СТАНДАРТИ ЗА ВЪТРЕШЕН ОДИТ В ПУБЛИЧНИЯ СЕКТОР
СТАНДАРТИ ЗА ВЪТРЕШЕН ОДИТ В ПУБЛИЧНИЯ СЕКТОР
Обн. ДВ. бр.31 от 4 Април 2014г., отм. ДВ. бр.102 от 23 Декември 2016г.
Отменени с Параграф единствен от Постановление № 359 от 15 декември 2016 г. за отменяне на Постановление № 71 на Министерския съвет от 2014 г. за утвърждаване на Стандарти за вътрешен одит в публичния сектор - ДВ, бр. 102 от 23 декември 2016 г., в сила от 27.12.2016 г.
ВЪВЕДЕНИЕ
Стандартите за вътрешен одит в публичния сектор (Стандарти) са утвърдени от Министерския съвет на основание чл. 48, ал. 1 от Закона за вътрешния одит в публичния сектор. Те представляват ключов елемент от дефинираната от законодателя рамка за изпълнение на дейността по вътрешен одит, която вътрешните одитори трябва да прилагат. Стандартите са разработени в съответствие със Закона за вътрешния одит в публичния сектор и Международните стандарти за професионалната практика по вътрешен одит на Института на вътрешните одитори (The IIA).
Спазването на Стандартите е предпоставка за изпълнението на отговорностите на вътрешните одитори и на дейността по вътрешен одит като цяло.
Стандартите за вътрешен одит в публичния сектор имат за цел:
Да очертаят основните принципи, въз основа на които следва да се осъществява дейността по вътрешен одит в публичния сектор;
Да осигурят професионална рамка за извършването на широк кръг дейности по вътрешен одит, които да носят полза за организацията;
Да създадат основа за оценяване работата на вътрешния одит;
Да насърчават усъвършенстването на процесите и дейностите в организацията.
Вътрешният одит е независима и обективна дейност за предоставяне на увереност и консултиране, предназначена да носи полза и да подобрява дейността на организацията. Вътрешният одит помага на организацията да постигне целите си чрез прилагане на систематичен и дисциплиниран подход за оценяване и подобряване ефективността на процесите на управление на риска, контрол и управление.
Вътрешният одит се осъществява чрез изпълнение на конкретни одитни ангажименти за даване на увереност или консултиране.
Одитният ангажимент за даване на увереност се изразява в предоставяне на обективна оценка на доказателствата от вътрешния одитор с цел да се предостави независимо мнение или извод относно процес, система или друг обект на одита. Естеството и обхватът на ангажимента за даване на увереност се определят от ръководителя на вътрешния одит.
Одитният ангажимент за консултиране се изразява в даване на съвет, мнение, обучение и други, предназначени да подобряват процесите на управление на риска и контрола, без вътрешният одитор да поема управленска отговорност за това. Одитният ангажимент за консултиране се извършва по инициатива на ръководителя на организацията. Естеството и обхватът на консултантския ангажимент се определят съвместно с ръководителя на организацията.
Стандартите са насочени към принципни задължителни изисквания, съдържащи:
Основни изисквания към дейността по вътрешен одит и оценяването ефективността на осъществяването му, които са приложими в публичния сектор на ниво организация и отделен одитор;
Тълкувания, които изясняват термините или концепциите в стандарта. Те са добавени към Стандартите, за да дадат по-голяма яснота на използваните термини или изрази. Тълкуванията непосредствено следват съответния Стандарт.
За правилното разбиране и прилагане на Стандартите е необходимо да се вземат предвид както съдържанието на Стандартите, така и техните тълкувания.
Стандартите са обособени в следните три групи: присъщи за дейността Стандарти, Стандарти за изпълнение на работата и уточняващи Стандарти.
Присъщите за дейността Стандарти разглеждат характеристиките, които притежават лицата, извършващи вътрешен одит.
Стандартите за изпълнение на работата описват естеството на вътрешния одит и посочват критерии, на базата на които може да се оцени качеството на извършваните одитни ангажименти.
Уточняващите стандарти се използват при осъществяването на отделните видове ангажименти (за даване на увереност и консултиране) за разлика от присъщите за дейността Стандарти и Стандартите за изпълнение на работата, които се прилагат при всички одитни ангажименти. Уточняващите стандарти, отнасящи се до ангажиментите за даване на увереност, са с индекс У след номера на стандарта, а тези за консултиране - с индекс К след номера на стандарта.
ПРИСЪЩИ ЗА ДЕЙНОСТТА СТАНДАРТИ
100 - Цел, правомощия и отговорности
Целта, правомощията и отговорностите на вътрешния одит трябва да бъдат дефинирани в статута на звеното за вътрешен одит в съответствие със Закона за вътрешния одит в публичния сектор, Етичния кодекс, насоките на министъра на финансите и тези стандарти. Ръководителят на вътрешния одит трябва да преглежда периодично статута на звеното за вътрешен одит и да го представи на ръководителя на организацията и на одитния комитет, ако има сформиран такъв, за одобрение.
Тълкувание:
Статутът на звеното за вътрешен одит е вътрешен акт, който определя неговите цели, правомощия и отговорности. Статутът на звеното за вътрешен одит: определя позицията на вътрешния одит в рамките на организацията, включително естеството на функционалното докладване на ръководителя на вътрешния одит пред ръководителя на организацията; регламентира достъпа до документация, персонал и имущество, необходим за изпълнението на ангажиментите; дефинира обхвата на вътрешния одит. Окончателното одобрение на статута на звеното за вътрешен одит е в правомощията на ръководителя на организацията и на одитния комитет, ако има сформиран такъв.
100.У1 - Естеството на ангажиментите за даване на увереност, предоставяни на организацията, трябва да се дефинира в статута на звеното за вътрешен одит.
100.К1 - Естеството на ангажиментите за консултиране трябва да се дефинира в статута на звеното за вътрешен одит.
101 - Отразяване на дефиницията на вътрешния одит, Етичния кодекс и Стандартите в статута на звеното за вътрешен одит
Задължителната сила на дефиницията на вътрешния одит, Етичния кодекс и Стандартите трябва да бъде посочена в статута на звеното за вътрешен одит. Ръководителят на вътрешния одит трябва да обсъди дефиницията на вътрешния одит, Етичния кодекс и Стандартите с ръководителя на организацията и с одитния комитет, ако има сформиран такъв.
110 - Независимост и обективност
Вътрешният одит трябва да бъде независим, а вътрешните одитори - обективни при изпълнение на своята работа.
Тълкувание:
Независимостта представлява липса на условия, които да влияят на способността на вътрешния одит да изпълнява задълженията си по непредубеден начин. За да постигне необходимата независимост за ефективно изпълнение на отговорностите на вътрешния одит, ръководителят на вътрешния одит има пряк и неограничен достъп до ръководителя на организацията. Мерки срещу ограничаване на независимостта трябва да се предприемат на ниво отделен одитор, ангажимент, функция и организация.
Обективността е безпристрастно отношение, което позволява на вътрешните одитори да изпълняват ангажиментите си така, че те искрено да вярват в резултата от своята работа, както и в това, че не са направени компромиси с нейното качество. Обективността изисква вътрешните одитори да не подчиняват своята преценка по одиторски въпроси на чужда преценка. Мерки срещу накърняването на обективността трябва да бъдат предприети на ниво отделен одитор, ангажимент, функция и организация.
111 - Организационна независимост
Ръководителят на вътрешния одит трябва да докладва на такова ниво в организацията, което да позволява на звеното за вътрешен одит да изпълнява своите задължения. Ръководителят на вътрешния одит трябва да заяви пред ръководителя на организацията поне веднъж годишно организационната независимост на вътрешния одит. Ръководителят на вътрешния одит трябва да комуникира пряко с ръководителя на организацията и с одитния комитет, ако има сформиран такъв.
Тълкувание:
Организационната независимост е ефективно постигната, когато ръководителят на вътрешния одит докладва функционално на ръководителя на организацията. Като примери за такова функционално докладване биха могли да се посочат:
1. Представяне на проект на статут на звеното за вътрешен одит, на стратегическия и годишния план за дейността по вътрешен одит.
2. Представяне на план за професионално обучение и развитие на вътрешните одитори.
3. Представяне на годишен доклад за дейността по вътрешен одит.
4. Докладване на резултатите от одитните ангажименти, на всички случаи на констатирани индикатори за измама, на дадените препоръки и предприетите действия за подобряване дейността на организацията.
5. Представяне на доклади за изпълнението на годишния план за дейността по вътрешен одит.
6. Докладване за адекватността на ресурсите за вътрешен одит.
7. Докладване за всички случаи, в които е била ограничена дейността на ръководителя на вътрешния одит и на вътрешните одитори.
111.У1 - Не трябва да се допуска намеса при определяне обхвата на дейността по вътрешен одит, изпълнението на одиторската работа и представянето на резултатите.
112 - Индивидуална обективност
Вътрешните одитори трябва да проявяват непредубедено и безпристрастно отношение и да избягват всякакъв конфликт на интереси.
Тълкувание:
Конфликт на интереси възниква, когато вътрешният одитор има частен интерес, който може да повлияе върху безпристрастното и обективното изпълнение на правомощията или задълженията му по служба.
Конфликт на интереси съществува дори ако това не доведе до неетично или неправомерно действие.
Конфликтът на интереси може да създаде привидна неправомерност, което да подкопае доверието спрямо вътрешния одитор, дейността по вътрешен одит и професията като цяло.
Конфликтът на интереси може да накърни способността на дадено лице да изпълнява обективно своите задължения.
113 - Накърняване на независимостта или обективността
Ако независимостта или обективността са реално накърнени или има съмнения за това, обстоятелствата, свързани с накърняването, трябва да бъдат доведени до знанието на съответните лица. Начинът на оповестяването ще зависи от естеството на накърняването.
Тълкувание:
Накърняването на организационната независимост и индивидуалната обективност може да включва, но не се ограничава до личен конфликт на интереси, ограничения на обхвата на дейността по вътрешен одит, на достъпа до документация, служители и активи и недостатъчно ресурси.
Всички случаи, в които е била ограничена дейността на ръководителя на вътрешния одит и на вътрешните одитори, задължително се докладват от ръководителя на вътрешния одит на ръководителя на организацията и на одитния комитет, ако има сформиран такъв.
113.У1 - Вътрешните одитори не трябва да оценяват дейности, за които преди това са носели отговорност. Обективността се счита за накърнена, когато вътрешният одитор извършва ангажимент за даване на увереност относно дейност, за която той е бил отговорен през предходната година.
113.У2 - Ангажименти за даване на увереност относно дейности, които са отговорност на ръководителя на вътрешния одит, трябва да се извършват под надзора на лице извън звеното за вътрешен одит, което се определя от ръководителя на организацията.
113.К1 - Вътрешните одитори могат да извършват одитни ангажименти за консултиране по отношение на дейности, за които преди това са носели отговорност.
113.К2 - Ако съществува вероятност да бъдат накърнени независимостта или обективността на вътрешните одитори във връзка с извършването на предложени ангажименти за консултиране, ръководството трябва да бъде уведомено за това, преди да бъде приет консултантският ангажимент.
120 - Компетентност и професионална грижа
Ангажиментите трябва да се изпълняват компетентно и с професионална грижа.
121 - Компетентност
Вътрешните одитори трябва да притежават необходимите знания, умения и други способности за изпълнение на индивидуалните си отговорности. Звеното за вътрешен одит като цяло трябва да притежава или да осигури необходимите знания, умения и други способности за изпълнение на своите задължения.
Тълкувание:
Знания, умения и други способности е събирателно понятие, отнасящо се до професионалната компетентност, необходима на вътрешните одитори, за да изпълняват ефективно професионалните си отговорности. Вътрешните одитори се насърчават да демонстрират своята компетентност чрез придобиването на подходящи професионални сертификати и квалификации.
121.У1 - Ръководителят на вътрешния одит трябва да потърси компетентен съвет и помощ от експерт от организацията или извън нея, в случай че служителите в звеното за вътрешен одит не притежават знанията, уменията и другите способности, необходими за изпълнението на целия ангажимент или на част от него.
121.У2 - Вътрешните одитори трябва да притежават достатъчно знания, за да могат да оценят риска от измама и начина, по който този риск се управлява от организацията, но от тях не се очаква да притежават експертните познания на лица, чието основно задължение е разкриването и разследването на измами.
121.У3 - Вътрешните одитори трябва да притежават познания за ключовите рискове и контроли в областта на информационните технологии, както и за достъпни технологичнобазирани одитни техники за осъществяване на възложената им работа. Въпреки това не се очаква всички вътрешни одитори да притежават компетентността на вътрешен одитор, чието основно задължение е извършването на одит на информационните технологии.
121.К1 - Ръководителят на вътрешния одит трябва да откаже ангажимент за консултиране или да потърси компетентен съвет и помощ от експерт от организацията или извън нея, в случай че служителите в звеното за вътрешен одит не притежават знанията, уменията и другите способности, необходими за изпълнението на целия ангажимент или на част от него.
122 - Професионална грижа
Вътрешните одитори трябва да полагат грижи и умения, които се очакват от един разумно предпазлив и компетентен вътрешен одитор. Професионална грижа не означава непогрешимост.
122.У1 - Вътрешните одитори трябва да полагат професионална грижа, като вземат под внимание:
• обема на работата, необходим за постигане целите на ангажимента;
• относителната сложност, същественост или значимост на въпросите - обект на ангажиментите за даване на увереност;
• адекватността и ефективността на процесите на управление, управление на риска и контрол;
• вероятността от съществени грешки, измами или несъответствия;
• разходите по извършване на одитния ангажимент, съотнесени към потенциалните ползи.
122.У2 - Професионалната грижа означава, че вътрешните одитори трябва да обмислят възможността за използване на технологичнобазирани одитни техники и други техники за анализ на данни.
122.У3 - Вътрешните одитори трябва да внимават за съществените рискове, които могат да повлияят на целите, дейностите или ресурсите. Въпреки това процедурите за даване на увереност сами по себе си не гарантират идентифицирането на всички съществени рискове, дори когато са изпълнени с професионална грижа.
122.К1 - Вътрешните одитори трябва да проявяват професионална грижа при изпълнението на ангажимент за консултиране, като вземат под внимание:
• потребностите и очакванията на ръководството, включително естеството, времетраенето и представянето на резултатите от ангажимента;
• относителната сложност и обема на работата, необходима за постигане целите на ангажимента, и
• разходите по консултантския ангажимент, съотнесени към потенциалните ползи.
123 - Непрекъснато професионално развитие
Вътрешните одитори трябва да усъвършенстват знанията, уменията и другите си способности чрез непрекъснато професионално развитие.
130 - Програма за осигуряване на качеството и за усъвършенстване
Ръководителят на вътрешния одит трябва да разработи и прилага програма за осигуряване на качеството и за усъвършенстване, която покрива всички аспекти на вътрешния одит.
Тълкувание:
Програмата за осигуряване на качеството и за усъвършенстване позволява извършването на оценка на съответствието на дейността на звеното за вътрешен одит със Закона за вътрешния одит в публичния сектор, дефиницията на вътрешния одит, Стандартите за вътрешен одит в публичния сектор и оценка на спазването на Етичния кодекс. Програмата оценява също ефикасността и ефективността на дейността по вътрешен одит и идентифицира възможности за подобрения.
131 - Изисквания към програмата за осигуряване на качеството и за усъвършенстване
Програмата за осигуряване на качеството и за усъвършенстване трябва да включва както вътрешни, така и външни оценки.
Вътрешните оценки трябва да включват:
• текущ мониторинг (преглед) на изпълнението на дейността по вътрешен одит;
• периодични самооценки или оценки от други лица в организацията, които познават достатъчно практиката по вътрешен одит.
Тълкувание:
Текущият мониторинг (преглед) е интегрирана част от осъществяването на ежедневен надзор, преглед и измерване на дейността по вътрешен одит.
Текущият мониторинг (преглед) е вграден в рутинните политики и практики за управление на дейността по вътрешен одит и използва необходимите процеси, инструменти и информация, за да оцени спазването на Закона за вътрешния одит в публичния сектор, дефиницията на вътрешния одит, Етичния кодекс и Стандартите.
Периодичните оценки се извършват, за да се оцени спазването на Закона за вътрешния одит в публичния сектор, дефиницията на вътрешния одит, Етичния кодекс и Стандартите.
Достатъчното познаване на практиката по вътрешен одит изисква най-малко разбиране на нормативната уредба и на методологията по вътрешен одит в публичния сектор, а също така и на всички елементи на Международните професионални практики по вътрешен одит.
Външните оценки трябва да се извършват поне веднъж на 5 години от квалифициран, независим оценител или от екип от оценители, външни за организацията. Ръководителят на вътрешния одит трябва да обсъди с ръководителя на организацията:
• формата и честотата на външните оценки, и
• квалификацията и независимостта на оценителя или на екипа от оценители, включително всеки възможен конфликт на интереси.
Тълкувание:
Външните оценки могат да бъдат под формата на пълна външна оценка или самооценка с независимо потвърждение.
Квалифицираният оценител/екипът от оценители демонстрира компетентност в две области: професионалната практика по вътрешен одит и процеса по извършване на външна оценка. Компетентността може да бъде демонстрирана чрез съчетание от опит и теоретични познания. Опитът, придобит в организации с подобна големина, сложност, сектор или отрасъл, и техническите умения се считат за предимство. Когато оценката се извършва от екип от оценители, трябва да се има предвид квалификацията на екипа като цяло, като не е необходимо всички членове на екипа да притежават всички компетентности. Ръководителят на вътрешния одит прилага професионална преценка, когато обсъжда с ръководителя на организацията квалификацията на независимия оценител или на екипа от оценители.
Независим оценител или екип от оценители са лица, които нямат нито реален, нито предполагаем конфликт на интереси, не са част и не се намират под контрола на организацията, в рамките на която е вътрешният одит.
132 - Докладване по програмата за осигуряване на качеството и за усъвършенстване
Ръководителят на вътрешния одит трябва да доведе до знанието на ръководството резултатите от програмата за осигуряване на качеството и за усъвършенстване.
Тълкувание:
Формата, съдържанието и честотата на представянето на резултатите от програмата за осигуряване на качеството и за усъвършенстване се определят чрез обсъждания с ръководството и отразяват отговорностите на вътрешния одит и на ръководителя на вътрешния одит, съдържащи се в статута на звеното за вътрешен одит. За да се демонстрира съответствието със Закона за вътрешния одит в публичния сектор, с Етичния кодекс и със Стандартите, резултатите от външните и периодичните вътрешни оценки се представят при завършването на тези оценки, а резултатите от текущия мониторинг (преглед) - поне веднъж годишно. Резултатите включват оценката на независимия оценител или на екипа от оценители за степента на съответствие, установена от извършените вътрешни и външни оценки.
133 - Употреба на израза "Съответства със Стандартите за вътрешен одит в публичния сектор"
Ръководителят на вътрешния одит може да обяви, че дейността по вътрешен одит съответства на Стандартите за вътрешен одит в публичния сектор само ако резултатите от програмата за осигуряване на качеството и за усъвършенстване подкрепят това твърдение.
Тълкувание:
Дейността по вътрешен одит е в съответствие със Стандартите, когато постига резултатите, изисквани от Закона за вътрешния одит в публичния сектор, Етичния кодекс и Стандартите. Резултатите от програмата за осигуряване на качеството и за усъвършенстване се отнасят както до вътрешните, така и до външните оценки. Всички звена за вътрешен одит разполагат с резултатите от вътрешните оценки, а тези, които съществуват над пет години, имат възможност да разполагат и с резултатите от извършените външни оценки.
134 - Обявяване на несъответствие
Когато несъответствието със Закона за вътрешния одит в публичния сектор, Етичния кодекс и Стандартите оказва влияние върху цялостния обхват или работата на вътрешния одит, ръководителят на вътрешния одит трябва да информира за това ръководството.
СТАНДАРТИ ЗА ИЗПЪЛНЕНИЕ НА РАБОТАТА
200 - Управление на вътрешния одит
Ръководителят на вътрешния одит трябва да управлява вътрешния одит ефективно, така че той да носи полза за организацията.
Тълкувание:
Вътрешният одит е ефективно управляван, когато:
• резултатите от работата на вътрешния одит отговарят на целта и отговорностите, определени в статута на звеното за вътрешен одит;
• дейността по вътрешен одит съответства на Закона за вътрешния одит в публичния сектор и Стандартите, и
• лицата, които участват в дейността по вътрешен одит, спазват Етичния кодекс и Стандартите.
Вътрешният одит носи полза за организацията, когато предоставя разумна увереност и допринася за ефективността и ефикасността на процесите по управление, управление на риска и контрол.
201 - Планиране
Ръководителят на вътрешния одит трябва да изготвя планове въз основа на оценка на риска, в които да определя приоритетите на вътрешния одит в съответствие с целите на организацията.
Тълкувание:
Ръководителят на вътрешния одит отговаря за изготвянето на стратегически и на годишни планове за дейността по вътрешен одит въз основа на оценка на риска. Ръководителят на вътрешния одит взема предвид изготвената стратегия/рамка за управление на риска, както и определените нива на афинитет към риска от ръководството на организацията. Ако такава стратегия/рамка за управление на риска не е изготвена, ръководителят на вътрешния одит използва собствена преценка по отношение на рисковете въз основа на информацията, получена от ръководството на организацията.
Ръководителят на вътрешния одит трябва да преразгледа и коригира съответния план, когато това е необходимо, поради настъпили промени в дейността, процесите, рисковете, програмите, системите и контролите в организацията.
201.У1 - Планирането на ангажиментите на вътрешния одит трябва да се базира на оценка на риска, която се прави поне веднъж годишно. В този процес е необходимо да се вземе предвид мнението, предоставено от ръководството и от одитния комитет, ако има сформиран такъв.
201.У2 - Ръководителят на вътрешния одит трябва да идентифицира и да вземе под внимание очакванията на ръководството на организацията и на одитния комитет, ако има сформиран такъв, относно становищата и изводите на вътрешния одит.
201.К1 - Ръководителят на вътрешния одит трябва да обмисли дали да приеме ангажимент за консултиране, като прецени доколко изпълнението му ще доведе до по-добро управление на рисковете, ще донесе полза и ще подобри дейностите в организацията. Поетите ангажименти трябва да бъдат включени в плана.
202 - Представяне и одобрение
Ръководителят на вътрешния одит трябва да представи плановете за вътрешен одит и оценката за необходимите ресурси на ръководството и на одитния комитет, ако има сформиран такъв, за преглед и одобрение, включително междувременно възникналите съществени промени. Ръководителят на вътрешния одит трябва да съобщи и какъв ефект биха имали ресурсните ограничения.
203 - Управление на ресурсите
Ръководителят на вътрешния одит трябва да се увери, че ресурсите за дейността по вътрешен одит са подходящи, достатъчни и ефективно разпределени за изпълнението на одобрените планове.
Тълкувание:
Под подходящи ресурси се разбира съчетанието от знания, умения и други способности, необходими за изпълнението на съответния план.
Под достатъчни ресурси се разбира количеството ресурси, необходимо за изпълнение на плана.
Ресурсите са ефективно разпределени, когато се използват по начин, оптимизиращ изпълнението на одобрения план.
204 - Политики и процедури
Ръководителят на вътрешния одит трябва да одобри политики и процедури за работа на вътрешния одит.
Тълкувание:
Формата и съдържанието на политиките и процедурите зависят от размера и структурата на вътрешния одит и от сложността на неговата работа.
205 - Координация
Ръководителят на вътрешния одит трябва да обменя информация и да координира дейността си с тази на други лица и органи, вътрешни и външни, които извършват одит, инспекция или предоставят анализи и консултантски услуги, за да осигури оптимален обхват и минимално дублиране на усилия.
206 - Докладване пред ръководителя на организацията и пред одитния комитет, ако има сформиран такъв
Ръководителят на вътрешния одит трябва да докладва периодично пред ръководителя на организацията и пред одитния комитет, ако има сформиран такъв, относно целите, правомощията, отговорностите на вътрешния одит и изпълнението на плана. Докладването трябва да включва значителните рискове, на които е изложена организацията, както и въпроси относно контрола, рисковете от измами, управлението и други, за които е необходимо или е било поискано от ръководството или от одитния комитет, ако има сформиран такъв, да бъдат докладвани.
Тълкувание:
Честотата и съдържанието на докладването се определят чрез обсъждане с ръководителя на организацията и с одитния комитет, ако има сформиран такъв, и зависят от важността на информацията, която следва да се представи, и от неотложността на съответните действия, които следва да се предприемат от ръководителя на организацията и от одитния комитет, ако има сформиран такъв.
207 - Вътрешен одит от външни за организацията лица
Когато дейността по вътрешен одит се възлага на външно за организацията лице, то уведомява ръководителя на организацията, че отговорността за поддържане на ефективен вътрешен одит е негова.
210 - Естество на работата
Вътрешният одит трябва да оценява процесите по управление, управление на риска и контрол и да допринася за подобряването им, като прилага систематичен и дисциплиниран подход.
211 - Управление
Вътрешният одит трябва да оценява и да дава подходящи препоръки за подобряване на процеса на управление, насочени към постигането на следните цели:
• насърчаване на етични отношения и ценности в рамките на организацията;
• осигуряване на ефективно управление на организацията и поемане на отговорност;
• предоставяне на информация към съответните звена в организацията по отношение на рисковете и контрола, и
• координиране на дейностите и обмен на информация между одитния комитет, ако има сформиран такъв, външните и вътрешните одитори и ръководството.
211.У1 - Вътрешният одит трябва да оцени създаването, изпълнението и ефективността на задачите, програмите и дейностите, свързани с етиката в организацията.
211.У2 - Вътрешният одит трябва да оцени дали управлението на информационните технологии в организацията подпомага стратегиите и целите на организацията.
212 - Управление на риска
Вътрешният одит трябва да оценява ефективността и да допринася за подобряването на процесите по управление на риска.
Тълкувание:
Определянето на ефективността на процесите по управление на риска се основава на оценката на вътрешния одитор дали:
• целите на организацията подкрепят и съответстват на нейната мисия;
• значителните рискове са идентифицирани и оценени;
• е избрана подходяща реакция на рисковете, съответстващи на риск афинитета на организацията, и
• своевременно се събира и предоставя релевантна информация за рисковете, позволяваща на ръководството и служителите в организацията да изпълняват своите отговорности.
Вътрешният одит може да събира необходимата информация за тази оценка по време на различни одитни ангажименти. Резултатите от тези ангажименти, разглеждани като цяло, осигуряват разбиране за процесите по управление на риска в организацията и тяхната ефективност.
Мониторингът на процесите по управление на риска се осъществява чрез текущи управленски дейности, отделни оценки или чрез двете.
212.У1 - Вътрешният одит трябва да оценява рисковете, свързани с управлението, оперативната дейност и информационните системи на организацията, които могат да възникнат по отношение на:
• съответствието им със закони, подзаконови и вътрешни актове, политики, процедури и договори;
• надеждността и целостта на финансовата и оперативната информация;
• ефективността и ефикасността на оперативните дейности и програми;
• опазването на активите;
• постигане на стратегическите цели на организацията.
212.У2 - Вътрешният одит трябва да оценява вероятността от извършване на измами и как организацията управлява риска от измами.
212.К1 - При изпълнение на консултантски ангажименти вътрешните одитори трябва да обърнат внимание на рисковете, свързани с целите на ангажимента, и да имат предвид съществуването на други значими рискове.
212.К2 - Вътрешните одитори трябва да използват информацията за рисковете, придобита при извършване на консултантски ангажименти, при оценяване на процесите по управление на риска в организацията.
212.К3 - Когато подпомагат ръководството при въвеждането и подобряването на процесите по управление на риска, вътрешните одитори не трябва да поемат отговорност за управлението на рисковете.
213 - Контрол
Вътрешният одит трябва да подпомага организацията при поддържането на ефективни форми на контрол, като оценява тяхната ефективност и ефикасност и насърчава непрекъснатото им усъвършенстване.
213.У1 - Вътрешният одит трябва да оценява адекватността и ефективността на формите за контрол, изградени в отговор на рисковете в рамките на управлението на организацията, оперативната дейност и информационните системи, по отношение на:
• постигане на стратегическите цели на организацията;
• съответствието им със закони, подзаконови и вътрешни актове, политики, процедури и договори;
• надеждността и целостта на финансовата и оперативната информация;
• ефективността и ефикасността на оперативните дейности и програми;
• опазването на активите.
213.К1 - В процеса на идентифициране и оценяване на значимите рискове за организацията вътрешните одитори трябва да използват информацията за формите за контрол, придобита при извършване на консултантските ангажименти.
220 - Планиране на ангажимента
Вътрешните одитори трябва да разработят и документират план за всеки поет ангажимент, който да включва целите, обхвата, времетраенето и разпределението на ресурсите за изпълнение на ангажимента.
При планиране на работата по ангажимента вътрешните одитори трябва да имат предвид:
• целите на дейността, която се проверява, както и механизмите, чрез които се контролира тяхното постигане;
• съществените рискове, на които е изложена дейността, нейните цели, ресурсите и операциите, както и механизмите, чрез които потенциалното влияние на риска се поддържа в допустими граници;
• адекватността и ефективността на процесите на управление, управление на риска и контрол спрямо приложима рамка или модел, и
• възможностите за извършване на значителни подобрения на процесите на управление, управление на риска и контрол.
220.К1 - При консултантски ангажимент вътрешните одитори трябва да постигнат заедно с ръководството разбиране по отношение на целите, обхвата, съответните отговорности и другите очаквания на ръководството. При значими ангажименти това разбиране трябва да бъде документирано.
221 - Цели на ангажимента
Всеки ангажимент трябва да има конкретно определени цели.
221.У1 - Вътрешните одитори трябва да направят предварителна оценка на рисковете, свързани с проверяваната дейност. Целите на ангажимента трябва да отразяват резултатите от тази оценка.
221.У2 - В процеса на определяне на целите на ангажимента вътрешните одитори трябва да имат предвид вероятността за наличието на съществени грешки, измами, несъответствия и др.
221.У3 - Необходими са адекватни критерии за оценка на управлението, управлението на риска и контрола. Вътрешните одитори трябва да установят степента, до която ръководството е въвело адекватни критерии за определяне постигането на поставените цели и задачи. Ако тези критерии са адекватни, вътрешните одитори трябва да ги използват в процеса на оценяване. Ако критериите не са адекватни, вътрешните одитори трябва да работят заедно с ръководството за създаването на подходящи критерии за оценяване.
221.К1 - Целите на консултантските ангажименти трябва да отчитат процесите на управление, управление на риска и контрол, доколкото за това е постигнато съгласие с ръководството.
221.К2 - Целите на консултантските ангажименти трябва да бъдат в съответствие с ценностите, стратегиите и целите на организацията.
222 - Обхват на ангажимента
Установеният обхват трябва да бъде достатъчен за постигането на целите на ангажимента.
222.У1 - При определяне обхвата на ангажимента трябва да се вземат предвид съответните системи, документация, персонал и имущество, включително това, което се намира под контрола на външни за организацията лица.
222.У2 - Ако при изпълнение на ангажимент за даване на увереност възникнат значителни възможности за консултиране, трябва да бъде постигнато отделно писмено разбиране с ръководството относно целите, обхвата, отговорностите и другите очаквания. Резултатите от ангажимента за консултиране трябва да бъдат представени в съответствие със стандартите за извършване на консултантска дейност.
222.К1 - При изпълнение на консултантски ангажимент вътрешните одитори трябва да осигурят достатъчен обхват на ангажимента, за да бъдат постигнати договорените цели. Ако по време на ангажимента у вътрешните одитори възникнат резерви по отношение на обхвата, тези резерви трябва да се обсъдят с ръководството, за да се реши дали изпълнението на ангажимента да продължи.
222.К2 - При изпълнение на консултантски ангажимент вътрешните одитори трябва да обърнат внимание на формите на контрол, съотносими към целите на ангажимента, и на значими въпроси, свързани с контрола.
223 - Разпределение на ресурсите за изпълнение на ангажимента
Ръководителят на вътрешния одит трябва да определи подходящи и достатъчни ресурси за постигане на целите на ангажимента след оценяване на естеството и сложността на всеки ангажимент, срока за изпълнението му и наличните ресурси.
224 - Работна програма на ангажимента
Вътрешните одитори трябва да изготвят работни програми за постигане целите на ангажимента. Тези работни програми трябва да се документират.
224.У1 - Работните програми трябва да включват процедури за идентифициране, анализ, оценка и документиране на информацията по време на ангажимента. Работната програма трябва да бъде одобрена от ръководителя на вътрешния одит, преди да започне нейното изпълнение. Одобрение се изисква и за всяка следваща промяна в нея.
224.К1 - Работните програми по консултантски ангажименти могат да бъдат с различна форма и съдържание в зависимост от естеството на ангажимента.
230 - Изпълнение на ангажимента
Вътрешните одитори трябва да идентифицират, анализират, оценяват и документират достатъчно информация, за да постигнат целите на ангажимента.
231 - Идентифициране на информацията
Вътрешните одитори трябва да идентифицират достатъчна, надеждна, уместна и полезна информация, за да постигнат целите на ангажимента.
Тълкувание:
Под достатъчна информация се разбира фактическа, адекватна и убедителна информация, при наличието на която едно разсъждаващо логично и информирано лице би достигнало до същите заключения, до които е достигнал одиторът.
Надеждна информация е тази, която е максимално постижима чрез използване на подходящи техники по ангажимента.
Уместната информация подкрепя наблюденията, констатациите и препоръките по ангажимента и съответства на целите на ангажимента.
Полезната информация помага на организацията да постигне целите си.
232 - Анализ и оценка
Вътрешните одитори трябва да основават изводите и резултатите от ангажимента на извършени подходящи анализи и оценки.
233 - Документиране на информацията
Вътрешните одитори трябва да документират съответната информация, подкрепяща изводите и резултатите от ангажимента.
233.У1 - Ръководителят на вътрешния одит трябва да упражнява контрол върху достъпа до документацията по ангажимента. Ръководителят на вътрешния одит трябва да получи одобрението на ръководителя на организацията, преди да разкрие такава документация пред външни лица.
233.У2 - Ръководителят на вътрешния одит трябва да разработи изисквания за съхраняване на документацията по ангажиментите, независимо от формата, под която всеки от документите се съхранява. Тези изисквания трябва да са в съответствие с вътрешните правила на организацията, както и с всички приложими нормативни или други изисквания.
233.К1 - Ръководителят на вътрешния одит трябва да разработи изисквания и политики за запазването и съхраняването на документацията по ангажиментите, както и да определи реда за предоставянето ѝ на вътрешни и външни лица. Тези политики трябва да са в съответствие с вътрешните правила на организацията, както и с всички свързани нормативни или други изисквания.
234 - Надзор върху работата по ангажимента
Ръководителят на вътрешния одит осъществява надзор по подходящ начин върху изпълнението на ангажиментите с цел да се осигури постигане на целите, качество на работата и развитие на персонала.
Тълкувание:
Степента на необходимия надзор ще зависи от професионализма и опита на вътрешните одитори и от сложността на ангажимента. Ръководителят на вътрешния одит носи цялостната отговорност за извършването на надзор над ангажимента. Ръководителят на вътрешния одит може да възложи на друг вътрешен одитор с подходящ опит извършването на надзора. Извършеният надзор следва да се документира и съхранява по подходящ начин.
240 - Представяне на резултатите
Вътрешните одитори трябва да представят резултатите от изпълнението на ангажиментите.
241 - Критерии за представяне на резултатите
При представянето на резултатите трябва да се посочат целите и обхватът на ангажимента, както и приложимите изводи, препоръки и планове за действие.
241.У1 - Окончателният доклад за резултатите от ангажимента трябва да съдържа мнение и/или заключение (извод) на вътрешните одитори, когато това е уместно. Очакванията на ръководителя на организацията, на одитния комитет, ако има сформиран такъв, и на други заинтересовани страни трябва да се имат предвид, когато се предоставят мнения или заключения (изводи). Те задължително се подкрепят с достатъчна, надеждна, уместна и полезна информация.
Тълкувание:
Мненията на ниво одитен ангажимент могат да бъдат изразени под формата на оценки, изводи и други описания на резултатите. Съответният ангажимент може да бъде по отношение на формите за контрол, свързани с даден процес, риск или структурно звено. Формулирането на такива мнения изисква преценка на резултатите от ангажимента и на тяхната значимост.
241.У2 - Вътрешните одитори се насърчават да отбелязват доброто представяне на организацията при изготвяне на доклада за резултатите от ангажимента.
241.У3 - При предоставянето на резултатите от ангажимента на лица извън организацията трябва да се посочат и ограниченията за разпространяването и използването им.
241.К1 - Отчитането на напредъка и на резултатите от консултантските ангажименти може да бъде различно по форма и съдържание в зависимост от естеството на ангажимента и от потребностите на ръководството.
242 - Качество на докладите
Докладите трябва да бъдат прецизни, обективни, ясни, стегнати, конструктивни, пълни и навременни.
Тълкувание:
Докладите са прецизни, когато не съдържат грешки и изкривена информация и отразяват вярно съществените факти и обстоятелства.
Докладите са обективни, когато са честни, безпристрастни и непредубедени и са резултат от справедлива и балансирана оценка на всички релевантни факти и обстоятелства.
Докладите са ясни, когато са лесно разбираеми и логични, не съдържат излишни технически термини и предоставят цялата значима и релевантна информация.
Докладите са стегнати, когато са конкретни и не съдържат ненужни обяснения, излишни подробности, повторения и многословие.
Докладите са конструктивни, когато подпомагат ръководството и водят до подобряване на дейността, в случай че това е необходимо.
Докладите са пълни, когато в тях не е пропуснато нищо съществено, което да е от значение за неговите потребители, и когато включват цялата значима и релевантна информация и констатации в подкрепа на направените препоръки и изводи.
Докладите са навременни, когато са представени в подходящия момент и своевременно, в зависимост от значимостта на разглежданите въпроси, и позволяват на ръководството да предприеме подходящи коригиращи действия.
Ако окончателният доклад съдържа съществена грешка или пропуск, ръководителят на вътрешния одит трябва да предостави коригираната информация на всички лица, които са получили първоначалния доклад.
243 - Употреба на израза "Извършен в съответствие със Стандартите за вътрешен одит в публичния сектор"
Вътрешните одитори могат да докладват по отношение на своите ангажименти, че са "Извършени в съответствие със Стандартите за вътрешен одит в публичния сектор" само и единствено ако резултатите от програмата за осигуряване на качеството и за усъвършенстване подкрепят това твърдение.
Обявяване на несъответствие на ангажимента
Когато несъответствие с дефиницията на вътрешния одит, с Етичния кодекс или със Стандартите окаже влияние върху изпълнението на определен ангажимент, при представянето на резултатите от него трябва да се посочат:
• принципът или правилото в дефиницията, в Етичния кодекс или в Стандарта/ Стандартите, с които не е постигнато пълно съответствие;
• причината/причините за несъответствието, и
• влиянието на несъответствието върху изпълнението и резултатите от ангажимента.
244 - Получатели на резултатите от ангажимента
Ръководителят на вътрешния одит трябва да предостави на подходящите лица резултатите от ангажимента.
Тълкувание:
Ръководителят на вътрешния одит е отговорен за прегледа и одобряването на доклада от ангажимента преди окончателното му представяне, както и за решението на кого и как да бъде предоставен.
Когато ръководителят на вътрешния одит делегира това задължение, той не се освобождава от отговорността за него.
244.У1 - Ръководителят на вътрешния одит е отговорен крайните резултати от ангажимента да бъдат предоставени на лицата, които имат отношение към тях.
244.У2 - Ако няма други правни изисквания, предвидени в закон или в друг акт, преди представяне на резултатите на лица извън организацията ръководителят на вътрешния одит е длъжен:
• да оцени потенциалния риск за организацията;
• да се консултира с ръководството и с правоспособен юрист от организацията, в случай че е уместно;
• да контролира разпространението на резултатите, като ограничи тяхното използване.
244.К1 - Ръководителят на вътрешния одит носи отговорността за предоставянето на ръководството на организацията на крайните резултати от ангажимента по консултиране.
244.К2 - При изпълнение на консултантски ангажименти могат да бъдат установени проблеми, свързани с управлението на риска, контрола и управлението в организацията. Винаги когато тези въпроси са значими за организацията, за тях трябва да бъдат информирани ръководството и одитният комитет, ако има сформиран такъв.
245 - Цялостни мнения
Когато се предоставя цялостно мнение, трябва да се имат предвид очакванията на ръководителя на организацията и на одитния комитет, ако има сформиран такъв. Мнението трябва да бъде подкрепено с достатъчна, надеждна, уместна и полезна информация.
Тълкувание:
Цялостното мнение е оценката, заключението и/или друго описание на резултатите, изразено от ръководителя на вътрешния одит относно общото управление, управлението на риска и/или контролните процеси в организацията. То се основава на професионалната оценка на ръководителя на вътрешния одит, базирана на резултатите от редица отделни одитни ангажименти за определен период от време.
При предоставяне на цялостно мнение се посочват:
• обхватът, включително времевият период, за който се отнася мнението;
• ограничения на обхвата;
• всички проекти и други лица, предоставящи услуги за даване на увереност, които са взети предвид;
• рамката на риска или контрола, или други критерии, използвани като основа на цялостното мнение, и
• цялостното мнение, преценка или заключение, което е направено.
Причините за незадоволително цялостно мнение трябва да бъдат оповестени.
250 - Мониторинг на напредъка
Ръководителят на вътрешния одит трябва да изгради и поддържа система за мониторинг на статуса на резултатите, представени на ръководството.
250.У1 - Ръководителят на вътрешния одит трябва да въведе процес за проследяване на резултатите и да се увери, че
управленските действия са били ефективно осъществени или че ръководството е поело риска от непредприемане на действия.
250.К1 - Вътрешният одит трябва да наблюдава статуса на резултатите от консултантски ангажименти до степента, договорена с ръководството.
260 - Комуникация относно приемането на рискове
Ако ръководителят на вътрешния одит счита, че ръководството е приело ниво на риск, което може да е неприемливо за организацията, той трябва да обсъди въпроса с ръководителя на организацията. Ако въпросът не бъде разрешен, ръководителят на вътрешния одит трябва да докладва пред одитния комитет, ако има сформиран такъв.
Тълкувание:
Идентифицирането на риск, приет от ръководството, може да бъде резултат от ангажимент за даване на увереност или консултиране, мониторинг на напредъка по действията, предприети от ръководството, в резултат на предишни одитни ангажименти. Вземането на решения за предприемането на мерки по ограничаване на даден риск не е отговорност на ръководителя на вътрешния одит.