international standards for the professional practice of ... · Стандарты...

International standards for the professionalpractice of internal auditing

Международные профессиональныестандарты внутреннего аудита

TMTM

Международные профессиональныестандарты внутреннего аудита (Стандарты)

Стандарты качественных характеристик

1000 – Цели, полномочия и ответственность

Цели, полномочия и ответственность внутреннего аудита должны быть определены во внутреннем документе организации (Положении о внутреннем аудите),соответствующем Определению внутреннего аудита, Кодексу этики и Стандартам.Руководитель внутреннего аудита должен периодически рассматривать вопрос о необходимости внесения изменений в Положение о внутреннем аудите и представлятьПоложение на одобрение высшему исполнительному руководству и Совету.

Интерпретация:

Положение о внутреннем аудите является внутренним документом, определяющим цели, полномочия и обязанности подразделения внутреннего аудита. В Положении о внутреннем аудите определяются статус внутреннего аудита в организации, объем и содержание деятельности внутреннего аудита, закрепляется право доступа к документации, сотрудникам и материальным активам при выполнениисоответствующих заданий. Решение об окончательном одобрении Положения о внутреннем аудите принимает Совет.

1000.А1 – Характер услуг по предоставлению гарантий, оказываемых организации,должен быть определен Положением о внутреннем аудите. Если гарантиипредоставляются третьим сторонам вне организации, характер таких гарантий также должен быть определен Положением о внутреннем аудите.

1000.С1 – Характер консультационных услуг должен быть определен Положением овнутреннем аудите.

International standards for theprofessional practice of internalauditng (Standards)

Attribute Standards

1000 – Purpose, Authority, and Responsibility

The purpose, authority, and responsibility of the internal audit activitymust be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive must periodically review the internal audit charter and present it to senior management and the board for approval.

Interpretation:

The internal audit charter is a formal document that defines the internal audit activity's purpose, authority, and responsibility.The internal audit charter establishes the internal audit activity's position within the organization; authorizes access to records,personnel, and physical properties relevant to the performance of engagements; and defines the scope of internal audit activities.Final approval of the internal audit charter resides with the board.

1000.A1 – The nature of assurance services provided to the organizationmust be defined in the internal audit charter. If assurances are to be provided to parties outside the organization, the nature of these assurances must also be defined in the internal audit charter.

1000.C1 – The nature of consulting services must be defined in the internal audit charter.

Международные профессиональные стандарты внутреннего аудита 3

International standards for the professional practice of internal auditing 4

1010 – Признание Определения внутреннего аудита, Кодекса этики и Стандартов

в Положении о внутреннем аудите

Положении о внутреннем аудите должно содержаться указание на обязательностьприменения Определения внутреннего аудита, Кодекса этики и Стандартов.Руководителю внутреннего аудита следует обсудить Определение внутреннегоаудита, Кодекс этики и Стандарты с высшим исполнительным руководством и Советом.

1100 – Независимость и объективность

Внутренний аудит должен быть независимым, а внутренние аудиторы должны бытьобъективными при выполнении своих обязанностей.


Независимость — это свобода от условий, которые создают угрозу способностиподразделения внутреннего аудита или руководителя внутреннего аудитабеспристрастно выполнять свои обязанности. Для того чтобы достичь степенинезависимости, необходимой для эффективного выполнения подразделениемвнутреннего аудита своих обязанностей, руководитель внутреннего аудита должениметь прямой и свободный доступ к высшему исполнительному руководству и Совету.Этого можно достичь путем установления подотчетности двум сторонам. Проблемынезависимости необходимо решать на уровнях индивидуального аудитора,аудиторского задания, функциональном и организационном уровнях.

Объективность — это мысленная установка, которая позволяет внутреннимаудиторам выполнять задания беспристрастно, таким образом чтобы они самииспытывали доверие к результатам своей работы и не допускали компромиссов в отношении ее качества. Объективность требует, чтобы внутренний аудитор не подчинял свое мнение по вопросам аудита мнению других лиц.Угрозыобъективности должны рассматриваться на уровнях индивидуального аудитора,аудиторского задания, функциональном и организационном уровнях.

1110 – Организационная независимость

Руководитель внутреннего аудита должен отчитываться органу управления такогоуровня, который позволил бы подразделению внутреннего аудита выполнять своиобязанности. Руководитель внутреннего аудита должен подтверждать Совету факторганизационной независимости внутреннего аудита, по крайней мере, один раз в год.

1010 – Recognition of the Definition of Internal Auditing, the Code

of Ethics, and the Standards in the Internal Audit Charter

The mandatory nature of the Definition of Internal Auditing, the Code of Ethics, and the Standards must be recognized in the internal auditcharter. The chief audit executive should discuss the Definition of InternalAuditing, the Code of Ethics, and the Standards with seniormanagement and the board.

1100 – Independence and Objectivity

The internal audit activity must be independent, and internal auditorsmust be objective in performing their work.

Interpretation:

Independence is the freedom from conditions that threaten the abilityof the internal audit activity or the chief audit executive to carry outinternal audit responsibilities in an unbiased manner.To achieve the degree of independence necessary to effectively carry out the responsibilities of the internal audit activity, the chief audit executivehas direct and unrestricted access to senior management and the board.This can be achieved through a dual-reporting relationship.Threats to independence must be managed at the individual auditor,engagement, functional, and organizational levels.

Objectivity is an unbiased mental attitude that allows internal auditors to perform engagements in such a manner that they believein their work product and that no quality compromises are made.Objectivity requires that internal auditors do not subordinate theirjudgment on audit matters to others.Threats to objectivity must be managed at the individual auditor, engagement, functional,and organizational levels.

1110 – Organizational Independence

The chief audit executive must report to a level within the organizationthat allows the internal audit activity to fulfill its responsibilities. The chief audit executive must confirm to the board, at least annually, the organizational independence of the internal audit activity.


1110.А1 – Внутренний аудит должен быть свободен от вмешательства третьих лиц в процесс определения объема внутреннего аудита, проведения работ и представления отчетности о результатах.

1111 – Прямое взаимодействие с Советом

Руководитель внутреннего аудита должен поддерживать отношения и напрямуювзаимодействовать с Советом.

1120 – Индивидуальная объективность

Внутренние аудиторы должны быть беспристрастны и непредвзяты в своей работе и избегать конфликта интересов любого рода.


Конфликт интересов — это ситуация, когда внутренний аудитор, являющийся лицом,облеченным доверием, имеет конкурирующий профессиональный или личный интерес.Наличие таких конкурирующих интересов может помешать внутреннему аудиторувыполнять свои обязанности беспристрастно. Конфликт интересов может существоватьдаже в тех случаях, когда он не приводит к неэтичным или неправильным действиям.Конфликт интересов может привести к возникновению видимости ненадлежащегоповедения, что может подорвать доверие к внутреннему аудитору, подразделениювнутреннего аудита и к профессии в целом. Конфликт интересов может повредитьспособности аудитора объективно выполнять свои функции и обязанности.

1130 – Факторы, отрицательно влияющие на независимость и объективность

Если независимость или объективность подвергаются или воспринимаются какподвергающиеся отрицательному воздействию, информация об этом должна бытьраскрыта соответствующим сторонам. Метод раскрытия информации зависит отхарактера отрицательного воздействия.


Отрицательное воздействие на организационную независимость и индивидуальнуюобъективность может быть связано с личным конфликтом интересов, ограничениямиобъема аудита, права доступа к документации, сотрудникам, активам и ограничениями в ресурсах, в том числе финансировании, но не ограничивается этим.

Стороны,которым должна быть раскрыта информация об отрицательном воздействии на организационную независимость и индивидуальную объективность,определяются,исходя из ожиданий в отношении обязанностей подразделения внутреннего аудита и его руководителя перед высшим исполнительным руководством и Советом,как этоопределено в Положении о внутреннем аудите,а также от характера данного воздействия.

1110.A1 – The internal audit activity must be free from interference in determining the scope of internal auditing, performing work, and communicating results.

1111 – Direct Interaction with the Board

The chief audit executive must communicate and interact directly with the board.

1120 – Individual Objectivity

Internal auditors must have an impartial, unbiased attitude and avoid any conflict of interest.

Interpretation:

Conflict of interest is a situation in which an internal auditor, who is in a position of trust, has a competing professional or personal interest. Such competing interests can make it difficult to fulfill his or her duties impartially. A conflict of interest exists even if no unethicalor improper act results. A conflict of interest can create an appearanceof impropriety that can undermine confidence in the internal auditor,the internal audit activity, and the profession. A conflict of interestcould impair an individual's ability to perform his or her duties and responsibilities objectively.

1130 – Impairment to Independence or Objectivity

If independence or objectivity is impaired in fact or appearance, the details of the impairment must be disclosed to appropriate parties.The nature of the disclosure will depend upon the impairment.

Interpretation:

Impairment to organizational independence and individual objectivity mayinclude, but is not limited to, personal conflict of interest, scope limitations,restrictions on access to records, personnel, and properties, and resourcelimitations, such as funding.

The determination of appropriate parties to which the details of an impairmentto independence or objectivity must be disclosed is dependent upon theexpectations of the internal audit activity’s and the chief audit executive’sresponsibilities to senior management and the board as described in theinternal audit charter, as well as the nature of the impairment.


1130.А1 – Внутренние аудиторы должны воздерживаться от проведения оценки тех областей, за которые они раньше несли ответственность. Считается, чтообъективность подвергается отрицательному воздействию, если внутренний аудитор предоставляет гарантии в той области, за которую он отвечал в течениепредшествующего года.

1130.А2 – Выполнение аудиторских заданий по предоставлению гарантий в тех областях,за которые отвечает руководитель внутреннего аудита, должно осуществляться поднадзором стороны, независимой по отношению к внутреннему аудиту.

1130.С1 – Внутренние аудиторы могут предоставлять консультационные услуги в тех областях, за которые они ранее несли ответственность.

1130.С2 – Если независимость и объективность внутренних аудиторов могутподвергнуться отрицательному воздействию в связи с предполагаемым заданием по консультированию, информация об этом должна быть раскрыта клиенту до принятия задания к исполнению.

1200 – Профессионализм и профессиональное отношение к работе

Внутренние аудиторы должны выполнять аудиторские задания на должномпрофессиональном уровне.

1210 – Профессионализм

Внутренние аудиторы должны обладать знаниями, навыками и другими компетенциями,необходимыми для выполнения своих должностных обязанностей. Для выполнения стоящихперед подразделением внутреннего аудита задач, сотрудники подразделения должныколлективно обладать необходимыми знаниями, навыками и другими компетенциями илиполучить их.


Знания, навыки и другие компетенции — это общий термин, относящийся кпрофессиональной грамотности, которая требуется от внутренних аудиторов дляэффективного выполнения своих профессиональных обязанностей. Внутреннимаудиторам рекомендуется демонстрировать свой профессионализм путем получениясоответствующих профессиональных сертификатов и квалификаций, таких какДипломированный внутренний аудитор (Certified Internal Auditor, CIA) и другиесертификаты, предлагаемые международным Институтом внутренних аудиторов и другими профессиональными организациями.

1130.A1 – Internal auditors must refrain from assessing specific operationsfor which they were previously responsible. Objectivity is presumed to be impaired if an internal auditor provides assurance services for an activity for which the internal auditor had responsibility within the previous year.

1130.A2 – Assurance engagements for functions over which the chiefaudit executive has responsibility must be overseen by a partyoutside the internal audit activity.

1130.C1 – Internal auditors may provide consulting services relatingto operations for which they had previous responsibilities.

1130.C2 – If internal auditors have potential impairments toindependence or objectivity relating to proposed consulting services, disclosure must be made to the engagement client prior to acceptingthe engagement.

1200 – Proficiency and Due Professional Care

Engagements must be performed with proficiency and due professional care.

1210 – Proficiency

Internal auditors must possess the knowledge, skills, and other competencies needed to perform their individual responsibilities. The internal audit activity collectively must possess or obtain the knowledge, skills, and other competencies needed to perform its responsibilities.

Interpretation:

Knowledge, skills, and other competencies is a collective term that refersto the professional proficiency required of internal auditors to effectivelycarry out their professional responsibilities. Internal auditors are encouraged to demonstrate their proficiency by obtaining appropriate professional certifications and qualifications, such as the Certified InternalAuditor designation and other designations offered by The Institute of Internal Auditors and other appropriate professional organizations.


1210.А1 – Руководитель внутреннего аудита должен обратиться за советом и содействием в случае, если сотрудники внутреннего аудита не имеют достаточныхзнаний, навыков или других компетенций для выполнения аудиторского задания или его части.

1210.А2 – Внутренние аудиторы должны обладать достаточными знаниями, чтобыоценить риск мошенничества и то, каким образом организация управляет этим риском.В то же время не предполагается, что внутренние аудиторы обладают компетенциейспециалиста, чья основная функция заключается в выявлении и расследовании фактов мошенничества.

1210.А3 – Внутренние аудиторы должны обладать достаточными знаниями о ключевых рисках и процедурах контроля, связанных с информационнымитехнологиями, и уметь использовать автоматизированные методы аудита в объеме,достаточном для выполнения порученных заданий. В то же время не предполагается,что все внутренние аудиторы обладают компетенцией внутреннего аудитора, чья основная функция заключается в аудите информационных технологий.

1210.С1 – Руководитель внутреннего аудита должен отказаться от задания по оказаниюконсультационных услуг или обратиться за советом и содействием в случае, еслисотрудники внутреннего аудита не обладают достаточными знаниями, навыками и другими компетенциями для выполнения аудиторского задания или его части.

1220 – Профессиональное отношение к работе

Внутренние аудиторы должны быть добросовестны и применять свои навыки и умения, как это ожидается от здравомыслящего и компетентного внутреннего аудитора.Профессиональное отношение к работе не означает, что аудитор не имеет права на ошибку.

1220.А1 – Внутренние аудиторы должны проявлять профессиональное отношение к работе, принимая во внимание:

• объем работы, необходимый для достижения целей аудиторского задания;

• относительную сложность, существенность или значимость вопросов, в отношении которых предоставляются гарантии;

• адекватность и эффективность процессов корпоративного управления, управления рисками и контроля;

• вероятность существенных ошибок, мошенничества или несоблюдения процедур;

• затраты на предоставление аудиторских гарантий в сравнении с потенциальными выгодами.

1210.A1 – The chief audit executive must obtain competent advice and assistance if the internal auditors lack the knowledge,skills, or other competencies needed to perform all or part of the engagement.

1210.A2 – Internal auditors must have sufficient knowledge to evaluatethe risk of fraud and the manner in which it is managed by theorganization, but are not expected to have the expertise of a person whose primary responsibility is detecting and investigating fraud.

1210.A3 – Internal auditors must have sufficient knowledge of keyinformation technology risks and controls and available technology-based audit techniques to perform their assigned work. However, not all internal auditors are expected to have the expertise of an internal auditor whose primary responsibility is information technology auditing.

1210.C1 – The chief audit executive must decline the consultingengagement or obtain competent advice and assistance if the internalauditors lack the knowledge, skills, or other competencies needed to perform all or part of the engagement.

1220 – Due Professional Care

Internal auditors must apply the care and skill expected of a reasonablyprudent and competent internal auditor. Due professional care does notimply infallibility.

1220.A1 – Internal auditors must exercise due professional care by considering the:

• Extent of work needed to achieve the engagement’s objectives;

• Relative complexity, materiality, or significance of matters to which assurance procedures are applied;

• Adequacy and effectiveness of governance, risk management, and control processes;

• Probability of significant errors, fraud, or noncompliance; and

• Cost of assurance in relation to potential benefits.


1220.А2 – Проявляя профессиональное отношение к работе, внутренний аудитордолжен рассмотреть возможность применения автоматизированных методов аудита и других методов анализа данных.

1220.А3 – Внутренние аудиторы должны быть готовы выявлять существенные риски,способные оказать воздействие на цели, деятельность или ресурсы организации. Тем не менее, процедуры, осуществляемые при предоставлении аудиторских гарантий,даже если они проведены на должном профессиональном уровне, сами по себе не гарантируют выявления всех существенных рисков.

1220.С1 – Внутренние аудиторы должны проявлять профессиональное отношение к работе в ходе оказания консультационных услуг, принимая во внимание:

• потребности и ожидания клиентов, включая характер и сроки выполнения задания, а также форму отчетности о результатах;

• относительную сложность и объем работы, необходимой для достижения целей аудиторского задания;

• затраты на предоставление консультационных услуг в сравнении с потенциальными выгодами.

1230 – Непрерывное профессиональное развитие

Внутренние аудиторы должны совершенствовать свои знания, навыки и другиекомпетенции путем непрерывного профессионального развития.

1300 – Программа гарантии и повышения качества внутреннего аудита

Руководитель внутреннего аудита должен разработать и поддерживать программугарантии и повышения качества, охватывающую все виды деятельности внутреннегоаудита.


Программа гарантии и повышения качества разрабатывается для того, чтобы провестиоценку соответствия деятельности внутреннего аудита Определению внутреннегоаудита и Стандартам и оценку соответствия деятельности внутренних аудиторовКодексу этики. Программа также предусматривает оценку эффективности и результативности внутреннего аудита и выявление возможностей длясовершенствования деятельности.

1220.A2 – In exercising due professional care internal auditors mustconsider the use of technology-based audit and other data analysistechniques.

1220.A3 – Internal auditors must be alert to the significant risks thatmight affect objectives, operations, or resources. However, assuranceprocedures alone, even when performed with due professional care, do not guarantee that all significant risks will be identified.

1220.C1 – Internal auditors must exercise due professional care during a consulting engagement by considering the:

• Needs and expectations of clients, including the nature, timing, and communication of engagement results;

• Relative complexity and extent of work needed to achieve the engagement’s objectives; and

• Cost of the consulting engagement in relation to potential benefits.

1230 – Continuing Professional Development

Internal auditors must enhance their knowledge, skills, and other competencies through continuing professional development.

1300 – Quality Assurance and Improvement Program

The chief audit executive must develop and maintain a quality assurance and improvement program that covers all aspects of the internal audit activity.

Interpretation:

A quality assurance and improvement program is designed to enable an evaluation of the internal audit activity’s conformance with theDefinition of Internal Auditing and the Standards and an evaluation of whether internal auditors apply the Code of Ethics. The program alsoassesses the efficiency and effectiveness of the internal audit activity and identifies opportunities for improvement.


1310 – Требования программы гарантии и повышения качества

Программа гарантии и повышения качества должна включать как внутренние, так и внешние оценки.

1311 – Внутренние оценки

Внутренние оценки должны включать:

• текущий мониторинг деятельности внутреннего аудита;

• периодические проверки, проводимые внутренними аудиторами путем самооценки или другими сотрудниками организации, обладающими достаточными знаниями в области внутреннего аудита.


Текущий мониторинг является неотъемлемой частью ежедневного анализа и оценки деятельности внутреннего аудита.Текущий мониторинг включается в политики и процедуры по управлению внутренним аудитом; при этомиспользуются процессы, инструменты и информация, которые считаютсянеобходимыми для оценки соответствия Определению внутреннего аудита, Кодексуэтики и Стандартам.

Периодические проверки — это проверки, проводимые для оценки соответствияОпределению внутреннего аудита, Кодексу этики и Стандартам.

Достаточные знания в области внутреннего аудита требуют, по крайней мере,понимания всех элементов Международных основ профессиональной практики.

1312 – Внешние оценки

Внешние оценки должны проводиться, как минимум, один раз в пять летквалифицированным и независимым экспертом или группой экспертов, не являющихсясотрудниками организации. Руководитель внутреннего аудита должен обсудить с Советом:

• необходимость проведения более частых внешних оценок;

• квалификацию и независимость внешнего эксперта или группы экспертов, включая любой возможный конфликт интересов.


Квалифицированный и независимый внешний эксперт или группа экспертов — этолюди, компетентные в профессиональных вопросах внутреннего аудита и проведениявнешней оценки. Оценка компетентности внешнего эксперта или группы экспертовявляется профессиональным суждением, которое учитывает профессиональный

1310 – Requirements of the Quality Assurance and Improvement Program

The quality assurance and improvement program must include bothinternal and external assessments.

1311 – Internal Assessments

Internal assessments must include:

• Ongoing monitoring of the performance of the internal audit activity; and

• Periodic reviews performed through self-assessment or by other persons within the organization with sufficient knowledge of internalaudit practices.

Interpretation:

Ongoing monitoring is an integral part of the day-to-day supervision,review, and measurement of the internal audit activity. Ongoing monitoringis incorporated into the routine policies and practices used to manage the internal audit activity and uses processes, tools, and information considered necessary to evaluate conformance with the Definition of Internal Auditing, the Code of Ethics, and the Standards.

Periodic reviews are assessments conducted to evaluate conformance withthe Definition of Internal Auditing, the Code of Ethics,and the Standards.

Sufficient knowledge of internal audit practices requires at least anunderstanding of all elements of the International Professional PracticesFramework.

1312 – External Assessments

External assessments must be conducted at least once every five years by a qualified, independent reviewer or review team from outside the organization. The chief audit executive must discuss with the board:

• The need for more frequent external assessments; and

• The qualifications and independence of the external reviewer or reviewteam, including any potential conflict of interest.

Interpretation:

A qualified reviewer or review team consists of individuals who are competent in the professional practice of internal auditing and the externalassessment process.The evaluation of the competency of the reviewer andreview team is a judgment that considers the professional internal audit


опыт в области внутреннего аудита и свидетельства профессиональнойквалификации лиц, выбранных для проведения проверки. Оценка квалификациитакже учитывает размер и сложность организаций, с которыми эксперты имелиотношения ранее, в сравнении с проверяемой организацией, а также необходимостьналичия знаний о конкретном секторе, отрасли или технических знаний.

Независимость эксперта или группы экспертов предполагает отсутствиефактического или видимого конфликта интересов. Независимые эксперты не могут быть работниками или находиться под контролем организации, функциювнутреннего аудита которой они проверяют.

1320 – Отчетность по программе гарантии и повышения качества

Руководитель внутреннего аудита должен информировать высшее исполнительноеруководство и Совет о результатах программы гарантии и повышения качества.


Форма, содержание и частота информирования о результатах программы гарантии и повышения качества устанавливаются в ходе обсуждений с высшимисполнительным руководством и Советом с учетом обязанностей подразделениявнутреннего аудита и его руководителя, определенных в Положении о внутреннемаудите. С целью продемонстрировать соответствие Определению внутреннегоаудита, Кодексу этики и Стандартам, результаты внешних и периодическихвнутренних оценок сообщаются по завершении таких оценок, а результаты текущегомониторинга – по крайней мере, ежегодно. Результаты включают данную экспертомили группой экспертов оценку степени соответствия.

1321 – Использование фразы «соответствует Международным

профессиональным стандартам внутреннего аудита»

Руководитель внутреннего аудита может утверждать, что деятельность внутреннегоаудита осуществляется в соответствии с Международными профессиональнымистандартами внутреннего аудита, только в том случае, если результаты программыгарантии и повышения качества подтверждают это.

1322 – Раскрытие информации о несоответствии

Если несоответствие Определению внутреннего аудита, Кодексу этики и Стандартамвлияет на общие объем и содержание или деятельность внутреннего аудита,руководитель внутреннего аудита должен сообщить о факте несоответствия и его последствиях высшему исполнительному руководству и Совету.

experience and professional credentials of the individuals selected to perform the review.The evaluation of qualifications also considers the size and complexity of the organizations that the reviewers have beenassociated with in relation to the organization for which the internal auditactivity is being assessed, as well as the need for particular sector,industry, or technical knowledge.

An independent reviewer or review team means not having either a realor an apparent conflict of interest and not being a part of, or under thecontrol of, the organization to which the internal audit activity belongs.

1320 – Reporting on the Quality Assurance and Improvement Program

The chief audit executive must communicate the results of the quality assurance and improvement program to senior management and the board.

Interpretation:

The form,content,and frequency of communicating the results of the qualityassurance and improvement program is established through discussionswith senior management and the board and considers the responsibilitiesof the internal audit activity and chief audit executive as contained in the internal audit charter.To demonstrate conformance with the Definitionof Internal Auditing, the Code of Ethics, and the Standards, the results of external and periodic internal assessments are communicated uponcompletion of such assessments and the results of ongoing monitoring are communicated at least annually.The results include the reviewer’s or review team’s assessment with respect to the degree of conformance.

1321 – Use of “Conforms with the International Standards

for the Professional Practice of Internal Auditing”

The chief audit executive may state that the internal audit activity conforms with the International Standards for the Professional Practice of Internal Auditing only if the results of the quality assurance and improvement program support this statement.

1322 – Disclosure of Nonconformance

When nonconformance with the Definition of Internal Auditing, the Code of Ethics, or the Standards impacts the overall scope oroperation of the internal audit activity, the chief audit executive mustdisclose the nonconformance and the impact to senior management

and the board.


Стандарты деятельности (Performance standards)

2000 – Управление внутренним аудитом

Руководитель внутреннего аудита должен эффективно управлять подразделениемвнутреннего аудита таким образом, чтобы обеспечить его полезность дляорганизации.


Эффективным считается такое управление подразделением внутреннего аудита, когда:

• результаты, достигнутые в ходе работы внутреннего аудита, соответствуют целям и обязанностям, содержащимся в Положении о внутреннем аудите;

• деятельность внутреннего аудита соответствует Определению внутреннего аудитаи Стандартам;

• лица,работающие в подразделении внутреннего аудита,демонстрируют соответствиетребованиям Кодекса этики и Стандартов.

2010 – Планирование

Руководитель внутреннего аудита должен составить риск-ориентированный план,определяющий приоритеты внутреннего аудита в соответствии с целями организации.


Руководитель внутреннего аудита отвечает за разработку риск-ориентированного плана.Руководитель внутреннего аудита принимает во внимание концепцию управлениярисками, принятую в организации, включая использование определенных исполнительнымруководством уровней риск-аппетита для различных видов деятельности илиподразделений организации. Если такой концепции в организации нет, руководительслужбы внутреннего аудита применяет собственное суждение о рисках, сформированноепосле консультаций с высшим исполнительным руководством и Советом.

2010.А1 – План работы внутреннего аудита должен основываться наформализованной оценке рисков, проводимой, по крайней мере, один раз в год. При составлении плана должно учитываться мнение высшего исполнительногоруководства и Совета.

Performance Standards

2000 – Managing the Internal Audit Activity

The chief audit executive must effectively manage the internal audit activity to ensure it adds valueto the organization.

Interpretation:

The internal audit activity is effectively managed when:

• The results of the internal audit activity’s work achieve the purposeand responsibility included in the internal audit charter;

• The internal audit activity conforms with the Definition of InternalAuditing and the Standards; and

• The individuals who are part of the internal audit activity demonstrateconformance with the Code of Ethics and the Standards.

2010 – Planning

The chief audit executive must establish risk-based plans to determinethe priorities of the internal audit activity, consistent with theorganization’s goals.

Interpretation:

The chief audit executive is responsible for developing a risk-basedplan.The chief audit executive takes into account the organization’s riskmanagement framework, including using risk appetite levels set bymanagement for the different activities or parts of the organization.If a framework does not exist, the chief audit executive uses his/her ownjudgment of risks after consultation with senior management and theboard.

2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk assessment,undertaken at least annually. The input of senior management andthe board must be considered in this process.


2010.С1 – Руководитель внутреннего аудита должен оценить предложенныезадания по консультированию с точки зрения возможностей улучшения процессауправления рисками и совершенствования деятельности организации привыполнении заданий. Принятые к исполнению задания должны быть включены в план.

2020 – Представление и утверждение планов

Руководитель внутреннего аудита должен представить на рассмотрение иутверждение высшему исполнительному руководству и Совету планы работывнутреннего аудита с указанием ресурсов, необходимых для их выполнения, а такжеинформацию о существенных изменениях планов в течение отчетного периода.Руководитель внутреннего аудита также должен сообщать о влиянии ограничений вресурсах на деятельность внутреннего аудита.

2030 – Управление ресурсами

Руководитель внутреннего аудита должен обеспечивать наличие соответствующих идостаточных ресурсов, а также их эффективное использование для выполненияутвержденного плана.


Термин «соответствующий» предполагает сочетание знаний, навыков и другихкомпетенций, необходимых для выполнения плана.Термин «достаточный» относится кколичеству ресурсов, необходимых для выполнения плана. Ресурсы используютсяэффективно, если выполнение утвержденного плана достигается оптимальнымобразом.

2040 – Политики и процедуры

Руководитель внутреннего аудита должен внедрить внутренние политики ипроцедуры, регулирующие деятельность подразделения внутреннего аудита.


Форма и содержание политик и процедур зависят от размера и структурыподразделения внутреннего аудита и сложности выполняемой им работы.

2050 – Координация деятельности

В целях обеспечения надлежащего охвата и минимизации двойной работы руководителю внутреннего аудита следует обмениватьсяинформацией и координировать деятельность с другими внутренними и внешнимисторонами, оказывающими услуги по предоставлению гарантий и консультаций.

2010.C1 – The chief audit executive should consider acceptingproposed consulting engagements based on the engagement’spotential to improve management of risks, add value, and improve theorganization’s operations. Accepted engagements must be included inthe plan.

2020 – Communication and Approval

The chief audit executive must communicate the internal audit activity’splans and resource requirements, including significant interim changes,to senior management and the board for review and approval. The chiefaudit executive must also communicate the impact of resourcelimitations.

2030 – Resource Management

The chief audit executive must ensure that internal audit resources areappropriate, sufficient, and effectively deployed to achieve the approvedplan.

Interpretation:

Appropriate refers to the mix of knowledge, skills, and othercompetencies needed to perform the plan. Sufficient refers to the quantity of resources needed to accomplish the plan.Resources are effectively deployed when they are used in a way that optimizes the achievement of the approved plan.

2040 – Policies and Procedures

The chief audit executive must establish policies and procedures to guide the internal audit activity.

Interpretation:

The form and content of policies and procedures are dependent upon thesize and structure of the internal audit activity and the complexity of its work.

2050 – Coordination

The chief audit executive should share information and coordinateactivities with other internal and external providers of assurance andconsulting services to ensure proper coverage and minimize duplication of efforts.


2060 – Отчетность перед высшим исполнительным руководством и Советом

Руководитель внутреннего аудита должен периодически отчитываться перед высшимисполнительным руководством и Советом о целях, полномочиях и обязанностяхвнутреннего аудита, а также о ходе выполнения плана работы. Отчет должен такжесодержать информацию о существенных рисках и проблемах контроля, включая рискимошенничества, проблемах корпоративного управления, другие сведения, необходимыевысшему исполнительному руководству и Совету.


Частота представления отчетности и ее содержание определяются в ходеобсуждений с высшим исполнительным руководством и Советом и зависят отважности сообщаемой информации и срочности действий, требуемых со сторонывысшего исполнительного руководства и Совета.

2100 – Сущность работы внутреннего аудита

Внутренний аудит должен проводить оценку и способствовать совершенствованиюпроцессов корпоративного управления, управления рисками и контроля, используясистематизированный и последовательный подход.

2110 – Корпоративное управление

Внутренний аудит должен давать оценку и соответствующие рекомендации посовершенствованию корпоративного управления применительно к следующимзадачам:

• популяризация этических норм и ценностей внутри организации

• обеспечение эффективного управления деятельностью организации иответственного отношения к работе;

• передача соответствующей информации по вопросам рисков и контроля внутриорганизации;

• координация деятельности и обмен информацией между Советом, внешними и внутренними аудиторами и исполнительным руководством организации.

2110.А1 – Внутренний аудит должен оценивать дизайн, реализацию иэффективность целей, программ и деятельности организации в вопросах,связанных с этикой.

2110.А2 – Внутренний аудит должен оценить, соответствует ли система управленияинформационными технологиями стратегии и целям организации.

2060 – Reporting to Senior Management and the Board

The chief audit executive must report periodically to senior managementand the board on the internal audit activity’s purpose, authority,responsibility, and performance relative to its plan. Reporting must also include significant risk exposures and control issues, including fraudrisks, governance issues, and other matters needed or requested bysenior management and the board.

Interpretation:

The frequency and content of reporting are determined in discussionwith senior management and the board and depend on the importanceof the information to be communicated and the urgency of the relatedactions to be taken by senior management or the board.

2100 – Nature of Work

The internal audit activity must evaluate and contribute to theimprovement of governance, risk management, and control processesusing a systematic and disciplined approach.

2110 – Governance

The internal audit activity must assess and make appropriaterecommendations for improving the governance process in itsaccomplishment of the following objectives:

• Promoting appropriate ethics and values within the organization;

• Ensuring effective organizational performance management and accountability;

• Communicating risk and control information to appropriate areas of the organization; and

• Coordinating the activities of and communicating information amongthe board, external and internal auditors, and management.

2110.A1 – The internal audit activity must evaluate the design,implementation, and effectiveness of the organization’s ethics-relatedobjectives, programs, and activities.

2110.A2 – The internal audit activity must assess whether the information technology governance of the organization sustainsand supports the organization’s strategies and objectives.


2110.С1 – Цели заданий по консультированию должны соответствовать общимценностям и целям организации.

2120 – Управление рисками

Внутренний аудит должен оценивать эффективность и способствоватьсовершенствованию процессов управления рисками.


Определение эффективности процессов управления рисками основывается на суждениивнутреннего аудитора, сформированном по результатам оценки следующих категорий:

• цели организации соответствуют ее миссии;

• существенные риски выявляются и оцениваются;

• выбираются такие меры реагирования на риски, которые позволяют удерживатьриски в рамках риск-аппетита организации;

• информация, касающаяся рисков, своевременно фиксируется передается внутриорганизации, что дает возможность персоналу, исполнительному руководству иСовету выполнять свои обязанности.

Мониторинг процессов управления рисками осуществляется в рамках текущейдеятельности, с помощью специальных оценок или же того и другого.

2120.А1 – Внутренний аудит должен оценивать риски, связанные с корпоративнымуправлением, операционной деятельностью организации и ее информационнымисистемами, в части:

• достоверности и целостности информации о финансово-хозяйственной деятельности;

• эффективности и результативности деятельности;

• сохранности активов;

• соответствия требованиям законов, нормативных актов и договорных обязательств.

2120.А2 – Внутренний аудит должен оценивать возможность совершениямошенничества и то, как организация управляет риском мошенничества.

2120.С1 – В ходе выполнения заданий по консультированию внутренние аудиторыдолжны учитывать риски в соответствии с целями задания, а также быть готовымик наличию других существенных рисков.

2110.C1 – Consulting engagement objectives must be consistent withthe overall values and goals of the organization.

2120 – Risk Management

The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes.

Interpretation:

Determining whether risk management processes are effective is a judgment resulting from the internal auditor’s assessment that:

• Organizational objectives support and align with the organization’s mission;

• Significant risks are identified and assessed;

• Appropriate risk responses are selected that align risks with the organization’s risk appetite; and

• Relevant risk information is captured and communicated in a timelymanner across the organization, enabling staff, management,and the board to carry out their responsibilities.

Risk management processes are monitored through ongoing managementactivities, separate evaluations, or both.

2120.A1 – The internal audit activity must evaluate risk exposuresrelating to the organization’s governance, operations, and informationsystems regarding the:

• Reliability and integrity of financial and operationalinformation.

• Effectiveness and efficiency of operations.

• Safeguarding of assets; and

• Compliance with laws, regulations, and contracts.

2120.A2 – The internal audit activity must evaluate the potential for theoccurrence of fraud and how the organization manages fraud risk.

2120.C1 – During consulting engagements, internal auditors mustaddress risk consistent with the engagement’s objectives and be alert to the existence of other significant risks.


2120.С2 – Внутренние аудиторы должны использовать знания о рисках, полученные в ходе выполнения заданий по консультированию, в процессе оценки процессовуправления рисками организации.

2120.С3 – Помогая руководству в организации или улучшении процессов управления рисками, внутренние аудиторы должнывоздерживаться от непосредственного участия в управлении рисками, чтоявляется ответственностью исполнительного руководства

2130 – Контроль

Внутренний аудит должен помогать организации в поддержании эффективнойсистемы внутреннего контроля, оценивая ее эффективность и результативность и содействуя постоянному совершенствованию системы.

2130.А1 – Внутренний аудит должен оценивать адекватность и эффективностьконтроля над рисками в сфере корпоративного управления, операционнойдеятельности организации и ее информационных систем, в части:

• достоверности и целостности информации о финансово-хозяйственнойдеятельности;

• эффективности и результативности деятельности;

• сохранности активов;

• соответствия требованиям законов, нормативных актов и договорныхобязательств.

2130.А2 – Внутренним аудиторам следует определить, были ли разработанытекущие и проектные цели и задачи подразделений, и оценить, насколько онисоответствуют целям и задачам всей организации.

2130.А3 – Внутренним аудиторам следует провести анализ операционнойдеятельности подразделений и анализ проектов на соответствие фактическихрезультатов поставленным целям и задачам с целью определить, ведется лиработа в соответствии с намеченными планами.

2130.С1 – В ходе выполнения заданий по консультированию внутренние аудиторыдолжны уделить внимание вопросам контроля в соответствии с целями задания, а также быть готовыми к наличию существенных недостатков контроля.

2120.C2 – Internal auditors must incorporate knowledge of risks gained from consulting engagements into their evaluation of the organization’s riskmanagement processes.

2120.C3 – When assisting management in establishing or improvingrisk management processes, internal auditors must refrain fromassuming any management responsibility by actually managing risks.

2130 – Control

The internal audit activity must assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement.

2130.A1 – he internal audit activity must evaluate the adequacy andeffectiveness of controls in responding to risks within the organization’sgovernance, operations, and information systems regarding the:

• Reliability and integrity of financial and operational information;

• Effectiveness and efficiency of operations;

• Safeguarding of assets; and

• Compliance with laws, regulations, and contracts.

2130.A2 – Internal auditors should ascertain the extent to whichoperating and program goals and objectives have been establishedand conform to those of the organization.

2130.A3 – Internal auditors should review operations and programs toascertain the extent to which results are consistent with establishedgoals and objectives to determine whether operations and programs are being implemented or performed as intended.

2130.C1 – During consulting engagements, internal auditors mustaddress controls consistent with the engagement’s objectives and bealert to significant control issues.


2130.С2 – Внутренние аудиторы должны использовать знания о контроле,полученные в ходе выполнения заданий по консультированию, при оценкепроцессов внутреннего контроля в организации.

2200 – Планирование аудиторского задания

Внутренние аудиторы должны составлять и документировать план выполнениякаждого аудиторского задания, включающий цели, объем задания, его сроки ираспределение ресурсов.

2201 – Что необходимо учитывать при планировании

В ходе планирования аудиторского задания внутренние аудиторы должны учитывать:

• задачи объекта аудиторского задания, а также средства, с помощью которыхобъект контролирует свою деятельность;

• существенные риски, относящиеся к объекту аудиторского задания, его целям,ресурсам и хозяйственной деятельности, а также методы удержания рисков наприемлемых уровнях;

• адекватность и эффективность процессов управления рисками и контроля объектааудита в сравнении с соответствующей моделью контроля;

• возможности значительного совершенствования процессов управления рисками ивнутреннего контроля.

2201.A1 – При планировании аудиторских заданий, пользователями результатовкоторых будут внешние стороны, внутренние аудиторы должны в письменной формесогласовать цели, содержание, соответствующие обязанности и другие ожидания,включая ограничения на распространение результатов выполнения задания и доступк аудиторской документации.

2201.С1 – Внутренние аудиторы должны согласовать со стороной, получающейконсультации, цели, содержание задания по консультированию, вопросыответственности и другие ожидания. Для наиболее важных заданий согласование должно проводиться в письменном виде.

2210 – Цели аудиторского задания

Для каждого аудиторского задания должны быть определены его цели.

2210.А1 – Внутренний аудитор должен провести предварительную оценку рисков,относящихся к объекту аудита. Цели аудиторского задания должны соответствоватьрезультатам этой оценки.

2130.C2 – Internal auditors must incorporate knowledge of controlsgained from consulting engagements into evaluation of theorganization’s control processes.

2200 – Engagement Planning

Internal auditors must develop and document a plan for eachengagement, including the engagement’s objectives, scope, timing, and resource allocations.

2201 – Planning Considerations

In planning the engagement, internal auditors must consider:

• The objectives of the activity being reviewed and the means by whichthe activity controls its performance;

• The significant risks to the activity, its objectives, resources, andoperations and the means by which the potential impact of risk is kept to an acceptable level;

• The adequacy and effectiveness of the activity’s risk management andcontrol processes compared to a relevant control framework or model; and

• The opportunities for making significant improvements to the activity’srisk management and control processes.

2201.A1 – When planning an engagement for parties outside theorganization, internal auditors must establish a written understandingwith them about objectives, scope, respective responsibilities, andother expectations, including restrictions on distribution of the resultsof the engagement and access to engagement records.

2201.C1 – Internal auditors must establish an understanding withconsulting engagement clients about objectives, scope, respectiveresponsibilities, and other client expectations. For significant engagements, this understanding must be documented.

2210 – Engagement Objectives

Objectives must be established for each engagement.

2210.A1 – Internal auditors must conduct a preliminary assessment ofthe risks relevant to the activity under review. Engagement objectivesmust reflect the results of this assessment.


2210.А2 – Определяя цели аудиторского задания, внутренние аудиторы должныучитывать вероятность существенных ошибок, мошенничества, несоблюденияпроцедур и другие риски.

2210.А3 – При оценке процедур контроля должны использоваться адекватныекритерии оценки. Внутренние аудиторы должны убедиться в том, что исполнительноеруководство установило адекватные критерии оценки достижения целей и выполнения задач. Если критерии адекватны, внутренние аудиторы должныруководствоваться ими. В обратном случае, внутренние аудиторы должны совместнос исполнительным руководством выработать надлежащие критерии оценки.

2210.С1 – Цели заданий по консультированию должны включать рассмотрениепроцессов корпоративного управления, управления рисками и контроля воговоренных с клиентом пределах.

2220 – Объем и содержание аудиторского задания

Объем и содержание аудиторского задания должны быть достаточными длядостижения целей задания.

2220.А1 – В объем и содержание задания должно включаться изучениесоответствующих систем, документации, персонала и материальных активов,включая те, что находятся под контролем третьих лиц.

2220.А2 – Если в ходе выполнения услуг по предоставлению гарантий возникаетвозможность оказания консультационных услуг в существенном объеме, следуетсогласовать с клиентом в письменной форме цели, содержание, соответствующиеобязанности и другие вопросы; результаты консультационного задания должныбыть доведены до сведения клиента в соответствии со стандартами,относящимися к консультационным услугам.

2220.С1 – Выполняя консультационное задание внутренние аудиторы, должныубедиться, что его объем и содержание достаточны для достижениясогласованных целей. Если внутренние аудиторы в процессе выполнения заданияиспытывают сомнения в отношении объема и содержания задания, эти сомнениядолжны быть обсуждены с клиентом, чтобы решить, продолжать ли выполнениезадания.

2210.A2 – Internal auditors must consider the probability of significanterrors, fraud, noncompliance, and other exposures when developing the engagement objectives.

2210.A3 – Adequate criteria are needed to evaluate controls. Internalauditors must ascertain the extent to which management hasestablished adequate criteria to determine whether objectives andgoals have been accomplished. If adequate, internal auditors mustuse such criteria in their evaluation. If inadequate, internal auditorsmust work with management to develop appropriate evaluation criteria.

2210.C1 – Consulting engagement objectives must addressgovernance, risk management, and control processes to the extentagreed upon with the client.

2220 – Engagement Scope

The established scope must be sufficient to satisfy the objectives of the engagement.

2220.A1 – The scope of the engagement must include considerationof relevant systems, records, personnel, and physical properties,including those under the control of third parties.

2220.A2 – If significant consulting opportunities arise during an assurance engagement, a specific written understanding as to the objectives, scope, respective responsibilities, and otherexpectations should be reached and the results of the consultingengagement communicated in accordance with consulting standards.

2220.C1 – In performing consulting engagements, internal auditorsmust ensure that the scope of the engagement is sufficient to address the agreed-upon objectives. If internal auditors develop reservationsabout the scope during the engagement, these reservations must be discussed with the client to determine whether to continue with the engagement.


2230 – Распределение ресурсов на выполнение аудиторского задания

Внутренние аудиторы должны определить объем ресурсов, необходимых длядостижения целей аудиторского задания, исходя из характера и степени сложностикаждого аудиторского задания, ограничений по срокам и доступных ресурсов.

2240 – Программа аудиторского задания

Внутренние аудиторы должны разрабатывать и документировать программы работ, позволяющие достичь цели задания.

2240.А1 – В программах должны определяться процедуры сбора, анализа, оценки идокументирования информации в процессе выполнения задания. Программадолжна быть утверждена до начала ее выполнения. Любые изменения программытакже должны быть своевременно утверждены.

2240.С1 – Программы заданий по консультированию могут различаться по форме исодержанию в зависимости от характера задания.

2300 – Выполнение задания

Внутренние аудиторы должны собрать, проанализировать, оценить и оформитьдокументально информацию в объеме, достаточном для достижения целей задания.

2310 – Сбор информации

Внутренние аудиторы должны собрать достаточный объем надежной, уместной иполезной информации для достижения целей задания.


Достаточная информация – информация, которая основывается на фактах и убедительнанастолько, что здравомыслящий и информированный пользователь на ее основаниипридет к тем же выводам, что и аудитор. Надежная информация — это наиболее полнаяи заслуживающая доверия информация, которую возможно получить, применяянадлежащие аудиторские процедуры.Уместная информация – информация, котораяподтверждает наблюдения и рекомендации и соответствует целям задания. Полезнаяинформация – информация, которая помогает организации достигать своих целей.

2320 – Анализ и оценка

Внутренние аудиторы должны формулировать выводы и представлять результатызадания на основе соответствующего анализа и оценки информации.

2230 – Engagement Resource Allocation

Internal auditors must determine appropriate and sufficient resources toachieve engagement objectives based on an evaluation of the nature andcomplexity of each engagement, time constraints, and available resources.

2240 – Engagement Work Program

Internal auditors must develop and document work programs thatachieve the engagement objectives.

2240.A1 – Work programs must include the procedures for identifying,analyzing, evaluating, and documenting information during theengagement. The work program must be approved prior to itsimplementation, and any adjustments approved promptly.

2240.C1 – Work programs for consulting engagements may vary in formand content depending upon the nature of the engagement.

2300 – Performing the Engagement

Internal auditors must identify, analyze, evaluate, and document sufficientinformation to achieve the engagement’s objectives.

2310 – Identifying Information

Internal auditors must identify sufficient, reliable, relevant, and usefulinformation to achieve the engagement’s objectives.

Interpretation:

Sufficient information is factual, adequate, and convincing so that a prudent, informed person would reach the same conclusions as theauditor. Reliable information is the best attainable information throughthe use of appropriate engagement techniques. Relevant informationsupports engagement observations and recommendations and isconsistent with the objectives for the engagement. Useful informationhelps the organization meet its goals.

2320 – Analysis and Evaluation

Internal auditors must base conclusions and engagement results on appropriate analyses and evaluations.


2330 – Документирование информации

Внутренние аудиторы должны документировать соответствующую информацию в целяхобоснования выводов и результатов аудиторского задания.

2330.А1 – Руководитель внутреннего аудита должен контролировать доступ кдокументам, относящимся к заданию. Перед тем как передавать документывнешней стороне, руководитель внутреннего аудита должен в соответствующемпорядке получить одобрение высшего исполнительного руководства и/илиюридического подразделения организации.

2330.А2 – Руководитель внутреннего аудита должен разработать правила хранения документов, относящихся к заданию, независимо от формы носителя информации. Эти правила должны соответствовать внутренним организационно-распорядительным документам организации и нормамзаконодательства.

2330.С1 – Руководитель внутреннего аудита должен разработать политикуполучения, хранения и передачи внутренним и внешним сторонам документов,относящихся к аудиторскому заданию по консультированию. Эта политика должнасоответствовать внутренним организационно-распорядительным документаморганизации и нормам законодательства.

2340 – Контроль над выполнением задания

Для достижения поставленных целей, обеспечения качества работы и повышенияквалификации сотрудников подразделения внутреннего аудита необходим должныйконтроль над выполнением задания.


Требуемая степень контроля будет зависеть от уровня профессионализма и опытавнутренних аудиторов, а также сложности задания. Руководитель внутреннего аудитанесет общую ответственность за контроль над выполнением задания, котороеделается самим внутренним аудитом или для внутреннего аудита, но может поручитьосуществлять контроль сотрудникам, обладающим надлежащим опытом работы во внутреннем аудите. Надлежащие свидетельства осуществления контроля должны документироваться и храниться.

2400 – Информирование о результатах

Внутренние аудиторы должны сообщать о результатах выполнения задания.

2330 – Documenting Information

Internal auditors must document relevant information to support theconclusions and engagement results.

2330.A1 – The chief audit executive must control access to engagement records. The chief audit executive must obtain the approval of senior management and/or legal counsel prior to releasing such records to external parties, as appropriate.

2330.A2 – The chief audit executive must develop retentionrequirements for engagement records, regardless of the medium in which each record is stored. These retention requirements must beconsistent with the organization’s guidelines and any pertinentregulatory or other requirements.

2330.C1 – The chief audit executive must develop policies governingthe custody and retention of consulting engagement records, as wellas their release to internal and external parties. These policies mustbe consistent with the organization’s guidelines and any pertinentregulatory or other requirements.

2340 – Engagement Supervision

Engagements must be properly supervised to ensure objectives areachieved, quality is assured, and staff is developed.

Interpretation:

The extent of supervision required will depend on the proficiency andexperience of internal auditors and the complexity of the engagement.The chief audit executive has overall responsibility for supervising the engagement, whether performed by or for the internal audit activity,but may designate appropriately experienced members of the internalaudit activity to perform the review.Appropriate evidence of supervisionis documented and retained.

2400 – Communicating Results

Internal auditors must communicate the engagement results.


2410 – Критерии информирования

Сообщения о результатах должны содержать определения целей, объема и содержаниязадания, а также соответствующие заключения, рекомендации и планы действий.

2410.А1 – В окончательном варианте отчетности о результатах задания должносодержаться общее мнение и/или заключение внутреннего аудитора в случае, еслиэто необходимо.

2410.А2 – Внутренним аудиторам рекомендуется включать положительные оценкидеятельности объекта аудита в сообщение по результатам задания.

2410.А3 – При направлении результатов задания внешним сторонам сообщениедолжно содержать информацию об ограничениях в их распространении ииспользовании.

2410.С1 – Сообщения о ходе выполнения и результатах заданий по консультированию могут различаться по форме и содержанию в зависимости от характера задания и потребности клиента.

2420 – Качество сообщений

Сообщения должны быть точными, объективными, ясными, краткими,конструктивными, полными и своевременными.


Точными являются сообщения, которые не содержат ошибок и искажений и правдивоописывают соответствующие факты. Объективными являются достоверные ибеспристрастные сообщения, которые появляются в результате справедливой исбалансированной оценки всех относящихся к делу фактов и обстоятельств. Яснымиявляются сообщения, которые легко воспринимаемы и логичны, не используютненужные технические термины и обеспечивают пользователей всей существенной иотносящейся к делу информацией. Краткими являются сообщения, которые относятся к рассматриваемому вопросу и не содержат ненужных отступлений, избыточнойдетализации и многословности. Конструктивными являются сообщения, которыепомогают клиенту и организации и предлагают необходимые улучшения, еслинеобходимо. Полными являются сообщения, которые для целевой аудитории содержатвсю важную, существенную и относящуюся к делу информацию и наблюдения,необходимые для обоснования выводов и рекомендаций. Своевременными являютсясообщения, которые сделаны в необходимые сроки в зависимости от важностивопроса, чтобы дать возможность исполнительному руководству принятьсоответствующие меры по исправлению ситуации.

2410 – Criteria for Communicating

Communications must include the engagement’s objectives and scopeas well as applicable conclusions, recommendations, and action plans.

2410.A1 – Final communication of engagement results must, whereappropriate, contain internal auditors’ overall opinion and/orconclusions.

2410.A2 – Internal auditors are encouraged to acknowledgesatisfactory performance in engagement communications.

2410.A3 – When releasing engagement results to parties outside the organization, the communication must includelimitations on distribution and use of the results.

2410.C1 – Communication of the progress and results of consultingengagements will vary in form and content depending upon thenature of the engagement and the needs of the client.

2420 – Quality of Communications

Communications must be accurate, objective, clear, concise,constructive, complete, and timely.

Interpretation:

Accurate communications are free from errors and distortions and arefaithful to the underlying facts. Objective communications are fair,impartial, and unbiased and are the result of a fair-minded andbalanced assessment of all relevant facts and circumstances. Clearcommunications are easily understood and logical, avoidingunnecessary technical language and providing all significant andrelevant information. Concise communications are to the point and avoidunnecessary elaboration, superfluous detail, redundancy,and wordiness.Constructive communications are helpful to the engagement client and theorganization and lead to improvements where needed. Completecommunications lack nothing that is essential to the target audience andinclude all significant and relevant information and observations tosupport recommendations and conclusions.Timely communications areopportune and expedient,depending on the significance of the issue,allowing management to take appropriate corrective action.


2421 – Ошибки и упущения

Если в окончательном варианте отчетности содержится существенная ошибка илиупущение, руководитель внутреннего аудита должен довести исправленнуюинформацию до сведения всех лиц, получивших первоначальный вариант отчетности

2430 – Использование фразы «выполнено в соответствии с Международными

профессиональными стандартами внутреннего аудита»

Внутренние аудиторы могут сообщать в отчетах, что их задания «выполнены всоответствии с Международными профессиональными стандартами внутреннегоаудита», только в том случае, если это подтверждается результатами программыгарантии и повышения качества внутреннего аудита

2431 – Раскрытие информации о несоответствии в рамках задания

Если в рамках отдельного задания имело место несоответствие Определениювнутреннего аудита, положениям Кодекса этики или Стандартов, отчет долженсодержать следующее:

• Принцип или статью Кодекса этики или Стандартов, соответствие которому (которой) не было обеспечено полностью или частично;

• причину(ы) несоответствия;

• влияние несоответствия на выполнение задания и его результаты.

2440 – Сообщение результатов

Руководитель внутреннего аудита должен довести результаты задания до сведениясоответствующих лиц.


Руководитель внутреннего аудита или назначенное им лицо проверяет и утверждаетокончательную отчетность по результатам задания перед ее выпуском и решает, комуи каким образом она представляется.

2440.А1 – Руководитель внутреннего аудита доводит результаты задания досведения лиц, которые могут обеспечить их должное рассмотрение.

2440.А2 – Если иное не определено законодательными и нормативными актами,руководитель внутреннего аудита, прежде чем передать результаты сторонниморганизациям, должен:

2421 – Errors and Omissions

If a final communication contains a significant error or omission, thechief audit executive must communicate corrected information to allparties who received the original communication.

2430 – Use of “Conducted in Conformance with the International

Standards for the Professional Practice of Internal Auditing”

Internal auditors may report that their engagements are “conducted in conformance with the International Standards for theProfessional Practice of Internal Auditing”, only if the results of the qualityassurance and improvement program support the statement.

2431 – Engagement Disclosure of Nonconformance

When nonconformance with the Definition of Internal Auditing, the Codeof Ethics or the Standards impacts a specific engagement,communication of the results must disclose the:

• Principle or rule of conduct of the Code of Ethics or Standard(s) with which full conformance was not achieved;

• Reason(s) for nonconformance; and

• Impact of nonconformance on the engagement and the communicated engagement results.

2440 – Disseminating Results

The chief audit executive must communicate results to the appropriate parties.

Interpretation:

The chief audit executive or designee reviews and approves the finalengagement communication before issuance and decides to whom andhow it will be disseminated.

2440.A1 – The chief audit executive is responsible for communicating the final results to parties who can ensure that theresults are given due consideration.

2440.A2 – If not otherwise mandated by legal, statutory, or regulatoryrequirements, prior to releasing results to parties outside theorganization the chief audit executive must:


• оценить возможные риски для организации;

• при необходимости проконсультироваться в установленном порядке с высшим исполнительным руководством и/или юридическим подразделением;

• контролировать распространение информации, устанавливая ограничения на ее использование.

2440.С1 – Руководитель внутреннего аудита должен довести до клиентовокончательные результаты задания по консультированию.

2440.С2 – В ходе выполнения заданий по консультированию могут быть обнаруженыпроблемы в области корпоративного управления, управления рисками и внутреннегоконтроля. В случае если эти проблемы являются существенные, они должны бытьдоведены до сведения высшего исполнительного руководства и Совета.

2500 – Мониторинг действий по результатам задания

Руководитель внутреннего аудита должен разработать и поддерживать систему мониторингадействий исполнительного руководства, предпринимаемых по результатам задания.

2500.А1 – Руководитель внутреннего аудита должен разработать процесс последующегомониторинга, цель которого — убедиться, что предпринятые исполнительнымруководством действия были эффективными или что высшее исполнительноеруководство приняло риск, решив не предпринимать никаких действий.

2500.С1 – Внутренний аудит должен осуществлять мониторинг результатов заданияпо консультированию в согласованных с клиентом пределах.

2600 – Рассмотрение риска, принятого высшим исполнительным руководством

Если, по мнению руководителя внутреннего аудита, уровень остаточного риска,принятого высшим исполнительным руководством, не может быть приемлемым дляорганизации, руководитель внутреннего аудита должен обсудить этот вопрос с высшим исполнительным руководством. Если проблема, связанная с остаточнымриском, по-прежнему осталась нерешенной, руководитель внутреннего аудита долженпередать вопрос на рассмотрение Совету.

• Assess the potential risk to the organization;

• Consult with senior management and/or legal counsel asappropriate; and

• Control dissemination by restricting the use of the results.

2440.C1 – The chief audit executive is responsible for communicatingthe final results of consulting engagements to clients.

2440.C2 – During consulting engagements, governance, riskmanagement, and control issues may be identified. Whenever theseissues are significant to the organization, they must be communicatedto senior management and the board.

2500 – Monitoring Progress

The chief audit executive must establish and maintain a system tomonitor the disposition of results communicated to management.

2500.A1 – The chief audit executive must establish a follow-upprocess to monitor and ensure that management actions have beeneffectively implemented or that senior management has accepted therisk of not taking action.

2500.C1 – The internal audit activity must monitor the disposition ofresults of consulting engagements to the extent agreed upon with theclient.

2600 – Resolution of Senior Management’s Acceptance of Risks

When the chief audit executive believes that senior management hasaccepted a level of residual risk that may be unacceptable to theorganization, the chief audit executive must discuss the matter withsenior management. If the decision regarding residual risk is notresolved, the chief audit executive must report the matter to the board forresolution.


Словарь терминов

Приносить пользу

Оказание услуг по предоставлению гарантий и консультационных услуг приноситпользу в виде расширения возможностей организации достигать поставленных целей,выявления возможностей совершенствования операционных процессов и/или снижения риска.

Адекватный контроль

Контроль является адекватным, когда исполнительное руководство спланировало и организовало (спроектировало) контроль таким образом, чтобы обеспечить разумнуюуверенность в том, что управление рисками осуществляется эффективно, а цели и задачи организации будут выполнены наиболее эффективным и экономическиоправданным способом.

Предоставление гарантий

Объективный анализ имеющихся аудиторских доказательств в целях представлениянезависимой оценки процессов корпоративного управления, управления рисками иконтроля в организации. В качестве примеров можно привести задания по финансовомуаудиту, аудиту эффективности, аудиту на соответствие требованиям, аудиту безопасностисистем и всестороннему анализу хозяйственной деятельности (due diligence engagements).

Совет

Орган управления организации, такой как Совет директоров, Наблюдательный совет,руководитель исполнительного или законодательного органа власти, советуправляющих или попечителей некоммерческой организации или другойуполномоченный орган управления организации, включая комитет по аудиту, которомуможет функционально подчиняться руководитель внутреннего аудита.

Положение, устав

Положение о внутреннем аудите является внутренним документом, определяющимцели, полномочия и обязанности подразделения внутреннего аудита. В Положении овнутреннем аудите определяются статус внутреннего аудита в организации, объем исодержание деятельности внутреннего аудита закрепляется право доступа кдокументации, сотрудникам и материальным активам при выполнениисоответствующих заданий.

Glossary

Add Value

Value is provided by improving opportunities to achieve organizationalobjectives, identifying operational improvement, and/or reducing riskexposure through both assurance and consulting services.

Adequate Control

Present if management has planned and organized (designed) in a manner that provides reasonable assurance that the organization’srisks have been managed effectively and that the organization’s goalsand objectives will be achieved efficiently and economically.

Assurance Services

An objective examination of evidence for the purpose of providing an independent assessment on governance, risk management, and control processes for the organization. Examples may includefinancial, performance, compliance, system security, and due diligenceengagements.

Board

A board is an organization’s governing body, such as a board ofdirectors, supervisory board, head of an agency or legislative body,board of governors or trustees of a nonprofit organization, or any other designated body of the organization, including the audit committee towhom the chief audit executive may functionally report.

Charter

The internal audit charter is a formal document that defines the internalaudit activity’s purpose, authority, and responsibility. The internal auditcharter establishes the internal audit activity’s position within theorganization; authorizes access to records, personnel, and physicalproperties relevant to the performance of engagements; and defines thescope of internal audit activities.


Руководитель внутреннего аудита

Высшее должностное лицо, ответственное за внутренний аудит в организации. Обычнотаким лицом является директор подразделения (службы) внутреннего аудита. В случаеесли услуги внутреннего аудита предоставляются внешней организацией, руководителемвнутреннего аудита является лицо, ответственное за обеспечение соблюденияконтракта и качественного выполнения услуг, отчитывающееся перед высшимруководством и Советом по результатам работы внутреннего аудита и контролядействий по результатам заданий. Этим термином также могут обозначаться такиедолжности, как главный аудитор, глава внутреннего аудита, главный внутренний аудитори главный ревизор.

Кодекс этики

Кодекс этики международного Института внутренних аудиторов (IIA) включаетПринципы, относящиеся к профессии и практике внутреннего аудита, и Правилаповедения, описывающие поведение, ожидаемое от внутренних аудиторов. Кодексэтики распространяется как на физических, так и на юридических лиц, оказывающихуслуги по внутреннему аудиту. Целью Кодекса этики является распространение высокихэтических норм в глобальном сообществе профессиональных внутренних аудиторов.

Соответствие

Соответствие требованиям политик, планов, процедур, законов, нормативных актов,договорных обязательств и другим требованиям.

Конфликт интересов

Любые отношения, которые фактически являются или могут быть восприняты как неотвечающие интересам организации. Конфликт интересов может нанести ущербспособности лица объективно выполнять свои обязанности.

Консультационные услуги

Деятельность по предоставлению клиенту советов, рекомендаций и т.д., характер исодержание которой согласовываются с клиентом, нацеленная на оказание помощи и совершенствование процессов корпоративного управления, управления рисками иконтроля, исключающая принятие внутренними аудиторами ответственности за управленческие решения. В качестве примера можно привести предоставлениесоветов и рекомендаций, оказание практической помощи и обучение персонала.

Chief Audit Executive

Chief audit executive is a senior position within the organizationresponsible for internal audit activities. Normally, this would be the internalaudit director. In the case where internal audit activities are obtained fromexternal service providers, the chief audit executive is the personresponsible for overseeing the service contract and the overall qualityassurance of these activities, reporting to senior management and theboard regarding internal audit activities, and follow-up of engagementresults. The term also includes titles such as general auditor, head ofinternal audit, chief internal auditor, and inspector general.

Code of Ethics

The Code of Ethics of The Institute of Internal Auditors (IIA) are Principlesrelevant to the profession and practice of internal auditing, and Rules ofConduct that describe behavior expected of internal auditors. The Code of Ethics applies to both parties and entities that provide internal auditservices. The purpose of the Code of Ethics is to promote an ethicalculture in the global profession of internal auditing.

Compliance

Adherence to policies, plans, procedures, laws, regulations, contracts, or other requirements.

Conflict of Interest

Any relationship that is, or appears to be, not in the best interest of theorganization. A conflict of interest would prejudice an individual’s abilityto perform his or her duties and responsibilities objectively.

Consulting Services

Advisory and related client service activities, the nature and scope ofwhich are agreed with the client, are intended to add value and improvean organization’s governance, risk management, and control processeswithout the internal auditor assuming management responsibility.Examples include counsel, advice, facilitation, and training.


Контроль

Любые действия руководства, Совета и других сторон по управлению рисками иповышению вероятности достижения поставленных целей и выполнения задач.Исполнительное руководство осуществляет планирование, организацию ируководство действиями, обеспечивающими разумную уверенность в том, что цели изадачи организации будут выполнены.

Контрольная среда

Общее отношение Совета и исполнительного руководства к необходимостиосуществления контроля в организации и предпринимаемые в этой связи действия.Контрольная среда позволяет обеспечить необходимую структуру и предпосылки длядостижения главных задач системы внутреннего контроля. Контрольная средавключает следующие элементы:

• этические ценности и честность;

• философия и стиль управления;

• организационная структура;

• распределение полномочий и ответственности;

• политики и процедуры в области управления персоналом;

• компетентность персонала.

Процессы контроля

Политики, процедуры и действия, являющиеся частью системы контроля и призванныеобеспечить уровень рисков в допустимых пределах, установленных в рамках процесса управления рисками.

Задание

Деятельность внутреннего аудита по выполнению конкретного поручения или задачиили по проведению проверки, такая как внутренняя аудиторская проверка,мониторинг самооценки системы контроля, расследование фактов мошенничества,проведение консультаций. Задание может предусматривать выполнение несколькихзадач, направленных на достижение целого ряда взаимосвязанных целей.

Цели задания

Разработанные внутренними аудиторами положения, определяющие ожидаемыерезультаты задания.

Программа аудиторского задания

Документ, описывающий процедуры, которые подлежат выполнению в рамкахзадания в целях выполнения плана задания.

Control

Any action taken by management, the board, and other parties tomanage risk and increase the likelihood that established objectives andgoals will be achieved. Management plans, organizes, and directs the performance of sufficient actions to provide reasonable assurancethat objectives and goals will be achieved.

Control Environment

The attitude and actions of the board and management regarding thesignificance of control within the organization. The control environmentprovides the discipline and structure for the achievement of the primaryobjectives of the system of internal control. The control environmentincludes the following elements:

• Integrity and ethical values.

• Management’s philosophy and operating style.

• Organizational structure.

• Assignment of authority and responsibility.

• Human resource policies and practices.

• Competence of personnel.

Control Processes

The policies, procedures, and activities that are part of a controlframework, designed to ensure that risks are contained within the risktolerances established by the risk management process.

Engagement

A specific internal audit assignment, task, or review activity, such as an internal audit, control self-assessment review, fraud examination, orconsultancy. An engagement may include multiple tasks or activitiesdesigned to accomplish a specific set of related objectives.

Engagement Objectives

Broad statements developed by internal auditors that define intendedengagement accomplishments.

Engagement Work Program

A document that lists the procedures to be followed during an engagement, designed to achieve the engagement plan.


Сторонняя организация по оказанию услуг

Внешнее для организации физическое или юридическое лицо, имеющее специальныезнания, навыки и опыт в конкретной области.

Мошенничество

Любые незаконные действия, характеризующиеся обманом, сокрытием илизлоупотреблением доверием. К мошенническим не относятся те действия, которыепроизводятся под воздействием силы или угрозы применения силы. Мошенничествосовершается физическими и юридическими лицами в целях получения денег,собственности или услуг, уклонения от выплаты денежных средств или оказания услугили в целях личной или коммерческой наживы.

Корпоративное управление

Совокупность процессов и организационных структур, создаваемая Советом дляинформирования, управления и мониторинга деятельности организации в целяхдостижения поставленных целей.

Отрицательные факторы

К факторам, отрицательно влияющим на индивидуальную объективность иорганизационную независимость, относятся конфликт интересов физического лица,ограничение полномочий аудита, ограничение доступа к документации, персоналу и активам, а также ограничения в ресурсах (финансирование).

Независимость

Свобода от обстоятельств, которые угрожают объективности или воспринимаются какугрожающие объективности. Проблемы независимости необходимо решать на уровняхиндивидуального аудитора, аудиторского задания, функциональном и организационномуровнях.

Контрольные процедуры в информационных технологиях

Контрольные процедуры, которые поддерживают руководство и управлениедеятельностью, а также обеспечивают общие и технические процедуры контроля вотношении элементов информационно-технологической инфраструктуры, таких какпрограммные приложения, информация, инфраструктура и персонал.

Система управления информационными технологиями

Включает в себя руководство, организационные структуры и процессы, которыеобеспечивают то, что информационные технологии организации соответствуют иподдерживают стратегии и цели организации.

External Service Provider

A person or firm outside of the organization that has special knowledge,skill, and experience in a particular discipline.

Fraud

Any illegal act characterized by deceit, concealment, or violation of trust.These acts are not dependent upon the threat of violence or physicalforce. Frauds are perpetrated by parties and organizations to obtainmoney, property, or services; to avoid payment or loss of services; or to secure personal or business advantage.

Governance

The combination of processes and structures implemented by the boardto inform, direct, manage, and monitor the activities of the organizationtoward the achievement of its objectives.

Impairment

Impairment to organizational independence and individual objectivitymay include personal conflict of interest, scope limitations, restrictions onaccess to records, personnel, and properties, and resource limitations(funding).

Independence

The freedom from conditions that threaten objectivity or the appearanceof objectivity. Such threats to objectivity must be managed at theindividual auditor, engagement, functional, and organizational levels.

Information Technology Controls

Controls that support business management and governance as well as provide general and technical controls over information technology infrastructures such as applications, information, infrastructure, andpeople.

Information Technology Governance

Consists of the leadership, organizational structures, and processes that ensure that the enterprise’s information technology sustains andsupports the organization’s strategies and objectives.


Деятельность (подразделение) внутреннего аудита

Отдел, подразделение, группа консультантов или других специалистов,предоставляющая независимые и объективные гарантии и консультации,направленные на совершенствование деятельности организации. Внутренний аудитпомогает организации достичь поставленных целей, используя систематизированный ипоследовательный подход к оценке и повышению эффективности процессовкорпоративного управления, управления рисками и контроля.

Международные основы профессиональной практики

Концептуальная основа, руководство обязательного характера, разработанное и опубликованное международным Институтом внутренних аудиторов (IIA).Опубликованное руководство состоит из двух частей: (1) обязательной дляиспользования и (2) настоятельно рекомендуемой для использования.

Должен

Стандарты используют слово «должен» в тех случаях, когда подразумеваетсяобязательное (безусловное) выполнение соответствующих положений.

Объективность

Мысленная установка, которая позволяет внутренним аудиторам беспристрастновыполнять задания таким образом, чтобы они сами испытывали доверие крезультатам своей работы и не допускали компромиссов в отношении ее качества.Объективность требует, чтобы внутренний аудитор не подчинял свое мнение повопросам аудита мнению других лиц.

Остаточные риски

риски, остающиеся после предпринятых руководством действий по уменьшениювоздействия и вероятности наступления негативных событий, в том числе послеосуществления контрольных процедур в отношении рисков.

Риск

Возможность наступления какого-либо события, которое может оказать влияние на достижение целей. Риск измеряется путем оценки последствий и вероятностинаступления события.

Риск-аппетит

Уровень риска, принимаемый организацией как приемлемый.

Internal Audit Activity

A department, division, team of consultants, or other practitioner(s) thatprovides independent, objective assurance and consulting servicesdesigned to add value and improve an organization’s operations. The internal audit activity helps an organization accomplish its objectives|by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of governance, risk management and control processes.

International Professional Practices Framework

The conceptual framework that organizes the authoritative guidancepromulgated by The IIA. Authoritative Guidance is comprised of twocategories – (1) mandatory and (2) strongly recommended.

Must

The Standards use the word “must” to specify an unconditionalrequirement.

Objectivity

An unbiased mental attitude that allows internal auditors to performengagements in such a manner that they have an honest belief in theirwork product and that no significant quality compromises are made.Objectivity requires internal auditors not to subordinate their judgment on audit matters to others.

Residual Risk

The risk remaining after management takes action to reduce the impactand likelihood of an adverse event, including control activities in responding to a risk.

Risk

The possibility of an event occurring that will have an impact on theachievement of objectives. Risk is measured in terms of impact andlikelihood.

Risk Appetite

The level of risk that an organization is willing to accept.


Управление рисками (Risk Management)

Процесс выявления, оценки, управления и контроля возможных событий или ситуаций для обеспечения разумных гарантий достижения организацией своих целей.

Следует

Стандарты используют слово «следует», когда ожидается следование Стандартам во всех случаях, кроме исключительных, обоснованных обстоятельствами илипрофессиональным суждением.

Существенность

Относительная значимость вопроса в рассматриваемом контексте, включаяколичественные и качественные факторы, такие как величина, характер, эффект,уместность и последствия. Профессиональное суждение помогает внутреннимаудиторам в оценке важности вопросов в контексте стоящих перед ними целей

Стандарт

Официальное профессиональное положение, опубликованное международнымИнститутом внутренних аудиторов, которое устанавливает требования к внутреннемуаудиту по широкому спектру вопросов, а также к оценке деятельности внутреннегоаудита.

Автоматизированные методы аудита

любые автоматизированные методы аудита, такие как общее программноеобеспечение, относящееся к аудиту, генераторы тестовых данных, компьютерныепрограммы для аудита, специальные приложения для аудита икомпьютеризированные аудиторские процедуры (CAAT’s).

Risk Management

A process to identify, assess, manage, and control potential events orsituations to provide reasonable assurance regarding the achievement of the organization’s objectives.

Should

The Standards use the word “should” where conformance is expectedunless, when applying professional judgment, circumstances justifydeviation.

Significance

The relative importance of a matter within the context in which it is beingconsidered, including quantitative and qualitative factors, such asmagnitude, nature, effect, relevance, and impact. Professional judgmentassists internal auditors when evaluating the significance of matterswithin the context of the relevant objectives.

Standard

A professional pronouncement promulgated by the Internal AuditStandards Board that delineates the requirements for performing a broadrange of internal audit activities, and for evaluating internal auditperformance.

Technology-based Audit Techniques

Any automated audit tool, such as generalized audit software, test datagenerators, computerized audit programs, specialized audit utilities, andcomputer-assisted audit techniques (CAATs).

Code of Ethics


TMTM

Code of Ethics30


Принципы

Внутренние аудиторы должны придерживаться следующих принципов.

1. Честность

Честность внутреннего аудитора является фундаментом, на котором основываетсядоверие к мнению аудитора.

2. Объективность

Внутренние аудиторы демонстрируют наивысший уровень профессиональнойобъективности в процессе сбора, оценки и передачи информации об объекте аудита.Внутренние аудиторы делают взвешенную оценку всех относящихся к делуобстоятельств и в своих суждениях не подвержены влиянию своих собственныхинтересов или интересов других лиц.

3. Конфиденциальность

Внутренние аудиторы уважительно относятся к праву собственности на информацию,которую они получают в процессе своей деятельности, и не разглашают информациюбез соответствующих на то полномочий, за исключением случаев, когда раскрытиетакой информации продиктовано юридическими или профессиональнымиобязанностями.

4. Профессиональная компетентность

Внутренние аудиторы применяют знания, навыки и опыт, необходимые для оказанияуслуг в сфере внутреннего аудита.

Code of Ethics

Principles

Internal auditors are expected to apply and uphold the following principles:

1. Integrity

The integrity of internal auditors establishes trust and thus providesthe basis for reliance on their judgment.

2. Objectivity

Internal auditors exhibit the highest level of professional objectivity in gathering, evaluating, and communicating information about theactivity or process being examined. Internal auditors make a balancedassessment of all the relevant circumstances and are not undulyinfluenced by their own interests or by others in forming judgments

3. Confidentiality

Internal auditors respect the value and ownership of information theyreceive and do not disclose information without appropriate authorityunless there is a legal or professional obligation to do so.

4. Competency

Internal auditors apply the knowledge, skills, and experience neededin the performance of internal audit services.

Кодекс этики 31

Правила поведения

1. Честность

Внутренние аудиторы:

1.1 должны быть выполнять свою работу честно, добросовестно и ответственно;

1.2 должны действовать в рамках закона и, если того требуют закон или профессиональные стандарты, раскрывать соответствующую информацию;

1.3 не должны сознательно участвовать в акциях или действиях, дискредитирующих профессию внутреннего аудитора или свою организацию;

1.4 должны уважать юридически и этически оправданные цели своей организации и вносить вклад в их достижение.

2. Объективность


2.1 не должны участвовать в какой-либо деятельности, которая могла бы нанести ущерб их беспристрастности или восприниматься как наносящая такой ущерб. Это также распространяется на деятельность и отношения, которые могут противоречить интересам организации;

2.2 не должны принимать в подарок ничего, что могло бы нанести ущерб их профессиональному мнению или восприниматься как наносящее такой ущерб;

2.3 должны раскрывать все известные им материальные факты, которые, не будучи раскрыты, могут исказить отчеты об объекте аудита.

3. Конфиденциальность


3.1 должны быть разумны и осмотрительны в использовании и сохраненииинформации, полученной в ходе выполнения своих обязанностей;

3.2 не должны использовать информацию в личных интересах или любым другимобразом, противоречащим закону или могущим нанести ущерб достижениююридически и этически оправданных целей организации.

Rules of Conduct

1. Integrity

Internal auditors:

1.1. Shall perform their work with honesty, diligence, and responsibility.

1.2. Shall observe the law and make disclosures expected by the law and the profession.

1.3. Shall not knowingly be a party to any illegal activity, or engage in acts that are discreditable to the profession of internal auditingor to the organization.

1.4. Shall respect and contribute to the legitimate and ethical objectives of the organization.

2. Objectivity

Internal auditors:

2.1. Shall not participate in any activity or relationship that may impair or be presumed to impair their unbiased assessment. This participation includes those activities or relationships that may be in conflict with the interests of the organization.

2.2. Shall not accept anything that may impair or be presumed to impair their professional judgment.

2.3. Shall disclose all material facts known to them that, if not disclosed, may distort the reporting of activities under review.

3. Confidentiality

Internal auditors:

3.1. Shall be prudent in the use and protection of information acquired in the course of their duties.

3.2. Shall not use information for any personal gain or in any manner that would be contrary to the law or detrimental to the legitimate and ethical objectives of the organization.

Code of Ethics32

4. Профессиональная компетентность


4.1. должны участвовать только в тех заданиях, для выполнения которых обладают достаточными профессиональными знаниями, навыками и опытом;

4.2. должны оказывать услуги внутреннего аудита в соответствии с Международными стандартами профессиональной практики внутреннего аудита;

4.3. должны непрерывно повышать свой профессионализм, а также эффективность и качество оказываемых услуг.

4. Competency

Internal auditors:

4.1. Shall engage only in those services for which they have the necessary knowledge, skills, and experience.

4.2. Shall perform internal audit services in accordance with the International Standards for the Professional Practice of Internal Auditing.

4.3. Shall continually improve their proficiency and the effectiveness and quality of their services.

© 2009 The Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs, Florida 32701-4201, USA.All rights reserved.

Permission has been obtained from the copyright holder, The Institute of Internal Auditors, 247 MaitlandAvenue, Altamonte Springs, Florida 32701-4201, USA, to publish this translation, which is the same in allmaterial respects, as the original unless approved as changed.

No part of this document may be reproduced, stored in any retrieval system, or transmitted in any form, or by any means electronic, mechanical, photocopying, recording, or otherwise, without prior writtenpermission of IIA, Inc.

© 2009 Институт внутренних аудиторов, 247 Матиленд Авеню, Алтамонте Спрингз, Флорида 32701-4201, США. Все права защищены.

От владельца авторского права, Института внутренних аудиторов, 247 Матиленд Авеню, Алтамонте Спрингз, Флорида 32701-4201,США, получено разрешение на публикацию настоящего перевода, который идентичен во всех существунных отношенияхоригиналу, если не была утверждена измененная редация.

Воспроизведение каких-либо частей настоящего документа, их храниие в информационно-поисковых системах, передача в любойформе, а также передача с использованием электронных, механических, фотокопировальных, записывающих и других средствзапрещена без предварительного письменного разрешения IIA, Inc.

Институт внутренних аудиторов

Некоммерческое партнерство «Институт внутренних аудиторов» (НП «ИВА») является профессиональной ассоциацией, объединяющейвнутренних аудиторов, сотрудников контрольно-ревизионных подразделений компаний, специалистов в области внутреннего контроля и управления рисками.

ИВА был создан в 2000 году. Членами ИВА являются представителироссийских и иностранных компаний, включая промышленные и торговыепредприятия, предприятия транспорта, связи, электроэнергетики, сферыуслуг, финансовые организации, аудиторские и консалтинговые компании и др.

Института внутренних аудиторов ставит своими целями:

• популяризацию в России профессии внутреннего аудитора

• содействие профессиональному развитию внутренних аудиторов

• выполнение экспертной роли в области внутреннего аудита

Членство в Институте внутренних аудиторов помогает оставаться напередовых рубежах в области внутреннего аудита, дает возможностьповысить квалификацию, способствует росту профессионального статуса.

Партнерами ИВА являются ведущие российские профессиональныеассоциации, союзы и институты в области аудита и корпоративногоуправления.

Контактная информация:

+7 (495) 748-05-32

[email protected]

www.iia-ru.ru

Активноесодействие

В современных условиях собственники и руководство

компаний ожидают от внутреннего аудита активного

содействия в оценке текущей экономической ситуации

и поиске ответных мер. Внимание службы внутреннего

аудита сосредоточено на оценке эффективности методов

и процессов управления рисками, на тех областях, которые

потенциально могут негативно повлиять на стоимость

компании. Не секрет, что инвесторы готовы больше

платить за акции эффективно управляемых компаний,

своевременно реагирующих на возникающие риски.

Мы поможем вам проанализировать эффективность

функции внутреннего аудита, процессов управления

рисками и системы корпоративного управления в целом.

Мы предлагаем широкий спектр решений:

• Построение службы внутреннего аудита

• Оценка эффективности функции внутреннегоаудита и последующая трансформация

• Аутсорсинг и совместные проекты по внутреннемуаудиту, включая проведение расследований

• Оценка эффективности механизмов корпоративногоуправления и процессов управления рисками

Контактная информация

Вероника Чарлесворт, директор+7 (495) 967-6146,

veroniс[email protected]

© 2009 PricewaterhouseCoopers. Все права защищены. Под «PricewaterhouseCoopers» и «PwC» понимаются фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством

international standards for the professional practice of ... · Стандарты...

Documents