У разі створення підрозділів внутрішнього аудиту (далі – підрозділи внутрішнього аудиту) або за відсутності останніх спеціалісти з внутрішнього аудиту (далі – спеціалісти з внутрішнього аудиту) в територіальних органах, установах, що належать до сфери управління Мін’юсту, повинні дотримуватися вимог цієї Методики.
Ідентифіковані, оцінені ризики та відповідні бали щодо кожного об’єкта внутрішнього аудиту з простору внутрішнього аудиту відображаються у загальному реєстрі ризиків підконтрольних суб’єктів внутрішнього аудиту (додаток 2).
Враховуючи, що за результатами оцінки ризиків у просторі аудиту визначено велику кількість об’єктів внутрішнього аудиту та ризиків, пов’язаних з такими об’єктами, для аналізу важливості кожного об’єкта внутрішнього аудиту використовується набір загальних критеріїв відбору, який допомагає визначити пріоритетність (першочерговість) дослідження відповідного об’єкта внутрішнього аудиту, тобто сутність цього етапу – відбір тих об’єктів внутрішнього аудиту, дослідження яких є найбільш доцільним.
Щодо кожного об’єкта внутрішнього аудиту (визначений у просторі внутрішнього аудиту) кожного підконтрольного суб’єкта внутрішнього аудиту застосовується поетапна процедура визначення пріоритетності об’єктів аудиту, яка складається з чотирьох етапів, а саме:
- перший етап – визначення балів для критеріїв відбору.
На даному етапі визначаються бали за критеріями відбору враховуючи значення таких критеріїв (розділи А, B, C, D, E, F, G, H, I, J, K, L додатка 3). При цьому для визначення балів за критеріями відбору ІТ - системи та зв’язок, кадрові, репутаційні (розділи B, C, D додатка 3) для початку потрібно оцінити кожен з таких критеріїв застосовуючи критерії оцінки зазначені в додатку 3-1, потім визначити середній бал за відповідним критерієм відбору. Середній бал розраховується як сума наявних балів за кожним значенням критеріїв оцінки (для одного критерію відбору) поділених на відповідну кількість таких критеріїв оцінки (для одного критерію відбору). Результати такої оцінки відображаються у додатку 4. У випадку отримання балів, що мають не ціле значення здійснюється округлення до цілих чисел відповідно до правил округлення.
Оцінка надійності системи внутрішнього контролю (розділ F графа 2
додатка 3) здійснюється шляхом тестування існуючих індикаторів для оцінки стану внутрішнього контролю, наведених у додатку 3-2. Залежно від відповіді, наданої на питання для оцінки підконтрольним суб’єктом внутрішнього аудиту, проставляється бал від 0 до 3 (1 – низький, 2 – середній, 3 – високий), розраховується середній бал. Результати тестування відображаються у додатку 4-1. Середній бал визначає ступінь надійності системи внутрішнього контролю.
- другий етап – визначення показників вагомості за кожним критерієм відбору.
З метою визначення найбільш важливих (вагомих) критеріїв відбору, на даному етапі кожному критерію відбору об’єктів у додатку 3 встановлено значення показників вагомості від 1 до 5 (1 – мінімальний, 5 – максимальний).
- третій етап – розрахунок індексу пріоритетності.
На даному етапі розраховується індекс пріоритетності шляхом поєднання загальної оцінки ризику за ймовірністю та впливом, показника вагомості та балу, який наданий критеріям відбору, у формулу, яка допомагає визначити індекс пріоритетності (Ip):
Ір = Rm ×((A ×3) + (B ×2) + (C ×2) + (D×2) + (Е×4) + (F×2)+ (G×1)+
(Н×2) + (I×3) + (J×3) +(K×3)+(L×5))/n,
де Ip – індекс пріоритетності, Rm – загальна оцінка ризику за ймовірністю та впливом (додаток 2 Методики), A – L – бал, присвоєний за критерієм відбору на першому етапі, 1 – 5 – показник вагомості критерію відбору, присвоєний на другому етапі, n – загальна кількість застосованих критеріїв відбору.
- четвертий етап – визначення пріоритетності об’єктів внутрішнього аудиту. Розрахований на попередньому етапі індекс пріоритетності використовується для визначення об'єктів аудиту з «дуже високим», «високим», «середнім» або «низьким» ступенем пріоритетності.
Результати поетапної процедури визначення пріоритетності об’єктів аудиту відображаються у додатку 4-2.
Перелік об’єктів для включення до Стратегічного та Операційного планів діяльності з внутрішнього аудиту підрозділів (спеціалістів)
з внутрішнього аудиту територіальних органів, установ, що належать до сфери управління Мін’юсту, Зведених планів відображається у додатку 4-3.
У разі наявності зауважень Управління до відбору об’єктів підрозділів (спеціалістів) з внутрішнього аудиту, керівники територіальних органів, установ, що належать до сфери управління Мін’юсту, забезпечують його коригування з урахуванням таких зауважень та подання до Управління.
Також щороку працівниками Управління, підрозділами (спеціалістами)
з внутрішнього аудиту проводиться оцінка ризиків або забезпечується актуалізація попередньої оцінки ризиків з метою оновлення переліку пріоритетних об’єктів внутрішнього аудиту.
Під час актуалізації ризикових сфер здійснюється перегляд та оновлення: переліку об’єктів внутрішнього аудиту, включених до простору аудиту, та визначених ризиків з урахуванням змін, що відбулися після їх останнього перегляду, присвоєних ризикам балів з метою визначення їх впливу (розміру наслідків), бальних оцінок та вагових коефіцієнтів, присвоєних критеріям відбору, з метою визначення змін у пріоритетах щодо об’єктів внутрішнього аудиту за рік.
Під час проведення (актуалізації) оцінки ризиків враховуються результати проведених внутрішніх аудитів за попередні роки, які можуть призводити до змін початкової оцінки ризиків та перегляду завдань внутрішнього аудиту, визначених у Стратегічному плані/Зведеному стратегічному плані.
Також з метою належної ідентифікації та оцінки ризиків начальник Управління Мін’юсту повинен з’ясувати та врахувати думку керівництва Мін’юсту щодо проблемних питань та ризиків, які впливають на досягнення підконтрольним суб’єктом внутрішнього аудиту цілей, а також провести консультації з відповідальними за діяльність з цих питань (керівник підрозділу (спеціаліст) з внутрішнього аудиту – у керівника територіального органу, установи, що належить до сфери управління Мін’юсту).
Консультації можуть проводитися шляхом обговорення або направлення запитів, листів та службових записок про надання інформації.
Результати консультацій (особистого обговорення та/або опрацювання відповідей на запити, листи, службові записки) документально оформлюються шляхом заповнення та уточнення реєстру ризиків підконтрольних суб’єктів внутрішнього аудиту.
Начальник Управління
внутрішнього аудиту Петро БОЖЕВСЬКИЙ
Додаток 1 «Матриця оцінки ризиків»
Додаток 2 «Реєстр ризиків підконтрольних суб’єктів внутрішнього аудиту»
Додаток 3 «Поетапна процедура визначення пріоритетності об’єктів аудиту»
Додаток 3-2 «Індикатори для оцінки стану внутрішнього контролю»
Додаток 4-3 «Перелік пріоритетних об’єктів внутрішнього аудиту»