– перечень бизнес-процессов компании;
– перечень рисков компании;
– лиц, ответственных за управление рисками компании (владельцев риска);
– субъекты СВК и иные заинтересованные стороны, осуществляющие мониторинг/оценку в отношении каждого из рисков.
При разработке схемы (карты) руководитель может использовать имеющиеся в компании классификатор рисков и процессов, карту рисков, другие внутренние документы компании, определяющие схемы взаимодействия субъектов СВК и иных заинтересованных сторон, осуществляющих мониторинг и оценку СВК по отдельным направлениям деятельности.
В случае если внутренний аудит полагается на результаты работы других субъектов СВК и иных заинтересованных сторон, руководителю внутреннего аудита рекомендуется предварительно оценить качество и надежность результатов работ (в т. ч. применяемую методологию, процедуры и техники, используемые при оценке, объем и характер работ и проч.).
Взаимодействие с государственными надзорными органами
Внутренний аудит в рамках своей деятельности взаимодействует с государственными надзорными органами в порядке, предусмотренном законодательством и соответствующими внутренними нормативными документами компании, в том числе со Счетной палатой Российской Федерации, а также другими государственными надзорными органами по вопросам, относящимся к компетенции внутреннего аудита.
5. Порядок планирования деятельности внутреннего аудита
Руководитель внутреннего аудита разрабатывает план деятельности внутреннего аудита, как правило, на ежегодной основе.
План деятельности внутреннего аудита включает плановые проверки и прочие мероприятия внутреннего аудита.
Руководитель внутреннего аудита предоставляет план деятельности внутреннего аудита на рассмотрение (согласование) исполнительным органам и утверждение совету директоров. К плану также могут прилагаться график работ, штатное расписание подразделения, ресурсный план и финансовый бюджет внутреннего аудита.
План деятельности внутреннего аудита разрабатывается на основе модели аудита, с использованием информации и запросов, полученных от исполнительных органов и совета директоров компании, результатов оценки рисков компании (подготовленными, например, службой управления рисками компании, если такая служба имеется в компании).
Планирование деятельности внутреннего аудита состоит из следующих этапов:
– формирование/актуализация модели аудита компании;
– проведение/использование результатов оценки рисков;
– ранжирование объектов аудита по уровню рисков с учетом дополнительных факторов;
– формирование риск-ориентированного плана внутренних аудиторских проверок;
– формирование плана деятельности внутреннего аудита на основе риск-ориентированного плана проверок, запросов/поручений исполнительных органов и совета директоров компании, мероприятий по осуществлению последующего контроля за финансово-хозяйственной деятельностью, а также других мероприятий внутреннего аудита;
– формирование графика работ, штатного расписания подразделения, ресурсного плана и финансового бюджета.
План деятельности внутреннего аудита рекомендуется пересматривать на регулярной основе, в том числе с учетом результатов переоценки рисков компании.