’’Prăbușirea Carillion*1 a dus la o revizuire largă a cadrului de guvernanță corporativă al Regatului Unit, inclusiv a regimului de audit. Acest lucru creează provocări pentru auditul intern, dar în egală măsură, oferă o oportunitate de a spori rolul profesiei de audit intern ca piatră de temelie a bunei guvernări corporative. De aceea, AII răspunde la această provocare, consultând părțile interesate relevante – atât în cadrul profesiei, cât și în afara acesteia prin elaborarea unui Cod de practică profesională in auditul intern. Acest nou Cod își propune să incorporeze cele mai bune practici și să ridice barierele de la nivelul profesiei. Dezvoltarea acestui nou Cod are la bază activitatea AII având drept model Codul firmelor din sectorul serviciilor financiare, care a avut un mare succes în îmbunătățirea domeniului de aplicare, dar și al statutului, normelor, principiilor auditului intern.
În urma crizei financiare, o critică comună a funcției de audit intern din sectorul serviciilor financiare a fost aceea că aceasta nu a fost luată suficient în serios de către părțile interesate din cadrul organizațiilor. Cu toate acestea este de remarcat faptul că, în termen de doi ani de la introducerea Codului de practică profesională a auditorului intern pentru domeniul serviciilor financiare, 81% din șefii de audit intern au avut o linie de raportare către CEO (în creștere de la 63%), 84% au participat in Comitetul Executiv (în creștere de la 48%) și 37% au avut un grad echivalent cu CFO- chief financial officer (în creștere de la 19%).
Totuși Codul de practică profesională a auditorului intern pentru sectorul serviciilor financiare a fost un succes parțial, deoarece a fost bazat numai pe principii, stabilind în același timp standarde clare. Deci, în elaborarea noului Cod de practică profesională în auditul intern pentru sectorul industriei trebuie să se aibă in vedere performanța profesiei de audit intern.
Odată convenit și publicat, noul Cod va oferi un punct de referință, de bune practici pentru auditorii interni care lucrează in sectorul industriei. Acesta va da posibilitatea, evaluării rolului şi eficacității funcţiei de audit intern de către consiliile de administrație, comitetele de audit și, după caz autorităților de reglementare din Marea Britanie, spune în prefaţă Brendan Nelson, Președintele Comitetului de Audit şi al Comitetului director al Codului de Practică.
Recomandarile formulate mai jos vizează îmbunătățirea eficacității generale a auditului intern și a impactului acestuia în cadrul organizațiilor care operează în Marea Britanie și Irlanda. Ele pot fi considerate un reper de bune practici care dau posibilitatea organizațiilor să-și evalueze funcția de audit intern. Publicul căruia i se adresează Cod de practică profesională în auditul intern pentru sectorul industriei este format din șefii de audit intern, directori executivi și neexecutivi și, în special, membri ai comisiilor de audit și de risc și, după caz, organe de reglementare.
Codul trebuie aplicat împreună cu Cadrul Internațional de Practici Profesionale existente (IPPF) publicat de Institutul Global al Auditorilor Interni, care include Standarde internaționale pentru practica profesională a auditului intern („Standardele IIA”). Codul se bazează pe aceste standarde AII și încearcă să crească eficacitatea și impactul auditului intern în cadrul organizațiilor prin clarificarea așteptărilor și cerințelor. Rolul principal al auditului intern ar trebui să fie de a ajuta consiliul de administrație și conducerea executivă să protejeze activele, reputația și sustenabilitatea organizației. Auditul intern face acest lucru atât prin evaluarea riscurilor semnificative dacă sunt identificate și raportate corespunzător de către conducerea consiliului de administrație de către conducerea executivă; prin evaluarea sistemului de control intern, cât și prin provocarea managementului in vederea îmbunătățirii eficacității guvernanței, a gestionării riscurilor și a controalelor interne. Rolul auditului intern ar trebui să fie prevăzut într-o Cartă de audit intern, care ar trebui să fie publică.
Domeniul de aplicare și prioritățile auditului intern
–Domeniul de aplicare al auditului intern trebuie să fie nelimitat;
–Evaluările riscurilor și prioritizarea lucrărilor de audit intern în stabilirea domeniului său de aplicare-auditul intern ar trebui să-și formeze propria judecată profesională cu privire la modul în care este cel mai bine să-şi planifice auditul, având în vedere structura și profilul de risc al organizației. Ar trebui să țină seama de strategia de afaceri și ar trebui ca după identificarea riscurilor cheie pentru organizație, a riscurilor emergente și sistemice să evalueze, cum în mod eficient aceste riscuri sunt gestionate. Opinia independentă a auditului intern ar trebui să fie informată, dar nu determinată, de opiniile conducerii. În stabilirea priorităților sale, auditul intern ar trebui să se concentreze asupra domeniilor care au nivelul riscului cel mai ridicat. Hotărârea auditului intern cu privire la domeniile ce vor fi auditate, cu privire la misiunile cuprinse in planul de audit și la frecvența și metoda de acoperire a ciclului de audit, trebuie să fie supuse aprobării comitetului de audit.
-Acoperirea și planificarea auditului intern-Planurile de audit intern și modificările importante ale acestora trebuie să fie aprobate de Comitetul de Audit. Acestea ar trebui să aibă flexibilitate și să ia în calcul si evenimentele neplanificate pentru a permite auditului intern să acorde prioritate riscurilor aferente unor situații neprevăzute. Modificările aduse planului de audit ar trebui luate în considerare având în vedere evaluarea permanentă a riscurilor efectuată de auditul intern.
-Domeniul de audit intern-Sfera de activitate a auditului intern trebuie revizuită periodic pentru a ține cont de riscurile noi. După caz, auditul intern ar trebui să evalueze nu numai procesul urmat de prima și a doua linie de apărare ale organizației*2, ci și calitatea activității acestora. Cel puțin, auditul intern ar trebui să includă în sfera sa de activitate următoarele domenii:
• Guvernanța;
• Informațiile prezentate consiliului de administrație și conducerii executive pentru luarea deciziilor strategice și operaționale;
• Stabilirea și respectarea riscurilor pe care entitatea este dispusă să le accepte (apetitul la risc);
• Cultura riscului și controlului intern;
• Evenimente cheie corporative;
• Rezultatele proceselor;
Raportarea rezultatelor- Auditul intern ar trebui să furnizeze rapoarte organelor de conducere corespunzătoare, comitetului de audit, consiliului de administrație și oricărui alt comitet de consiliu, după caz. Natura rapoartelor va depinde de competențele organismelor de conducere respective.
–Raportarea auditului intern către bord și/sau către orice alte comisii, ar trebui să includă profilul de risc al organizației. În majoritatea organizațiilor, vor exista unele funcții ale căror responsabilități includ proiectarea și/sau controlul operațional asupra riscurilor. Aceste funcții (denumite în continuare „funcții de control”) vor avea, de asemenea, o responsabilitate directă pentru gestionarea anumitor riscuri de afaceri (de exemplu, o funcție financiară va proiecta și va opera controale legate de cheltuielile efectuate la nivelul organizației, dar vor avea, de asemenea, și responsabilitatea directă pentru gestionarea riscurilor de trezorerie)
Interacţiunea auditului cu controlul intern şi cu managemntul riscului
–Auditul intern ar trebui să includă în sfera sa de aplicare o evaluare a adecvării și a eficacității funcțiilor de control.
–Obiectivitatea auditorului intern este un principiu ce poate fi indeplinit in condidițiile in care nu este implicat in funcțiile de „control” ale organizației, o astfel de separare fiind obligatorie. Cu toate acestea, scopul și abilitățile auditului intern sunt complementare cu cele ale funcțiilor de „control” și, în unele cazuri, organizațiile pot atribui responsabilitatea pentru unele funcții de „control” Șefului de Audit Intern. Un exemplu este cel al unui șef atăt de Audit Intern cât si de Risc .
-În cazurile în care Șeful de audit intern a primit și funcție de „control”, Comitetul de Audit ar trebui să se asigure că responsabilitățile suplimentare ale acestuia:
• nu-i subminează capacitatea de a acorda o atenție adecvată responsabilităților de audit intern;
• nu-i afectează independența față de conducere;
• sunt documentate corespunzător în Carta de audit intern.
Consiliul de administrație ar trebui, de asemenea, să recunoască faptul că Șeful de Audit nu este în măsură să facă o evaluare obiectivă a eficacității atribuţiilor suplimentare pentru care are responsabilități de control și în acest caz, ar fi indicat să externalizeze această evaluare.
Independența și autoritatea auditului intern
–Șeful de audit intern ar trebui să ocupe un nivel suficient de înalt în cadrul organizației pentru a-i acorda statutul, accesul și autoritatea corespunzătoare pentru a contesta executivul. Directorii/coordonatorii/șefii de audit ar trebui să aibă, de asemenea, o vechime comparabilă cu conducerea superioară a organizației.
–Auditul intern ar trebui să aibă dreptul de a participa la reuniunile comitetului executiv și la orice alte foruri de decizie cheie.
–Auditul intern ar trebui să aibă acces suficient și în timp util la informațiile cheie despre management și la toate registrele organizației, necesare pentru îndeplinirea responsabilităților sale. În organizațiile în care funcția de audit intern este externalizată, președintele Comitetului de Audit ar trebui să identifice o persoană responsabilă, pentru a se asigura că echipa de audit are acces suficient și în timp util la informațiile și deciziile cheie ale managementului.
–Șeful de audit intern ar trebui sa raporteze in primul rând președintelui comitetului de audit. În circumstanțe excepționale, comitetul de audit poate dori ca auditul intern să raporteze direct președintelui consiliului de administrație sau să delege responsabilitatea președintelui altui comitet cu condiția ca președintele și toți ceilalți membri ai comisiei să fie independenți si neimplicați in execuție. Linia de raportare ar trebui să respecte principiile independenței si obiectivității.
–Comitetul de audit ar trebui să fie responsabil pentru numirea cât și eliberarea din funcție a Șefului de audit intern.
-Președintele comitetului de audit ar trebui să răspundă pentru stabilirea obiectivelor Șefului de audit intern și să realizeze evaluarea performanței sale cel puțin anual. Ar fi de preferat ca atât în ceea ce privește evaluare cât si stabilirea obiectivelor să se tină cont de opiniile directorului executiv. Această evaluare ar trebui să ia în considerare independența, obiectivitatea și mandatul Șefului de audit intern. În cazul în care funcția de Șef de Audit intern depășește șapte ani, comitetul de audit ar trebui să evalueze independența și obiectivitatea persoanei desemnate in acesta funcție.
–Președintele Comitetului de Audit ar trebui să fie responsabil de recomandarea cu privire la remunerația Șefului de audit intern. Remunerația șefului de audit intern și a personalului de audit intern ar trebui să fie structurate astfel încât să evite conflictele de interese, să nu afecteze independența și obiectivitatea acestora și să nu fie direct sau legat exclusiv de performanța pe termen scurt a organizației.
–Șefii de audit intern ai filialelor si diviziilor ar trebui să raporteze în principal auditorului, șef al grupului, recunoscând în același timp legislația sau reglementările locale. Aceasta include responsabilitatea pentru stabilirea bugetelor, remunerarea şefilor de audit, efectuarea evaluărilor și revizuirea planului de audit. Auditorul șef al grupului ar trebui să ia în considerare independența, obiectivitatea și mandatul șefilor filialelor/ diviziilor atunci când evaluaeză funcția de audit.
– Dacă auditul intern are o linie de raportare executivă secundară, aceasta ar trebui să fie la CEO pentru a păstra independența față de orice domeniu sau funcție specială și pentru a stabili permanența auditului intern alături de membrii comitetului executiv.
Resurse
–Șeful de audit intern trebuie să se asigure că echipa de audit are abilitățile și experiența, inclusiv expertiza tehnică în materie, corespunzătoare cu amploarea operațiunilor și riscurile organizației. Aceasta poate presupune instruire, recrutare, detașare din alte compartimente ale organizației sau externalizare.
–Șeful de audit intern ar trebui să ofere comitetului de audit o evaluare periodică a competențelor necesare pentru desfășurarea lucrărilor necesare și dacă bugetul de audit intern este suficient pentru recrutarea personalului și pentru a păstra personalul sau in unele cazuri pentru a putea apela la expertiza externa care să dețină experiența și obiectivitatea necesare .
–Comitetul de Audit ar trebui să fie responsabil pentru aprobarea bugetului aferent desfășurării activității de audit intern și, ca parte a responsabilității generale de guvernare a consiliului de administrație, ar trebui să prezinte în raportul său anual dacă este convins că auditul intern dispune de resursele adecvate.
Programul de asigurare și îmbunătățire a calității (QAIP)
–Consiliul de administrație sau comitetul de audit este responsabil pentru evaluarea performanței funcției de audit intern în mod periodic. Pentru a face acest lucru, va trebui să identifice criteriile adecvate de evaluare a performanței auditului intern. Realizarea misiunilor de audit cuprinse în planul de audit nu ar trebui să fie singurul criteriu în această evaluare.
–Auditul intern ar trebui să mențină un set actualizat de politici și proceduri, precum și măsuri de performanță și eficacitate pentru funcția de audit intern. Performanța funcției de audit intern ar trebui să fie continuu îmbunătățită prin prisma evoluțiilor industriei.
–Funcțiile de audit intern ar trebui să dezvolte un program de asigurare și îmbunătățire a calității, cu activitatea desfășurată. Persoanele care efectuează evaluările ar trebui să aibă competența și experiența necesară pentru a se asigura că judecata profesională și opiniile exprimate pot fi dovedite. Rezultatele acestei evaluări ar trebui să fie prezentate direct Comitetului de Audit cel puțin anual.
-În cazul în care funcția de audit intern este subcontractată unui furnizor extern, activitatea de audit intern ar trebui să facă obiectul acelorași activități ca și în cazul funcției interne de audit. Rezultatele acestui Program de asigure și îmbunătățire a calității (Quality Assurance and Improvement Program QAIP), ar trebui prezentate Comitetului de Audit cel puțin anual pentru revizuire. Șefii auditului intern ar trebui să raporteze în mod regulat Comitetului de Audit cu privire la acțiunile sau progresele implementării Programului de asigure și îmbunătățire a calității si a rezultatelor revizuirii.
–Comitetul de audit ar trebui să obțină o evaluare externă independentă și obiectivă, a funcției de audit, la intervale adecvate, indiferent de dimensiunea organizației. În orice caz, funcția de audit intern în ansamblu ar trebui să fie supusă la o revizuire cel puțin o dată la cinci ani, așa cum este stabilit în cadrul internațional pentru practici profesionale . Conformitatea cu aceste recomandări ar trebui inclusă în mod explicit în această evaluare. Președintele comitetului de audit ar trebui să supravegheze și să aprobe procedura de numirea a evaluatorului independent.
*1Gigantul din construcții a intrat în stare de lichidare luni 15 ianuarie 2018 cu datorii estimate la 900 de milioane de lire (circa un miliard de euro) și un deficit al fondului de pensii estimat la 587 de milioane de lire. Carillion are circa 43000 de angajați în lumea întreagă dintre care circa 20000 în Marea Britanie și era angajată în proiecte de construcții publice cum ar fi legătura feroviară de mare viteză HS2 care urma să lege Londra de nordul țării.
*2 Responsabilitatea primară de a gestiona riscurile este a departamentelor de business, acolo unde se și generează aceste riscuri, și care reprezintă Prima Linie de Apărare. Funcția de management al riscurilor reprezintă A Doua Linie de Apărare și are ca responsabilitate principală să furnizeze suport funcției de business și anume sa elaboreze cadrul pentru un management eficient al riscurilor și să supravegheze implementarea și aplicarea acestuia de către Prima Linie. A Doua Linie va furniza opinii pentru a ajuta Prima Linie să ia deciziile cele mai bune si va atenționa businessul în cazul in care consideră că deciziile acestuia nu sunt aliniate cu principiile de risc.Auditul Intern reprezintă a Treia Linie de Apărare și are rolul de a analiza activitatea celorlalte doua Linii, astfel furnizând o perspectivă independentă asupra gestionării riscului în carul organizației.
Vă invităm sa citiţi tot articolul accesând următorul link :
Sursa: https://www.iia.org.uk/research-and-insight/internal-audit-code-of-practice-consultatio
