Процесс мониторинга системы внутреннего контроля организации

10. Процесс мониторинга системы внутреннего контроля является непрерывным процессом оценки эффективности системы внутреннего контроля организации и своевременного принятия необходимых корректирующих действий. Процесс мониторинга системы внутреннего контроля организации может включать непрерывную деятельность, отдельные оценки (проводимые на периодической основе) или какое-то их сочетание. Во многих случаях непрерывный мониторинг является частью обычной текущей деятельности организации и может включать регулярные управленческие и надзорные действия. По всей вероятности, масштаб и регулярность процесса, используемого организацией, будут варьироваться в зависимости от ее оценки рисков.

11. Цели и объемы функций службы внутреннего аудита обычно включают действия, направленные на оценку или мониторинг эффективности системы внутреннего контроля организации <72>. Процесс мониторинга организацией своей системы внутреннего контроля может включать такие действия, как проверка руководством своевременной подготовки банковских сверок, оценка внутренними аудиторами соблюдения сотрудниками службы продаж политики организации в отношении условий договоров купли-продажи, а также надзор, осуществляемый юридической службой, за соблюдением политики организации в отношении этики и практики ведения бизнеса. Мониторинг также проводится для непрерывного обеспечения долгосрочного эффективного функционирования средств контроля. Например, если мониторинг своевременности и точности банковских сверок не осуществляется, персонал может прекратить их подготовку.

--------------------------------

<72> МСА 610 (пересмотренный, 2013 г.) и Приложение 4 к настоящему стандарту содержат дополнительные указания в отношении внутреннего аудита.

12. Средства контроля, относящиеся к процессу мониторинга организацией ее системы внутреннего контроля, включая те, которые осуществляют мониторинг базовых автоматизированных средств контроля, могут быть автоматизированными или применяться вручную, или представлять собой комбинированный вариант. Например, организация может использовать автоматизированные средства контроля мониторинга доступа к определенной технологии с автоматизированной подготовкой отчетов о необычных действиях для руководства, которое вручную проводит расследование выявленных аномалий.

13. При разграничении действий по мониторингу и контролю в отношении информационной системы учитывается базовая информация о действиях, особенно в случаях, когда такие действия включают надзорную проверку того или иного уровня. Надзорные проверки автоматически не классифицируются как действия по мониторингу, и классификация проверки как средства контроля в отношении информационной системы или действия по мониторингу может потребовать применения суждения. Например, целью ежемесячного контроля полноты было бы выявление и исправление ошибок, тогда как действия по мониторингу изучали бы причины возникновения ошибок и обязывали бы руководство скорректировать процесс так, чтобы предотвратить возникновение ошибок в будущем. В самом общем виде средство контроля, относящееся к информационной системе, реагирует на конкретный риск, тогда как действия по мониторингу оценивают, функционируют ли средства контроля в рамках каждого из пяти компонентов системы внутреннего контроля организации надлежащим образом.

14. Действия по мониторингу могут включать использование информации из сообщений внешних сторон, которые могут указывать на наличие проблем или областей, где требуются улучшения. Клиенты косвенно подтверждают данные биллинга, оплачивая свои счета или выражая недовольство по поводу начислений. Кроме того, регулирующие органы могут информировать организацию о вопросах, которые влияют на функционирование ее системы внутреннего контроля, например, путем уведомления о проверках банковскими регулирующими органами. Руководство также может учитывать в своих действиях по мониторингу всю информацию о системе внутреннего контроля организации, предоставленную внешними аудиторами.