В организации со зрелой системой корпоративного управления отчет включает:
- Определение целей и содержания задания
- Наблюдения и выводы
- Рекомендации и планы действий руководства.
Выводы аудиторов, применяющих риск-ориентированный подход, основаны на оценке функционирования проверяемой деятельности компании и управленческих критериев, которые декларируют руководство. В отчете внутренние аудиторы выражают мнение о том, насколько адекватно существующие в организации меры управления рисками, а также процедуры внутреннего контроля минимизируют риски и способствуют достижению целей организации.
Формирование отчета невозможно без сбора и документирования аудиторских наблюдений. Для того, чтобы качественно описать наблюдения, необходимо знать, какие управленческие критерии утверждены руководством (ситуация «как должно быть»), и уметь проводить аналитические процедуры на сопоставление критериев с реальностью (ситуация «как есть» или «текущее состояние»).
Ниже представлен алгоритм, который часто применяется в риск-ориентированном внутреннем аудите для описания обнаружений и формирования рекомендаций:
- Критерии: стандарты, измерители или ожидания, используемые при оценке и/или верификации (ситуация «как есть»)
- Текущее состояние: фактические доказательства, собранные внутренним аудитором в процессе проверки (ситуация «как должно быть»)
- Причины: причины расхождений между ожидаемыми и реальными условиями
- Последствия: описание последствий рисков, которые могут реализоваться вследствие расхождений критериев с текущим состоянием.
Рассмотрим конкретный пример:
- Критерии: на проектах по внедрению новой информационной системы должностные обязанности разработчика программного обеспечения и системного администратора должны быть четко разделены.
- Текущее состояние: в филиале «Север» один и тот же сотрудник выполняет обязанности разработчика и системного администратора.
- Причины: отсутствие описаний функциональных обязанностей каждого из сотрудников и коммуникации критериев, заявленных управляющей компанией.
- Последствия: реализация рисков возникновения системных ошибок и угрозы мошенничества в новой информационной системе.
Полностью отчет может быть представлен в следующем формате.
Вводная часть:
- Оглавление
- Список адресантов
- Цели аудита, объем и подход
- Краткое содержание для руководителей высшего звена.
Основная часть:
- Обнаружения (позитивные и негативные)
- Выводы и рекомендации
- План действий руководства
- Благодарность за помощь, оказанную СВА.
Приложения:
- Аудиторское задание
- Блок-схемы бизнес-процессов.
Отметим, что формат и содержание отчета о результатах задания различается в зависимости от организации, уровня управления и типа задания. Важно понимать, что отчет отражает текущий подход к принципам работы внутреннего аудита в той или иной организации. Как правило, содержание отчета позволяет четко выявить соответствует ли внутренний аудит риск-ориентированной концепции и направлены ли рекомендации аудиторов на улучшение процессов управления рисками и внутреннего контроля.
Хотите получить самые актуальные знания о внутреннем аудите?
Узнайте больше о возможностях обучения в Академии бизнеса Б1
Оставьте свой комментарий