Зовнішнє оцінювання якості внутрішнього аудиту відповідно до нових стандартів

Глобальні стандарти внутрішнього аудиту (англ. Global Internal Audit Standards — GIAS) набрали чинності 9 січня 2025 року, тобто надалі зовнішнє оцінювання функції внутрішнього аудиту буде проходити вже відповідно до таких стандартів.

-A

A+

Версія для друку

Сергій Касаткін, заступник директора, напрям управління ризиками,
KPMG в Україні

Вимоги щодо обов’язковості, періодичності та форми зовнішнього оцінювання залишаються незмінними.

Програма забезпечення та підвищення якості

Як і за попередніми стандартами, керівник внутрішнього аудиту повинен розробити, запровадити й підтримувати програму забезпечення та підвищення якості, яка охоплює всі аспекти функції внутрішнього аудиту. Програма має включати як внутрішнє, так і зовнішнє оцінювання (Стандарт 8.3 «Якість»).

Періодичність і форма зовнішнього оцінювання

Зовнішнє оцінювання має проводити кваліфікований незалежний оцінювач або група оцінювачів не рідше ніж раз на п’ять років. Воно може бути проведене як у формі повного зовнішнього оцінювання, так і шляхом самооцінювання з незалежною верифікацією (Стандарт 8.4 «Зовнішня оцінка»).

Однак стандарти стали більш деталізованими, і хоча окремі положення не зовсім нові, вони містять додаткові специфічні деталі.

1. Комунікація за результатами зовнішнього оцінювання.

Як і раніше, керівник внутрішнього аудиту має довести результати зовнішнього оцінювання якості після його завершення раді та вищому керівництву. Відповідно до Стандарту 8.3 «Якість» комунікації за результатами оцінювання мають включати:

відповідність функції внутрішнього аудиту стандартам і досягнення цілей ефективності;
за потреби дотримання законів та/або нормативних актів, що стосуються внутрішнього аудиту;
за потреби плани заходів щодо усунення недоліків функції внутрішнього аудиту та втілення можливостей для вдосконалення.

Отже, звіт зовнішнього оцінювача має містити не тільки висновок про відповідність функції внутрішнього аудиту стандартам, а ще й спеціальні компоненти (досягнення цілей ефективності, дотримання законів та/або нормативних актів, плани заходів, дотримання тематичних вимог). До спеціальних компонентів звіту ми ще повернемося.

2. Вимоги до незалежного оцінювача (групи оцінювачів).

Попередні стандарти (зокрема, Стандарт 1312 «Зовнішні оцінки») передбачали, що зовнішнє оцінювання має проводити кваліфікований незалежний експерт або група експертів, що не є працівниками організації, до якої належить функція внутрішнього аудиту.

Стандарт 8.4 «Зовнішня оцінка» запроваджує додаткову вимогу: під час вибору незалежного оцінювача або команди з оцінювання керівник внутрішнього аудиту повинен переконатися, що принаймні одна особа має статус сертифікованого внутрішнього аудитора (CIA).

Раніше керівництво з упровадження Стандарту 1312 рекомендувало звертати увагу на наявність кваліфікації CIA в зовнішнього оцінювача, і зазначимо, що, з досвіду KPMG в Україні, замовники зовнішнього оцінювання зазвичай вказували таку кваліфікацію як вимогу до команди експертів, але тепер це стало обов’язковою вимогою стандартів.

3. Істотні умови.

Стандарт 8.4 «Зовнішня оцінка» входить до розділу III «Врядування функції внутрішнього аудиту». Хоча керівник функції відповідальний за дотримання стандартів загалом, кожен стандарт третього розділу містить «істотні умови» для ради й вищого керівництва, дотримання яких визначальне для ефективної роботи внутрішнього аудиту. Обов’язок керівника внутрішнього аудиту — довести такі істотні умови до членів ради й вищого керівництва та обговорити їх.

У зовнішньому оцінюванні стандарт передбачає, що рада:

обговорює з керівником внутрішнього аудиту та затверджує план зовнішнього оцінювання, який щонайменше містить обсяг і частоту оцінювання, компетенції та незалежність зовнішнього оцінювача або команди з оцінювання, форму оцінювання;
вимагає отримання повних результатів зовнішнього оцінювання якості або самооцінювання з незалежною верифікацією безпосередньо від оцінювача;
переглядає та схвалює план і графік заходів керівника внутрішнього аудиту для усунення виявлених недоліків і реалізації можливостей для покращення (за наявності), а також контролює прогрес, досягнутий керівником внутрішнього аудиту.

Так само вище керівництво переглядає результати зовнішнього оцінювання якості, співпрацює з керівником внутрішнього аудиту й радою для узгодження плану заходів щодо усунення виявлених недоліків та отримання можливостей для покращення (за наявності) і погодження часових меж для впровадження плану заходів.

Для функцій внутрішнього аудиту, що регулярно проходять зовнішнє оцінювання, з нашого досвіду, діалог із радою та керівництвом є зазвичай сталою практикою.

Зміни в новому посібнику ІВА з оцінювання якості

Інноваційним виявився новий посібник з оцінювання якості, який Інститут внутрішніх аудиторів (надалі — ІВА) нарешті випустив наприкінці 2024 року. Варто зауважити, що посібник містить рекомендований, а не обов’язковий підхід до оцінювання відповідності функції внутрішнього аудиту вимогам стандартів.

Серед важливих змін відзначимо:

1. Модель оцінювання якості.

Ми вже згадували обов’язкові компоненти, які має охопити звіт оцінювача:

відповідність функції внутрішнього аудиту стандартам;
досягнення функцією внутрішнього аудиту цілей ефективності;
за потреби дотримання законів та/або нормативних актів, що стосуються внутрішнього аудиту;
за потреби плани заходів щодо усунення недоліків функції внутрішнього аудиту та реалізації можливостей для вдосконалення.

Перший компонент (або загальний висновок про відповідність) містить оцінку дотримання принципів, що входять до розділів II–V стандартів, а також мету внутрішнього аудиту (розділ I). Інші компоненти посібник називає спеціальними, бо вони випливають з оцінки відповідності стандартам і не потребують якихось додаткових кроків поза межами такої оцінки.

Відповідно до цього підходу, наприклад, у посібнику зазначено, що оцінювачі не мають визначати, чи відповідає служба внутрішнього аудиту законам та/або нормативним актам. Оцінювач радше має надати висновок, чи були законодавчі та регуляторні вимоги ідентифіковані керівником внутрішнього аудиту та враховані в політиках і процедурах функції.

За такою ж логікою оцінювач не досліджує безпосередньо досягнення функцією внутрішнього аудиту цілей ефективності, що передбачені Стандартом 12.2 «Вимірювання ефективності», а фокусує увагу на процедурах розроблення та затвердження цілей, методології вимірювання ефективності, моніторингу та звітування про досягнення таких цілей.

Додатково посібник передбачає, що якщо плани роботи внутрішнього аудиту за період оцінювання включають проєкти, які підпадають під тематичні вимоги, зовнішній оцінювач має переглянути робочі документи таких проєктів, щоб дійти висновку про дотримання тематичних вимог. На цей час ІВА затвердив Тематичні вимоги з питань кібербезпеки, які наберуть чинності 5 лютого 2026 року.

2. Шкала оцінювання.

На заміну трирівневій шкалі відповідності стандартам, що містила оцінки «цілком відповідає», «частково відповідає», «не відповідає», посібник пропонує чотирирівневу шкалу. Нова шкала передбачає по два варіанти для оцінок «відповідає» та «не відповідає»:

повне дотримання або відповідність (Full achievement or conformance): повністю відповідає всім установленим вимогам;
загальне дотримання або відповідність (General achievement or conformance): одну або кілька розбіжностей чи прогалин виявлено, але сутність стандарту або принципу було дотримано;
часткове дотримання або відповідність (Partial achievement or conformance): одну або кілька розбіжностей чи прогалин виявлено й сутність стандарту або принципу не було дотримано, але обсяг необхідних коригувальних заходів відносно незначний, на думку оцінювача;
недотримання або невідповідність (Nonachievement or nonconformance): одну або кілька розбіжностей чи прогалин виявлено й сутність стандарту або принципу не було дотримано, при цьому обсяг необхідних коригувальних заходів відносно значний, на думку оцінювача.

Шкалу застосовують на рівні кожного окремого стандарту, принципу й оцінювання відповідності загалом. Посібник не визначає, як випадки невідповідності конкретним стандартам і принципам мають вплинути на загальну оцінку. Інакше кажучи, наприклад, часткове дотримання одного зі стандартів не означає лише часткове дотримання відповідного принципу та стандартів цілком. Застосування шкали — предмет професійного судження зовнішнього оцінювача, підкріпленого відповідними доказами.

3. Оцінювання зрілості.

Посібник передбачає, що складовою оцінювання якості може бути оцінювання зрілості функції внутрішнього аудиту. Таке оцінювання не обов’язкове й окреме від оцінювання відповідності стандартам.

Загалом, оцінювання зрілості не є чимось абсолютно новим: ІВА й раніше в практичних керівництвах «Програма забезпечення та підвищення якості» (2012) та «Вибір, використання та створення моделей зрілості: інструмент проєктів з надання гарантій та консультацій» (2013) рекомендував застосування моделей зрілості.

Основна ідея полягає в тому, що адаптація моделі зрілості дає більш комплексний погляд на функцію внутрішнього аудиту, ніж просте підтвердження відповідності стандартам. Модель застосовують до окремих аспектів діяльності внутрішнього аудиту. Посібник пропонує оцінювати зрілість у розрізі таких аспектів:

послуги та роль внутрішнього аудиту;
професійні практики (методологія);
управління продуктивністю та підзвітність;
управління персоналом;
організаційні взаємовідносини;
місце в корпоративній структурі.

Кожен із таких аспектів оцінюють за шкалою зрілості, що складається з 5 рівнів.

Рівень 1. Початковий	На цьому рівні діяльність внутрішнього аудиту не систематизована. Методологія не формалізована, а активності лише незначним чином сфокусовані на процесах управління ризиками та корпоративного управління.
Рівень 2. Системний	Функція внутрішнього аудиту має статут (положення) та формалізовану методологію для забезпечення базових практик і процесів, що дозволяють систематично виконувати проєкти з внутрішнього аудиту. Утім, функція може досягти лише часткової відповідності стандартам у зв’язку з непослідовним дотриманням методології.
Рівень 3. Інтегрований	На цьому рівні функція внутрішнього аудиту запроваджена як незалежний постачальник послуг із гарантій та консультацій. Її роль і позиціонування в організації затверджені й задокументовані в статуті (положенні). Функція демонструє загальну відповідність стандартам, має сталу та якісну методологію та застосовує ризик-орієнтований підхід. Керівник внутрішнього аудиту запровадив програму забезпечення й підвищення якості та ключові показники ефективності для послідовного моніторингу, оцінювання й покращення діяльності.
Рівень 4. Керований	Стратегія функції внутрішнього аудиту узгоджується зі стратегією та цілями організації. Внутрішні аудитори застосовують аналіз даних і технологічні інструменти для підвищення ефективності аудиту. Функція впроваджує ініціативи постійного вдосконалення. Внутрішній аудит є стратегічним радником.
Рівень 5. Оптимізаційний	Функція внутрішнього аудиту оптимально позиціонується в корпоративній структурі, маючи всі необхідні повноваження й рівень незалежності, що дозволяють відповідати меті внутрішнього аудиту. Внутрішній аудит реагує на нові виклики й ризики, розуміє потреби організації в майбутньому. Внутрішній аудит фокусується на просуванні інновацій та додає стратегічної цінності організації.

Головна користь оцінювання зрілості полягає в тому, що вона дозволяє визначити поточний рівень, на якому функціонує внутрішній аудит, і рівень, якого він прагне досягти. Це так само допомагає ідентифікувати зони для вдосконалення та сформувати план коригувальних заходів.

Завдання функцій внутрішнього аудиту на найближчий час — остаточна адаптація до вимог стандартів, при цьому зовнішні оцінювачі мають оновити методологію, підходи й робочі документи. Майбутнє зовнішнє оцінювання має сприяти як підвищенню якості роботи внутрішнього аудиту, так і вдосконаленню методології його оцінювання.

№ 3, 2025 (с. 20)