Джерело: ibuhgalter.net
Наприкінці 2023 року Рада з міжнародних стандартів внутрішнього аудиту затвердила Глобальні стандарти внутрішнього аудиту. Цьому передував трирічний процес аналізу, розроблення, обговорення в робочих групах і публічного розгляду. Нові стандарти опубліковані 9 січня 2024 року й набирають чинності 9 січня 2025 року.
Глобальні стандарти поки що випущено в електронній формі англійською мовою на 120 сторінках, проте навіть перший погляд на документ дає розуміння, що змінилося. Для порівняння: англомовна версія чинних міжнародних стандартів професійної практики внутрішнього аудиту міститься на 25 сторінках. Отже, розберімося.
По-перше, упровадження Глобальних стандартів повністю змінює організацію та структуру Міжнародної основи професійної практики (МОПП).
Численні елементи обов’язкових і рекомендованих керівництв чинної МОПП (місія та визначення внутрішнього аудиту, основні принципи, стандарти, кодекс етики, керівництва з упровадження) буде замінено на Глобальні стандарти й Тематичні вимоги (про останні — трохи згодом). Це, зокрема, обумовлює обсяг опублікованого документа.
По-друге, змінилася організація та структура самих стандартів. На відміну від чинних, що поділяються на Стандарти якісних характеристик і Стандарти діяльності, Глобальні стандарти містять п’ять розділів:
I «Мета внутрішнього аудиту»;
II «Етичне ставлення та професіоналізм»;
III «Нагляд [Governing] за функцією внутрішнього аудиту»;
IV «Управління [Managing] функцією внутрішнього аудиту»;
V «Надання послуг внутрішнього аудиту».
Розділи II–V містять 15 принципів, дотримання яких має досягатися через виконання стандартів, що стосуються відповідних принципів (загальна кількість стандартів — 52).
По-третє, нумерація та структура окремих стандартів також зазнали змін. Номер окремого стандарту містить дві арабські цифри, перша з яких відповідає номеру принципу, до якого належить цей стандарт, а друга є порядковим номером стандарту (тобто нумерація стандартів така: 1.1, 1.2, 1.3, 2.1, 2.2, 2.3, … 15.2).
Кожен окремий стандарт складається з трьох елементів: вимоги, рекомендації з упровадження та приклади доказів відповідності.
Рекомендації з упровадження відповідають на питання, як можна досягти вимог стандарту, і пропонують найбільш поширені та прийнятні підходи.
Приклади доказів відповідності демонструють, як внутрішні аудитори можуть підтвердити відповідність стандарту. Такі приклади не обов’язкові, але мають допомогти внутрішнім аудиторам підготуватися до оцінювання якості. Рекомендації з упровадження та приклади знайомі тим, хто мав справу із чинними керівництвами з упровадження стандартів.
Якщо не зважати на розмір документа, то перші враження від формату Глобальних стандартів позитивне. Вони об’єднують у єдиний документ обов’язкові та рекомендовані керівництва, а принципи поєднано безпосередньо зі стандартами, на відміну від чинної версії МОПП, де основні принципи не мають прив’язки до стандартів. Навігація по стандартах стала зручнішою та зрозумілішою.
І щоб уже завершити з оновленою структурою МОПП, декілька слів — про тематичні вимоги. Їх розроблятимуть для підтримки внутрішніх аудиторів у наданні аудиторських послуг, пов’язаних зі специфічними та актуальними темами (ризиками). Переліку таких вимог ще остаточно не визначено, утім, попередньо до нього входять:
- кібербезпека;
- сталий розвиток та ESG;
- управління відносинами з третіми особами;
- управління інформаційними технологіями;
- управління ризиками шахрайства тощо.
Глобальні стандарти, безумовно, ще потребують ретельного вивчення, тому нижче наведемо лише окремі спостереження стосовно суті та змісту.
I «Мета внутрішнього аудиту»
Перший розділ об’єднує в собі місію та визначення внутрішнього аудиту, що наразі становлять частину чинної версії МОПП. На перший погляд, зміни радше косметичні. Глобальні стандарти визначають мету (іншим варіантом перекладу може бути «призначення») внутрішнього аудиту так: «Внутрішній аудит підсилює спроможність організації створювати, захищати та підтримувати вартість шляхом надання раді та менеджменту незалежних, ризик-орієнтованих та об’єктивних аудиторських послуг, консультацій, висновків і прогнозувань».
Навряд чи ця заява щодо мети внутрішнього аудиту дозволить пройти ліфт-тест, що передбачає змогу протягом 30-секундної поїздки розповісти своєму супутнику, що робить внутрішній аудит, якщо тільки ви не застрягнете в ліфті надовго.
II «Етичне ставлення та професіоналізм»
Другий розділ має замінити Кодекс етики й окремі стандарти, які наразі входять до Стандартів якісних характеристик. У стандартах другого розділу розкрито вже звичні за Кодексом етики принципи чесності, об’єктивності, компетентності та конфіденційності.
Звертає на себе увагу вимога Стандарту 1.1 для внутрішніх аудиторів виконувати свою роботу із чесністю та професійною сміливістю. Ані чинні стандарти, ані Кодекс етики наразі не містять концепції професійної сміливості.
Глобальні стандарти передбачають, що професійну сміливість внутрішні аудитори мають проявляти правдивим доведенням інформації та вживанням належних заходів, навіть коли стикаються з дилемами та складними ситуаціями. Отже, вторимо римському імператору Марку Аврелію: «Роби, що мусиш, і будь, що буде».
III «Нагляд за функцією внутрішнього аудиту»
Цей розділ присвячено взаємодії керівника функції внутрішнього аудиту з радою та вищим керівництвом організації щодо забезпечення мандату внутрішнього аудиту, позиціонування та нагляду за функцією внутрішнього аудиту. Хоча керівник функції залишається відповідальним за дотримання стандартів третього розділу, загалом, кожний стандарт містить суттєві умови для ради й вищого керівництва, наявність яких визначальна для ефективної роботи внутрішнього аудиту. Обов’язок керівника внутрішнього аудиту — доводити до членів ради й вищого керівництва та обговорювати такі суттєві умови.
Для прикладу, Стандарт 8.2, який присвячено часто болючому для внутрішніх аудиторів питанню ресурсів, визначає такі суттєві умови для ради:
- співпрацювати з вищим керівництвом для забезпечення внутрішнього аудиту ресурсами, достатніми, щоб забезпечити мандат внутрішнього аудиту та виконати план робіт;
- обговорювати з керівником внутрішнього аудиту не рідше одного разу на рік достатність ресурсів як за кількістю, так і за можливостями, щоб забезпечити мандат внутрішнього аудиту та виконати план робіт;
- враховувати вплив недостатності ресурсів на мандат і план внутрішнього аудиту;
- взаємодіяти з вищим керівництвом і керівником внутрішнього аудиту в разі недостатності ресурсів.
Своєю чергою, вище керівництво має взаємодіяти:
- з радою для забезпечення внутрішнього аудиту ресурсами, достатніми, щоб забезпечити мандат внутрішнього аудиту та виконати план робіт;
- з радою та керівником внутрішнього аудиту щодо будь-яких випадків недостатності ресурсів та способу їх урегулювання.
Загалом, дотримання стандартів третього розділу, на перший погляд, не має викликати значних труднощів для керівників внутрішнього аудиту, що працюють у приватному сегменті в організаціях зі зрілою системою корпоративного управління. Більшість умов уже впроваджена успішними практиками. Водночас для аудиторів, які працюють у державній сфері, на невеликих і середніх підприємствах, забезпечення відповідності стандартам третього розділу може бути викликом.
IV «Управління функцією внутрішнього аудиту»
Звертають на себе увагу дві вимоги, з якими стикнуться внутрішні аудитори вже менш ніж через рік.
1. Стандарт 8.2 вимагає від керівника внутрішнього аудиту розробити й реалізувати стратегію функції, що підтримує стратегічні цілі організації та відповідає очікуванням ради, вищого керівництва та інших ключових стейкголдерів.
Не можна сказати, що розроблення стратегії — щось зовсім нове для професії. Чинні стандарти її не вимагали, але Інститут внутрішніх аудиторів ще 2012 року затвердив практичний посібник із розроблення стратегічного плану внутрішнього аудиту. Ми під час зовнішнього оцінювання внутрішнього аудиту зазвичай відзначаємо наявність стратегії як успішної практики та індикатора зрілості функції. Утім, чи потребує кожна функція внутрішнього аудиту стратегії, питання дискусійне. Для невеликих підрозділів витрати часу та ресурсів на її підготовку можуть значно перевищувати будь-яку користь від стратегії.
2. Стандарт 12.2 фактично передбачає запровадження системи показників для оцінювання діяльності внутрішнього аудиту. Знову зазначимо, що практика застосування ключових показників ефективності (КПЕ) для оцінювання ефективності внутрішнього аудиту достатньо поширена серед зрілих функцій, і до таких показників часто прив’язана змінна складова винагороди аудиторів.
Відсоток виконання плану, відсоток упроваджених менеджментом рекомендацій, час, витрачений на професійний розвиток, — приклади саме таких КПЕ.
Стандарт наводить низку додаткових прикладів, серед яких варто відзначити показник задоволеності стейкголдерів щодо роботи внутрішнього аудиту. Мабуть, найкращий спосіб зрозуміти, наскільки корисною є робота внутрішніх аудиторів, — це спитати у клієнтів.
V «Надання послуг внутрішнього аудиту»
Якщо розділи III та IV здебільшого стосуються керівників функцій внутрішнього аудиту, то п’ятий розділ, що присвячений безпосередньо виконанню завдань із внутрішнього аудиту, актуальний уже кожному внутрішньому аудитору.
Очікується, що внутрішні аудитори будуть керуватися стандартами п’ятого розділу, виконуючи не тільки завдання з надання гарантій (assurance services), а й консультаційні проєкти (advisory services), якщо інше не передбачено індивідуальними стандартами.
Стандарти покривають усі етапи виконання аудиторського завдання — від планування до звітування та моніторингу впровадження рекомендацій.
Стандарти стануть суттєво деталізованими в частині опису вимог і процедур, а приклади доказів відповідності натякають на збільшення «паперової» роботи для внутрішніх аудиторів (Гаррієр Річардсон (Harrier Richardson), керівник робочої групи з розроблення стандартів розділу V, у випуску журналу «Internal auditor» за лютий 2024 року зазначає, що в стандартах зроблено значно більший акцент на документуванні роботи внутрішніх аудиторів та комунікаціях у процесі виконання аудиторських завдань).
Ось такі перші враження від Глобальних стандартів. Спробуємо більш детально розібратися з вимогами окремих стандартів та їхнім впливом на роботу внутрішніх аудиторів уже в наступних матеріалах.