Рекомендации подготовлены с учетом положений следующих документов:
- ГОСТ Р ИСО 31000-2019 "Менеджмент риска. Принципы и руководство";
- ГОСТ Р 58771-2019 "Менеджмент риска. Технологии оценки риска";
- ГОСТ Р 51897-2011 / Руководство ИСО 73:2009 "Менеджмент риска. Термины и определения";
- ГОСТ Р 51901.7-2017 "Менеджмент риска. Руководство по внедрению ИСО 31000";
- Документ (концепция) Комитета спонсорских организаций Комиссии Трэдвэя (The Committee of Sponsoring Organizations of the Treadway Commission) COSO "Управление рисками организации. Интеграция со стратегией и эффективностью деятельности" (2017 г.);
- Документ (концепция) COSO "Внутренний контроль. Интегрированная модель" (2013 г.);
- Стандарты управления рисками, разработанные Федерацией европейских ассоциаций риск-менеджеров (FERMA) (2002 г.);
- Международные основы профессиональной практики внутреннего аудита, принятые международным Институтом внутренних аудиторов (включая Международные профессиональные стандарты внутреннего аудита);
- Методические указания по подготовке Положения о внутреннем аудите (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические указания по подготовке Положения о системе управления рисками (одобрены поручением Правительства Российской Федерации от 24.06.2015 N ИШ-П13-4148);
- Методические рекомендации по организации работы внутреннего аудита в акционерных обществах с участием Российской Федерации (утверждены приказом Росимущества от 04.07.2014 N 249);
- Методические рекомендации по построению функции внутреннего аудита в холдинговых структурах с участием Российской Федерации (утверждены приказом Росимущества от 03.09.2014 N 330);
- Методические рекомендации по организации работы Комитетов по аудиту Совета директоров в акционерном обществе с участием Российской Федерации (утверждены приказом Росимущества от 20.03.2014 N 86).
Внутренний аудит:
Определение и цели внутреннего аудита (источник: Международные основы профессиональной практики внутреннего аудита, разработанные Институтом внутренних аудиторов (The Institute of Internal Auditors).
Цели, задачи, полномочия и обязанности внутреннего аудита, способ организации внутреннего аудита в Обществе, подотчетность внутреннего аудита в Обществе, порядок контроля обеспечения и повышения качества внутреннего аудита рекомендуется определить в положении (политике) в области организации и осуществления внутреннего аудита Общества (далее - политика внутреннего аудита).
К задачам внутреннего аудита можно отнести:
Оценку корпоративного управления и предоставление рекомендаций по его совершенствованию
Оценку корпоративного управления в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области корпоративного управления.
Оценка корпоративного управления может включать проверку:
- соблюдения и продвижения в Обществе этических принципов и корпоративных ценностей;
- порядка постановки целей Общества, мониторинга и контроля их достижения;
- процесса принятия стратегических и операционных решений в Обществе;
- уровня нормативного обеспечения и процедур информационного взаимодействия (в том числе по вопросам внутреннего контроля и управления рисками) на всех уровнях управления Общества, включая взаимодействие с заинтересованными сторонами;
- соответствия системы управления информационными технологиями стратегии и целям Общества;
- осуществления надзора за системой управления рисками и внутреннего контроля;
- обеспечения прав акционеров, в том числе подконтрольных обществ, и эффективности взаимоотношений с заинтересованными сторонами;
- процедур раскрытия информации о деятельности Общества и подконтрольных ему обществ.
Оценку надежности и эффективности управления рисками и внутреннего контроля и предоставление рекомендаций по ее совершенствованию
Оценку надежности и эффективности управления рисками и внутреннего контроля в рамках внутреннего аудита целесообразно проводить в соответствии с принципами и подходами, изложенными во внутренних документах Общества, требованиях законодательства Российской Федерации и регулирующих органов, применимых к Обществу, общепринятых концепциях и практиках работы в области управления рисками и внутреннего контроля.
При проведении оценки надежности и эффективности управления рисками и внутреннего контроля рекомендуется обратить внимание прежде всего на определение наличия и работу компонентов управления рисками и внутреннего контроля, а также эффективность их функционирования совместно, интегрированным образом.
При формировании суждения об эффективности управления рисками в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:
- соответствие целей деятельности Общества его миссии;
- полноту и корректность выявления и оценки существенных рисков;
- эффективность мер реагирования на риски и их удержания в пределах риск-аппетита Общества;
- порядок сбора и обмена информацией о рисках внутри Общества для обеспечения надлежащего реагирования на риски.
При формировании суждения об эффективности внутреннего контроля в Обществе внутреннему аудиту рекомендуется рассматривать в том числе, но не ограничиваясь:
- эффективность внутреннего контроля применительно к одной категории целей (например, подготовка финансовой отчетности) или нескольким целям;
- адекватность критериев, установленных исполнительными органами Общества для анализа степени достижения поставленных целей, в том числе проведение руководством Общества оценки и мониторинга затрат и выгод, связанных с внедрением средств контроля;
- эффективность контрольных процедур и их соответствие уровню риска;
- степень существенности недостатков внутреннего контроля.
Внутренний аудит в организационной структуре Общества
Способ организации внутреннего аудита.
Совету директоров Общества рекомендуется определить наиболее оптимальный способ организации внутреннего аудита, а именно - посредством введения должности руководителя внутреннего аудита, создания отдельного структурного подразделения внутреннего аудита или посредством привлечения независимой внешней организации.
При выборе способа организации внутреннего аудита целесообразно принимать во внимание следующие критерии:
- соотношение затрат на создание и функционирование внутреннего аудита в Обществе с затратами на оплату стоимости услуг независимой внешней организации;
- наличие в штате или возможность найма достаточного количества работников, обладающих знаниями, навыками и опытом, необходимыми для выполнения поставленных перед внутренним аудитом целей и задач;
- географическая удаленность подразделений Общества;
- частота проведения аудиторских проверок;
- требования нормативных документов общества, законодательства Российской Федерации и регулирующих органов (в частности, ограничения, налагаемые на независимую внешнюю организацию в связи с отсутствием разрешительной документации (лицензии) на работу с определенным типом информации). Все вопросы, связанные с организацией и деятельностью внутреннего аудита, до представления их на утверждение или рассмотрение совету директоров Общества рекомендуется предварительно направлять на рассмотрение комитету по аудиту.
В политике внутреннего аудита рекомендуется закрепить, что в случае принятия решения советом директоров Общества о проведении внутреннего аудита с привлечением независимой внешней организации ответственность за выбор и качество осуществления внутреннего аудита Общества несет совет директоров. В политике внутреннего аудита также рекомендуется закрепить, что при передаче на аутсорсинг только отдельных проверок или отдельных задач внутреннего аудита, например выполнение заданий по консультированию, ответственность за их выполнение и результаты возлагается на руководителя внутреннего аудита Общества.
Совету директоров помимо утверждения порядка выбора независимой внешней организации, определения такой организации и условий договора с ней, в том числе размера вознаграждения за оказанные услуги, рекомендуется также определить порядок обеспечения качества ее деятельности (например, посредством утверждения программы обеспечения и повышения качества внутреннего аудита как приложения к договору с внешней организацией), провести оценку наличия у организации, рассматриваемой для проведения внутреннего аудита в Обществе, конфликта интересов с Обществом любого рода, включая наличие связанности с акционерами Общества, лицами, контролирующими Общество, и акционерами его подконтрольных обществ.
полный текст документа