров возможность оценить и взвесить сообщаемые вопросы в надлежащем контексте и перспективе. Предоставляя перспективу, анализ и выполнимые рекомендации по улучшению бизнеса в критических областях, аудиторы помогают организации достичь своих целей.
Источник: [15]
Функции внутреннего аудита также могут разрабатывать функциональные стратегии, описанные в многолетних стратегических планах. Профессиональное руководство по созданию стратегического плана внутреннего аудита было выпущено Институтом внутренних аудиторов в июле 2012 года в виде практического руководства под названием « Разработка стратегического плана внутреннего аудита» . [16] Ключевым аспектом разработки стратегии IA является понимание ожиданий заинтересованных сторон, таких как аудиторский комитет и высшее руководство. Это помогает направлять функцию IA в ее миссии по оказанию помощи организации в решении рисков, с которыми она сталкивается. Конкретные темы, рассматриваемые в стратегическом планировании IA, включают:
Создание стратегии IA может включать в себя различные концепции и структуры стратегического управления , такие как стратегическое планирование , стратегическое мышление и SWOT-анализ . [16]
Измерение функции внутреннего аудита может включать сбалансированный подход с использованием системы показателей. [18] Функции внутреннего аудита в первую очередь оцениваются на основе качества консультаций и информации, предоставляемой аудиторскому комитету и высшему руководству. Однако это в первую очередь качественно и, следовательно, трудно поддается измерению. «Опросы клиентов», отправляемые ключевым менеджерам после каждого аудиторского задания или отчета, могут использоваться для измерения производительности, с ежегодным опросом аудиторского комитета. Оценка по таким параметрам, как профессионализм, качество консультаций, своевременность рабочего продукта, полезность встреч и качество обновлений статуса, типична для таких опросов. Понимание ожиданий высшего руководства и аудиторского комитета представляет собой важные шаги в разработке процесса измерения производительности, а также того, как такие меры помогают согласовать функцию аудита с организационными приоритетами. [19] [20] Независимые экспертные оценки являются частью процесса обеспечения качества для многих групп внутреннего аудита, поскольку они часто требуются стандартами. [21] Полученный отчет о экспертной оценке предоставляется аудиторскому комитету.
Руководитель отдела аудита (CAE) обычно ежеквартально отчитывается перед аудиторским комитетом о наиболее критических проблемах , а также о прогрессе руководства в их решении. Критические проблемы обычно имеют обоснованную вероятность нанести существенный финансовый или репутационный ущерб компании. В случае особенно сложных проблем ответственный менеджер может участвовать в обсуждении. Такая отчетность имеет решающее значение для обеспечения соблюдения функции, наличия надлежащего « тона наверху » в организации и ускорения решения таких проблем. Выбор соответствующих проблем для аудиторского комитета и их описание в надлежащем контексте — вопрос серьезного суждения.
Часть философии и подхода внутреннего аудита заимствована из работы Лоуренса Сойера. Его философия и руководство по роли внутреннего аудита были предшественниками современного определения внутреннего аудита. Они подчеркивали помощь руководству и совету в достижении целей организации посредством обоснованных аудитов, оценок и анализов операционных областей. Он призывал современного внутреннего аудитора действовать как советник руководства, а не как противник. Сойер видел аудиторов как активных игроков, влияющих на события в бизнесе, а не как критиков всех степеней ошибок и промахов. Он также предвидел более желательное будущее аудиторов, включающее более прочные отношения с членами аудиторского комитета и совета и развод от прямого подчинения главному финансовому директору. [22]
Сойер часто говорил о том, чтобы «поймать менеджера, делающего что-то правильно» и обеспечить признание и положительное подкрепление. Писать о положительных наблюдениях в аудиторских отчетах редко приходилось, пока Сойер не начал говорить об этой идее. Он понимал и предсказывал преимущества предоставления более сбалансированной отчетности при одновременном построении лучших отношений. Сойер понимал психологию межличностной динамики и необходимость для всех людей получать признание и подтверждение для процветания отношений. [22]
Сойер помог сделать внутренний аудит более актуальным и интересным, сосредоточившись на операционном или операционном аудите. Он настоятельно рекомендовал выйти за рамки финансовых отчетов и финансового аудита и перейти к таким областям, как закупки, складирование и дистрибуция, человеческие ресурсы, информационные технологии, управление объектами, обслуживание клиентов, полевые операции и управление программами. Такой подход помог вывести главного аудитора на роль уважаемого и знающего консультанта, который, как считалось, был разумным, объективным и заинтересованным в том, чтобы помочь организации достичь поставленных целей. [22]
«Модель трех линий обороны» [23] [24] [25] [26] — это структура, описывающая взаимосвязь между бизнес-функциями , управлением рисками и внутренним аудитом, определяющая, как должны быть разделены обязанности; она разработана для «обеспечения эффективного и прозрачного управления рисками», делая отчетливыми подотчетности. Терминология аналогична военной « Линии обороны » (и концепции глубокоэшелонированной обороны ).
В более поздних версиях модели [26] гарантии от «внешних независимых органов» рассматриваются как четвертая линия защиты; здесь внешний аудитор и другие лица предоставляют гарантии и информацию Совету директоров и «явно считаются независимыми».
«Последней линией обороны» [27] от риска является капитал , поскольку достаточный его объем «гарантирует, что фирма может продолжать свою деятельность, даже если понесены существенные и непредвиденные убытки»; [27] см. Рисковый капитал , Нормативный капитал , Управление финансовыми рисками и Непрерывность деятельности § Планы руководства .
Внутренний аудит играет важную роль в поддержании эффективного контроля, смягчающего возникающие риски. Предприятия увеличат риск или упустят возможность, если аудиторы не будут решать риски, связанные с нарушениями. [28] Майкл Г. Аллес обсуждал, что Большие данные — это подрывная инновация , которую аудиторы должны внедрять на практике. [29] Исследование 2019 года « Ответ внутренних аудиторов на подрывные инновации » сообщает об эволюции внутреннего аудита для реагирования на изменения. Рассматриваемые нарушения включают аналитику данных, гибкие процессы, облачные вычисления, роботизированную автоматизацию процессов, непрерывный аудит, нормативные изменения и искусственный интеллект. [30]