התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית )IIA(

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית )IIA( התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית )IIA( משמשים בעבודתם כ- 091 אלף מבקרים פנימיים חברי ה-,IIA בכ- 081 מדינות. תקנים אלה אומצו גם ע"י האו"ם וה- OECD )בהם מדינת ישראל חברה(, ע"י ה EU )אליו מדינת ישראל נספחת(, וע"י ה- INTOSAI איגוד מבקרי המדינה בעולם )בו חבר משרד מבקר המדינה הישראלי(. מהדורה מעודכנת לינואר 3102 1

זכויות יוצרים ותודות IIA ישראל איגוד מבקרים פנימיים בישראל זכויות יוצרים זכויות היוצרים שמורות ללשכת המבקרים הפנימיים העולמית.IIA זכויות התרגום לעברית זכויות התרגום לעברית שמורות ל: לשכת המבקרים הפנימיים העולמית IIA איגוד מבקרים פנימיים בישראל IIA ישראל תודות לכל מי שעסק במלאכת התרגום והכנת קובץ זה רו"ח דורון רונן, CRMA,CIA סגן נשיא ויו"ר הוועדה המקצועית, IIA ישראל מר דורון רוזנבלום, CRMA,CIA סגן נשיא ויו"ר ועדת הקשר ל- IIA העולמית, חבר הוועדה המקצועית, IIA ישראל רו"ח אורן שחר, CIA דירקטור וחבר הוועדה המקצועית, IIA ישראל רו"ח אילה ורדי דירקטורית ויו"ר ועדת האתיקה, IIA ישראל מר אהוד חביב חבר ועדת האתיקה, IIA ישראל התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית )IIA( משמשים בעבודתם כ- 091 אלף מבקרים פנימיים חברי ה-,IIA בכ- 081 מדינות. תקנים אלה אומצו גם ע"י האו"ם וה- OECD )בהם מדינת ישראל חברה(, ע"י ה EU )אליו מדינת ישראל נספחת(, וע"י ה- INTOSAI איגוד מבקרי המדינה בעולם )בו חבר משרד מבקר המדינה הישראלי(. מהדורה מעודכנת ינואר 3102 2

תוכן העניינים הגדרת מקצוע הביקורת הפנימית -------------------------------------------- 6 קוד האתיקה --------------------------------------------------------------------- 7 עקרונות ---------------------------------------------------------------------- 8 כללי התנהגות ---------------------------------------------------------------- 9 התקנים המקצועיים הבינלאומיים של ה ------------------------------- IIA 21 מבוא לתקנים הבינלאומיים -------------------------------------------------- 21 תקני תכונות ------------------------------------------------------------------ 21 2111 מטרה, סמכות ואחריות ---------------------------------------------- 21 2121 הכרה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי, והתקנים בכתב האמנה של הביקורת הפנימית ----------------------------------------- 21 2211 אי-תלות ואובייקטיביות --------------------------------------------- 26 2221 אי-תלות ארגונית ----------------------------------------------------- 26 2222 אינטראקציה ישירה עם הדירקטוריון ------------------------------- 27 2211 אובייקטיביות אישית ------------------------------------------------ 27 2211 פגיעה באי-התלות או באובייקטיביות ------------------------------- 27 2111 מקצועיות וזהירות מקצועית ראויה --------------------------------- 28 2121 מקצועיות ------------------------------------------------------------- 28 2111 זהירות מקצועית ראויה ---------------------------------------------- 29 2111 פיתוח מקצועי מתמשך ----------------------------------------------- 11 2111 תוכנית שיפור והבטחת איכות --------------------------------------- 11 3

2121 דרישות התוכנית להבטחת איכות ושיפור ---------------------------- 12 2122 הערכות פנימיות ------------------------------------------------------ 12 2121 הערכות חיצוניות ----------------------------------------------------- 11 2111 דיווח על תוכנית הבטחת האיכות והשיפור -------------------------- 11 2112 שימוש במילים "נערך בהתאם לתקנים המקצועיים הבינלאומיים למקצוע הביקורת הפנימית" ---------------------------------- 11 גילוי אי-עמידה בתקנים ---------------------------------------------- 11 12 ------------------------------------------------------------------- 2111 תקני ביצוע 1111 ניהול הביקורת הפנימית --------------------------------------------- 12 1121 תכנון ----------------------------------------------------------------- 12 1111 דיווח ואישור --------------------------------------------------------- 11 1111 ניהול משאבים ------------------------------------------------------- 11 1121 מדיניות ונהלים ------------------------------------------------------- 16 1111 תיאום ---------------------------------------------------------------- 16 1161 דיווח להנהלה הבכירה ולדירקטוריון -------------------------------- 16 1171 ספק שירותים חיצוני ואחריות ארגונית לביקורת הפנימית---------- 16 1211 אופי העבודה --------------------------------------------------------- 17 1221 ממשל ופיקוח תאגידי ------------------------------------------------ 17 1211 ניהול סיכונים -------------------------------------------------------- 17 1211 בקרה ----------------------------------------------------------------- 19 1111 תכנון מטלת ביקורת ------------------------------------------------- 19 1112 שיקולי תכנון --------------------------------------------------------- 19 1121 מטרות מטלת ביקורת ------------------------------------------------ 11 1111 היקף מטלת ביקורת -------------------------------------------------- 12 1111 הקצאת משאבים למטלת ביקורת ------------------------------------ 12 4

1121 תוכנית ביקורת למטלת ביקורת -------------------------------------- 12 1111 ביצוע מטלת ביקורת ------------------------------------------------- 11 1121 זיהוי מידע ------------------------------------------------------------ 11 1111 ניתוח והערכה -------------------------------------------------------- 11 1111 תיעוד המידע --------------------------------------------------------- 11 1121 פיקוח על מטלת הביקורת -------------------------------------------- 11 1211 דיווח על התוצאות --------------------------------------------------- 11 1221 תבחינים )קריטריונים( לדיווח --------------------------------------- 11 1211 איכות הדיווחים ------------------------------------------------------ 12 1212 טעויות והשמטות ----------------------------------------------------- 11 1211 שימוש במילים "נערך בהתאם לתקנים מקצועיים מקובלים למקצוע הביקורת הפנימית" ------------------------------------------------- 11 1212 גילוי אי-עמידה בתקנים המקצועיים --------------------------------- 11 1221 הפצת התוצאות ------------------------------------------------------ 11 1211 חוות דעת כוללת ------------------------------------------------------ 16 1111 ניטור ההתקדמות ---------------------------------------------------- 17 1611 יישוב מחלוקת הקשורה להשלמת ההנהלה הבכירה עם סיכונים---- 17 5

הגדרת מקצוע הביקורת הפנימית -)) Audit Internal )IIA "Definition of Internal Auditing"( ביקורת פנימית הינה פעילות בלתי תלויה ואובייקטיבית של הבטחה )Assurance( וייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון. היא מסייעת לארגון להשיג את מטרותיו בהבאת גישה שיטתית וממוסדת, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי. 6

קוד האתיקה קוד האתיקה )"הקוד האתי"( קובע את העקרונות והציפיות השולטים בהתנהגות דרישות את מפרט האתיקה קוד פנימית. לביקורת באשר וארגונים יחידים פעילויות מתאר ולא להתנהגות, הציפיות ואת נאותה, להתנהגות המינימום ספציפיות. מבוא לקוד האתיקה קוד מטרת האתיקה לשכת של המבקרים הפנימיים העולמית לקדם הינה תרבות אתית במקצוע הביקורת הפנימית. ביקורת פנימית הינה פעילות בלתי תלויה ואובייקטיבית של הבטחה )Assurance( וייעוץ, אשר מיועדת להוסיף ערך ולשפר את פעולות הארגון. היא מסייעת לארגון להשיג את מטרותיו בהבאת גישה שיטתית וממוסדת, לשם הערכה ושיפור האפקטיביות של תהליכי ניהול סיכונים, בקרה, פיקוח וממשל תאגידי. קוד אתיקה הינו הכרחי ומתאים למקצוע הביקורת הפנימית, המבוסס על באובייטיביות הביקורת לגבי ממשל תאגידי, פיקוח, ניהול סיכונים ובקרה. האמון קוד האתיקה של לשכת המבקרים הפנימיים העולמית הינו נרחב מעבר ל"הגדרת מקצוע הביקורת הפנימית", כדי לכלול שני מרכיבים חיוניים: )2( עקרונות שהינם רלבנטים למקצוע ולפרקטיקת הביקורת הפנימית. )1( כללי התנהגות המפרטים נורמת התנהגות המצופה ממבקרים פנימיים. כללים אלה מסייעים בפירוש העקרונות לכדי יישומים פרקטיים, והם מיועדים להדריך את ההתנהגות האתית של מבקרים פנימיים. המונח "מבקרים פנימיים" מתייחס לחברי לשכת המבקרים הפנימיים העולמית, מוסמכים )או מועמדים להסמכה( באחת )או יותר( מההסמכות המקצועיות של ה 7

לאלה וכן שמבצעים שירותי ביקורת פנימית תחת "הגדרת מקצוע הביקורת,IIA הפנימית". יישום קוד האתיקה ואכיפתו קוד האתיקה יחידים, על והן ישויות על הן חל אשר מבצעים שירותי ביקורת פנימית. עבור חברי לשכת המבקרים הפנימיים העולמית, ועבור מוסמכים )או מועמדים להסמכה( באחת )או יותר( מההסמכות המקצועיות של ה,IIA הפרה של קוד האתיקה תוערך ותטופל בהתאם לתקנון לשכת המבקרים הפנימיים העולמית ונוהליה. העובדה שהתנהגות מסויימת אינה מוזכרת ב"כללי ההתנהגות", אינה מונעת מהתנהגות מסויימת זו להחשב כבלתי קבילה או כמבישה, ולכן החבר, המוסמך או המועמד להסמכה, עלולים להימצא עצמם חבים בפעולת ענישה. עקרונות מבקרים פנימיים יישמו ויקיימו את העקרונות האלה: יושרה יושרתם של המבקרים הפנימיים יוצרת אמון המהווה הבסיס את להסתמכות על כושר השיפוט שלהם. אובייקטיביות המבקרים הפנימיים מציגים אובייקטיביות מקצועית ברמה הגבוהה ביותר באיסוף, בהערכה ובמסירה של מידע על הפעילות או על התהליכים הנבדקים. המבקרים הפנימיים עושים הערכה מאוזנת של כל הנסיבות 8

הרלוונטיות ואינם מאפשרים לאינטרסים או אישיים לאינטרסים אחרים להשפיע על חוות הדעת שהם מגבשים. חיסיון מבקרים פנימיים מכבדים ומעריכים את זכות הקניין על המידע שהם מקבלים ואינם חושפים מידע זה ללא קבלת הרשאה מתאימה אלא אם קיימת חובה משפטית או מקצועית לעשות כן. יכולת מבקרים פנימיים מיישמים את הידע, את המיומנויות ואת הניסיון הדרושים לביצוע שירותי ביקורת פנימית. כללי התנהגות 1. יושרה מבקרים פנימיים: 1.1 יפעלו ביושר, בשקידה ובאחריות. החוק את יקיימו ויפרסמו את הממצאים החוק ידי על כנדרש 1.2 ועקרונות המקצוע. 1.3 לא ייטלו ביודעין חלק בפעילות בלתי חוקית, ולא ישתתפו אשר אינם הולמים את המבקרים הפנימיים או את הארגון. במעשים 1.4 יכבדו את המטרות הלגיטימיות והאתיות של הארגון ויתרמו להן. 2. אובייקטיביות 9

מבקרים פנימיים: 2.1 לא ישתתפו בפעילות או ביחסים העלולים לפגום, או להיראות כפוגמים, בהערכותיהם האובייקטיביות שאינן נגועות במשוא פנים. פעילות זו כוללת מערכות יחסים ופעילויות העלולות לעמוד בניגוד עניינים עם מטרות הארגון. 2.2 לא העלול דבר יקבלו או לפגום להיראות כפוגם, בשיקול דעתם המקצועי. 2.3 יחשפו להם, הידוע מידע כל שאי-חשיפתו עלולה הדיווח את לשבש על פעילויות הנמצאות בבדיקה. 3. חיסיון מבקרים פנימיים: 3.1 יהיו זהירים בשימוש ובשמירה מידע על כדי תוך ידם על שנאסף עבודתם. 3.2 לא יעשו שימוש במידע לשם הפקת טובת הנאה אישית כלשהי או בדרך המנוגדת לחוק או פוגעת במטרות הלגיטימיות והאתיות של הארגון. 11

4. יכולת מבקרים פנימיים: 4.1 יעסקו רק בתחומים שבהם יש להם ידע, מיומנויות וניסיון הולמים. 4.2 יקיימו שירותי ביקורת פנימית העולים עם אחד בקנה התקנים המקצועיים לביצוע ביקורת פנימית. 4.3 ישפרו בהתמדה את מיומנויותיהם, את יעילותם ואת איכות השירות שלהם. 11

התקנים המקצועיים הבינלאומיים של לשכת המבקרים הפנימיים העולמית )IIA( מבוא לתקנים הבינלאומיים הביקורת הפנימית מתבצעת בסביבה תרבותית ומשפטית מגוונת בארגונים שונים במטרתם, בגודלם, במורכבותם ובמבנם, ע"י אנשים משורות הארגון או מחוצה לו. בעוד ששונות זו עלולה להשפיע על פרקטיקת הביקורת הפנימית בכל סביבה, עמידה בתקנים המקצועיים הבינלאומיים של לשכת מבקרים הפנימית העולמית-( IIA להלן "התקנים"( הינה חיונית לצורך עמידה באחריות המבקרים הפנימיים ובפעילות הביקורת הפנימית. אם חוק או תקנה אוסרים על קיום פעילות מסוימת של המבקרים הפנימיים או של הביקורת הפנימית, כך שלא ניתן לעמוד בדרישות חלק מהתקנים, יש לעמוד בדרישות שאר התקנים ולתת גילוי נאות לכך. אם התקנים מיושמים בשילוב עם תקנים שהותקנו ע"י גופי רגולציה ותקינה אחרים, על הביקורת הפנימית לציין את "התקנים האחרים" שנעשה בהם שימוש באופן הולם. אם יש חוסר עקביות בין התקנים לבין התקנים האחרים, חובה על המבקרים הפנימיים ועל הביקורת הפנימית לעמוד בתקנים ובאפשרותה לעמוד בדרישות התקנים האחרים אם הם מחמירים יותר. מטרות התקנים 2. להתוות עקרונות בסיסיים של פרקטיקת הביקורת הפנימית. 1. לספק מסגרת לביצוע ולקידום היקף רחב של פעילויות ביקורת פנימית מוסיפות ערך. 1. לייסד בסיס להערכת ביצועי הביקורת הפנימית. 2. לטפח פעולות ותהליכים ארגוניים משופרים. התקנים הינם עקרונות שחובה לעמוד בהם, והם מורכבים מ: 12

הצהרות הכוללות את הדרישות הבסיסיות לפרקטיקה מקצועית של ביקורת פנימית ולהערכה של אפקטיביות הביצוע, ואשר ישימות במישור הבינלאומי, במישור הארגוני וברמת הפרט. ים המבהירים את המושגים או את התפישות בהצהרות. התקנים כוללים מונחים שניתנו להם משמעויות מסוימות, הנכללות ב"מילון המונחים". באופן מיוחד נעשה שימוש בתקנים במילים "חייב" או "חובה" Must(( - כדי לציין דרישה בלתי מותנית, ובמילה "ראוי" )Should( - בה מצופה לעמוד בתקנים אלא אם קיימות נסיבות ושיקולים מקצועיים המצדיקים סטייה מהתקנים. חיוני להתייחס להצהרות ולים שלהן, בנוסף על המשמעויות שלהן במילון המונחים, על מנת להבין וליישם את התקנים באופן נכון. מבנה התקנים המקצועיים התקנים מחולקים לתקני תכונות ולתקני ביצוע. תקני תכונות) standards )Attribute עוסקים בתכונות, הנדרשות מיחידים ומארגונים, המבצעים ביקורת פנימית. תקני ביצוע standards( (Performance מתארים את אופי הביקורת הפנימית ומספקים קריטריון איכות, שבהשוואה אליו ניתן למדוד את ביצועי השירותים המסופקים. תקני תכונות ותקני ביצוע תקפים לכל שירותי הביקורת הפנימית. תקני יישום standards( )Implementation מרחיבים את תקני התכונות ותקני הביצוע ע"י פרוט הדרישות לשירותי ההבטחה -Assurance( A) או שירותי ייעוץ Consulting( -C(. שירותי הבטחה services( )Assurance הינם בחינה אובייקטיבית של ממצאים ע"י הביקורת הפנימית, כדי לספק הערכה בלתי תלויה, או דעה או מסקנה לגבי הישות, הפעילות, התפקיד, התהליך, המערכת או כל עניין קשור אחר. אופייה והיקפה של מטלת הביקורת נקבעים ע"י המבקר הפנימי. בדרך כלל קיימים שלושה גורמים המעורבים בשירותי הבטחה: 13

"אחראי התהליך" - האדם או הקבוצה המעורבים ישירות בישות, בפעילות, בתפקיד, בתהליך, במערכת או בכל עניין אחר הקשור לנושא הביקורת. "המבקר הפנימי" - האדם או הקבוצה המבצעים את ההערכה. "המשתמש" - האדם או הקבוצה המשתמשים בהערכה. )1 )2 )3 שירותי ייעוץ services( )Consulting הם מטבעם פעולות מייעצות, והן בדרך כלל מבוצעות לבקשה ספציפית מצד לקוח מטלת הייעוץ. אופי והיקף מטלת הייעוץ כפופים להסכם עם לקוח המטלה. שירותי ייעוץ כוללים בדרך כלל שני גורמים: 1( "המבקר הפנימי" - האדם או הקבוצה המספקים את הייעוץ. 14 )2 "לקוח מטלת הייעוץ" - האדם או הקבוצה שפנו לקבל את הייעוץ. ראוי שהמבקר הפנימי ישמור על אובייקטיביות כאשר הוא מבצע מטלת ייעוץ ואל לו לקבל אחריות ניהולית. התקנים חלים על מבקרים פנימיים יחידים ועל פעילויות ביקורת פנימית. על כל המבקרים הפנימיים חלה האחריות לפעול בהתאם לתקנים המקצועיים הקשורים לאובייקטיביות, למקצועיות ולזהירות מקצועית. בנוסף, מבקרים פנימיים אחראים לפעול בהתאם לתקנים הרלוונטיים לתחומי האחריות שבתפקידם. מבקרים פנימיים ראשיים אחראים כי פעילות הביקורת הפנימית בכללותה תתבצע בהתאם לתקנים המקצועיים. פיתוח וסקירה של התקנים המקצועיים בביקורת הפנימית הינו תהליך מתמשך. ועדת התקנים של לשכת המבקרים העולמית עורכת דיונים והתייעצויות מקיפים לפני פרסום התקנים. תהליך זה כולל איסוף של הערות מרחבי העולם באמצעות חשיפת הציבור לטיוטות התקנים. טיוטות התקנים מפורסמות באתר ה IIA ומופצים לסניפי ה- IIA ברחבי העולם. ניתן לשלוח הצעות ותגובות לגבי התקנים ל : The Institute of Internal Auditors Standards and Guidance 247 Maitland Avenue Altamonte Springs, FL 32701-4201, USA E-mail: guidance@theiia.org Web: www.theiia.org

תקני תכונות - 0111 מטרה, סמכות ואחריות המטרה, הסמכות והאחריות של הביקורת הפנימית, חייבות להיות מוגדרות באופן רשמי בכתב האמנה )צ'רטר( של הביקורת הפנימית, בהתאם להגדרת מקצוע הביקורת הפנימית, הקוד האתי ולתקנים. המבקר הפנימי הראשי חייב לבחון באופן תקופתי את כתב האמנה ולהציגו להנהלה הבכירה ולדירקטוריון לאישור. כתב האמנה של הביקורת הפנימית הוא מסמך רשמי המגדיר את מטרות פעילות הביקורת הפנימית, סמכויותיה ואחריותה. כתב האמנה מבסס את מעמד פעילות הביקורת הפנימית בארגון, לרבות אופן הדיווח של המבקר הפנימי הראשי לדירקטוריון; מסמיך גישה לרשומות, לעובדים, ולרכוש פיזי הרלבנטיים לביצוע מטלות הביקורת הפנימית; ומגדיר את היקף פעילות הביקורת הפנימית. אישור סופי של כתב האמנה נתון בידי הדירקטוריון. A1.1000- אופי שירותי ההבטחה, הניתנים לארגון, חייב להיות מוגדר בכתב האמנה של הביקורת הפנימית. אם צריכים להינתן שירותים כאלה לגופים מחוץ לארגון, חובה להגדיר אף את אופיים בכתב האמנה של הביקורת הפנימית. אופי שירותי להיות חייב הייעוץ מוגדר בכתב של האמנה הביקורת -1000.C1 הפנימית. - 0101 הכרה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי, והתקנים בכתב האמנה של הביקורת הפנימית אופיים המחייב של הגדרת מקצוע הביקורת הפנימית, הקוד האתי והתקנים, חייב לבוא לידי ביטוי בכתב האמנה של הביקורת הפנימית. ראוי שהמבקר הפנימי הראשי ידון אודות הגדרת מקצוע הביקורת הפנימית, הקוד האתי והתקנים עם ההנהלה הבכירה והדירקטוריון. 15

- 0011 אי-תלות ואובייקטיביות פעילות הביקורת הפנימית חייבת להיות בלתי-תלויה, ומבקרים פנימיים חייבים להיות אובייקטיביים בביצוע עבודתם. אי תלות הינה החופש מתנאים המאיימים על יכולתה של הביקורת הפנימית למלא את אחריותה באופן בלתי מוטה. להשגת מידת אי התלות הדרושה ליישום אפקטיבי של אחריות הביקורת הפנימית, תהיה למבקר הפנימי הראשי גישה ישירה ובלתי מוגבלת להנהלה הבכירה ולדירקטוריון. ניתן להשיג זאת באמצעות מערכת יחסים של דיווחים הדדיים. איומים על אי התלות חייבים להיות מטופלים ברמת המבקר היחיד, ברמת מטלת הביקורת,ברמה הפונקציונאלית וברמה הארגונית. אובייקטיביות הינה גישה נפשית בלתי מוטה, המאפשרת למבקרים הפנימיים לבצע מטלות ביקורת, באופן שבו הם מאמינים בתוצר עבודתם וללא התפשרות על איכותה. אובייקטיביות דורשת שהמבקרים הפנימיים לא יכפיפו לאחרים את שיפוטם בענייני ביקורת. איומים על אי התלות חייבים להיות מטופלים ברמת המבקר היחיד, ברמת מטלת הביקורת, ברמה הפונקציונאלית וברמה הארגונית. - 0001 אי-תלות ארגונית המבקר הפנימי הראשי חייב לדווח לרמה הארגונית, המאפשרת לביקורת הפנימית למלא את אחריותה. המבקר הפנימי הראשי חייב לאשרר בפני הדירקטוריון, לפחות אחת לשנה, את אי התלות הארגונית של הביקורת הפנימית. אי תלות ארגונית מושגת באופן אפקטיבי כאשר המבקר הפנימי הראשי מדווח באופן פונקציונאלי לדירקטוריון. דוגמאות לדיווח פונקציונאלי לדירקטוריון: אישור כתב האמנה של הביקורת הפנימית. אישור תוכנית עבודה מבוססת סיכונים של הביקורת הפנימית. אישור תוכנית התקציב והמשאבים של הביקורת הפנימית. 16

קבלת דיווחים מהמבקר הפנימי הראשי על ביצועי הביקורת הפנימית ביחס לתוכנית ובנושאים אחרים. אישור מינויו או פיטוריו של המבקר הפנימי הראשי. אישור התגמול של המבקר הפנימי הראשי. בדיקה עם ההנהלה ועם המבקר הפנימי הראשי, על מנת לקבוע אם היקף הביקורת הפנימית או הגבלות המשאבים של הביקורת הפנימית, אינם הולמים..1110 A1 הביקורת הפנימית חייבת להיות חופשית מהתערבות בקביעת היקף הביקורת, אופן ביצוע העבודה, ודיווח התוצאות. - 0000 אינטראקציה ישירה עם הדירקטוריון חובה על המבקר הפנימי עם הדירקטוריון. הראשי לדווח ישיר באופן ולהיות בקשרי גומלין ישירים - 0031 אובייקטיביות אישית מבקרים פנימיים חייבים להיות בעלי גישה נטולת פניות ומשוא פנים, ולהימנע מניגוד עניינים. ניגוד עניינים הוא מצב, שבו למבקר פנימי, הנמצא בעמדה של אמון, יש התנגשות מקצועית או עניין אישי. עניינים מתנגשים כאלה עלולים להקשות עליו למלא את אחריותו ללא משוא פנים. ניגוד עניינים קיים אף בהיעדר תוצאות שאינן אתיות או שאינן תקינות.ניגוד עניינים יכול ליצור מצג של אי תקינות, היכול לערער את האמון במבקר הפנימי, ביחידת הביקורת הפנימית ובמקצוע הביקורת הפנימית. ניגוד עניינים יכול לערער את יכולתו של היחיד לבצע את מחויבויותיו באופן אובייקטיבי. - 0021 פגיעה באי-התלות או באובייקטיביות 17

פגיעה למעשה או לכאורה באי-התלות או באובייקטיביות, חייבת להיות מדווחת לגורמים המתאימים. אופי הגילוי תלוי באופי הפגיעה. הפרה של אי תלות ארגונית ואובייקטיבית של היחיד, יכולה לכלול, בין היתר, ניגוד עניינים אישי, הגבלות היקף מטלת הביקורת, הגבלות על גישה לרשומות, לכוח אדם ולנכסים והגבלות על משאבים כמו מקורות מימון. הקביעה של הגורמים המתאימים, שחובה לגלות להם את פרטי הפרת אי התלות או האובייקטיביות, תלויה בציפייתם לאחריותם של יחידת הביקורת הפנימית והמבקר הפנימי הראשי כלפי ההנהלה הבכירה והדירקטוריון, כפי שמתואר בכתב האמנה של הביקורת הפנימית ובהתאם לאופי ההפרה. A1.1130 מבקרים פנימיים חייבים להימנע מלתת שירותים לגבי תחום מסוים שבעבר היה תחת אחריותם. האובייקטיביות יכולה להיחשב כנפגמת, אם מבקר פנימי נותן שירותי הבטחה לגבי תחום שהיה באחריותו בשנה שחלפה. המבקר הפנימי הראשי, A2.1130 מטלות הבטחה בנוגע לתפקידים שבאחריות צריכות להיות בפיקוח גורם מחוץ לביקורת הפנימית. רשאים לתת שירותי ייעוץ, הנוגעים לפעולות להן C1.1130 מבקרים פנימיים היו אחראים בעבר. C2.1130 אם קיימת אפשרות לפגיעה באי-תלות או באובייקטיביות של מבקרים פנימיים, הקשורות לשירותי ייעוץ מוצעים, חובה לתת לכך גילוי ללקוח לפני קבלת מטלת הייעוץ. - 0311 מקצועיות וזהירות מקצועית ראויה מטלות הביקורת הפנימית חייבות להתבצע במקצועיות ובזהירות מקצועית ראויה. - 0301 מקצועיות מבקרים פנימיים חייבים להיות בעלי הידע, המיומנויות והיכולות האחרות, הדרושים לביצוע הפעילויות, שבאחריותם האישית. הביקורת הפנימית, כיחידה, 18

חייבת להיות או לרכוש הפעילויות שבאחריותה. הידע, את המיומנויות IIA ישראל איגוד מבקרים פנימיים בישראל והיכולות, הדרושים לביצוע ידע, מיומנויות ויכולות אחרות הם מונחים שבמקובץ מתייחסים לכישורים המקצועיים, הנדרשים ממבקרים פנימיים כדי לשאת באופן אפקטיבי באחריות המקצועית שלהם. רצוי שמבקרים פנימיים יפגינו את המקצועיות שלהם על ידי השגת הסמכות והכשרות מקצועיות מתאימות, כדוגמת תעודת ההסמכה CIA )מבקר פנימי מוסמך( והסמכות אחרות של לשכת המבקרים הפנימיים העולמית ושל ארגונים מקצועיים מתאימים אחרים. A1.1210 המבקר הפנימי הראשי חייב להשיג ייעוץ וסיוע מתאימים, אם לסגל הביקורת הפנימית חסרים ידע, מיומנויות ויכולות, הדרושים לביצוע משימת ביקורת כולה או חלקה. A2.1210 מבקרים פנימיים חייבים להיות בעל ידע מספק כדי להעריך סיכון להונאה, ואת האופן שבו הוא מנוהל על ידי הארגון. עם זאת, אין לצפות מהם להיות בעלי ההתמחויות של מי, שתפקידו העיקרי הוא לגלות ולחקור הונאות. A3.1210 מבקרים פנימיים חייבים להיות בעלי ידע מספק אודות עיקרי הסיכונים בתחום טכנולוגית המידע, הבקרות וטכניקות ביקורת מבוססות- טכנולוגיה, הזמינות לביצוע עבודתם. עם זאת, אין לצפות מכל המבקרים הפנימיים, שתהיה להם המומחיות של מבקר פנימי שאחריותו העיקרית היא ביקורת טכנולוגית מידע. C1.1210 המבקר הפנימי הראשי חייב לסרב לקבל מטלות ייעוץ או להשיג ייעוץ או סיוע מתאימים, אם סגל הביקורת הפנימית חסר ידע, מיומנויות ויכולות אחרות, הדרושים לביצוע מטלת ייעוץ, כולה או חלקה. - 0331 זהירות מקצועית ראויה מבקרים פנימיים חייבים ליישם זהירות ומיומנות, המצופים ממבקר פנימי מוכשר וזהיר במידה סבירה. זהירות מקצועית ראויה, אין משמעה היעדר יכולת לטעות. בזהירות מקצועית ידי על- ראויה A1.1220 מבקרים פנימיים חייבים לנהוג הפעלת שיקול דעת בנושאים הבאים: 19

היקף העבודה הדרושה להשגת יעדי מטלות הביקורת; מורכבות יחסית, מהותיות נוהלי שירותי ההבטחה; ומשמעותיות עניינים, של שלהם מיושמים נאותות ואפקטיביות ותהליכי הבקרה; תהליכי של ממשל תאגידי, ניהול הסיכונים, הסתברות לטעויות משמעותיות, לאי-סדרים )הונאות(, ולאי-ציות; עלות שירותי ההבטחה יחסית לתועלת הפוטנציאלית מהם. A2.1220 כדי לפעול בזהירות מקצועית ראויה, מבקרים פנימיים חייבים לשקול שימוש בביקורת מבוססת-טכנלוגיה ובטכניקות אחרות לניתוח נתונים. A3.1220 מבקרים פנימיים חייבים להיות ערים לסיכונים משמעותיים, העלולים להשפיע על השגת יעדים, על פעולות או על משאבים. עם זאת, נוהלי הביקורת כשלעצמם, אפילו אם הם מבוצעים בזהירות מקצועית ראויה, אינם מבטיחים שכל הסיכונים המשמעותיים יזוהו. מקצועית ראויה במטלת C1.1220 מבקרים פנימיים חייבים לנהוג בזהירות ייעוץ על- ידי הפעלת שיקול דעת בנושאים הבאים: צרכים וציפיות היייעוץ; של לקוחות, עיתוי אופי, כולל ודיווח תוצאות מטלת מורכבות יחסית והיקף העבודה, הדרוש להשגת יעדי מטלת הייעוץ; עלות מטלת הייעוץ יחסית לתועלת הפוטנציאלית ממנה. - 0321 פיתוח מקצועי מתמשך מבקרים פנימיים חייבים פיתוח מקצועי מתמשך. הידע, את לחזק המיומנויות ויכולות נוספות באמצעות - 0211 תוכנית שיפור והבטחת איכות 21

המבקר הפנימי הראשי חייב לפתח ולקיים תוכנית להבטחת המקיפה את כל ההיבטים של פעילות הביקורת הפנימית. איכות ושיפור, תוכנית להבטחת איכות ושיפור מעוצבת כדי לאפשר הערכה של התאמת פעילות הביקורת הפנימית להגדרת מקצוע הביקורת הפנימית ולתקנים, וכדי לאפשר הערכה האם מבקרים פנימיים יישמו את הקוד האתי. התוכנית גם אומדת את היעילות והאפקטיביות של פעילות הביקורת הפנימית ומזהה הזדמנויות לשיפור. - 0201 דרישות התוכנית להבטחת איכות ושיפור התוכנית להבטחת חיצוניות. איכות ושיפור חייבת הערכות הן לכלול הערכות והן פנימיות - 0200 הערכות פנימיות הערכות פנימיות חייבות לכלול: ניטור מתמשך של ביצוע פעילות הביקורת הפנימית; ו- הערכות עצמיות תקופתיות או הערכות שבוצעו ע"י גורמים אחרים מתוך הארגון שהינם בעלי ידע מספק בפרקטיקות ביקורת פנימית. ניטור מתמשך הוא חלק אינטגרלי בפיקוח היומיומי, בסקירה ובמדידה של פעילות הביקורת הפנימית. ניטור מתמשך משולב בנהלים ובפרקטיקה השגרתיים לניהול פעילות הביקורת הפנימית, תוך שימוש בתהליכים, בכלים ובמידע, הנחשבים להכרחיים לצורך הערכת העמידה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי והתקנים המקצועיים. הערכות תקופתיותמבוצעות כדי להעריך עמידה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי והתקנים המקצועיים. ידע מספק אודות פרקטיקות ביקורת פנימית, דורש, לכל הפחות, הבנה של כל מרכיבי מסגרת הכללים המקצועיים )IPPF( של הIIA. - 0203 הערכות חיצוניות 21

הערכות איכות חיצוניות חייבות להיערך לפחות אחת לחמש שנים על-ידי מעריך/ םי מוסמך/ים, בלתי תלוי/ים מחוץ לארגון. המבקר הפנימי הראשי חייב לשוחח עם הדירקטוריון על: האופן והתדירות של ההערכות החיצוניות הכשירות ואי התלות עניינים אפשרי. של המעריך/ים החיצוני/ים, ניגוד כל לרבות הערכות חיצוניות יכולת להתבצע באופן של הערכה חיצונית מלאה או באמצעות הערכה עצמית שמקבלת תוקף ע"י גורם חיצוני בלתי תלוי. מעריך או צוות הערכה מוסמך מורכב מיחידים בעלי יכולת מוכחת בשני תחומים: בפרקטיקה של מקצוע הביקורת הפנימית ובתהליך ההערכה החיצוני. יכולת זו יכולה להיות מופגנת באמצעות תמהיל של ניסיון מקצועי ולימוד תיאורטי. ניסיון מקצועי מושג באמצעות עבודה בארגונים בעלי גודל, מורכבות, מגזרים או תעשיות, וסוגיות טכניות, הדומים לארגון שכפוף לסקירת האיכות, והינו בעל ערך רב יותר מניסיון מקצועי פחות רלבנטי. במקרה של קבוצת מעריכים, אין צורך שכל חבריה יהיו בעלי כל הכישורים הדרושים לביצוע הסקירה; אלא, כל הקבוצה כמכלול צריכה להיות כשירה. על המבקר הפנימי הראשי להפעיל שיקול דעת מקצועי להערכה - האם למעריך או לקבוצת המעריכים יש כישורים מספקים כדי להיות מוסמכים לביצוע ההערכה. מעריך או צוות מעריכים בלתי תלויים משמעותם היעדר ניגוד עניינים ממשי או כביכול, והעדר השתייכות או הימצאות בשליטת הארגון, אליו משתייכת יחידת הביקורת הפנימית. - 0231 דיווח על תוכנית הבטחת האיכות והשיפור המבקר הפנימי הראשי חייב לדווח להנהלה הבכירה ולדירקטוריון על תוצאות התוכנית להבטחת איכות ושיפור. הצורה, התוכן והתדירות של דיווח תוצאות התוכנית להבטחת איכות ושיפור, נקבעים באמצעות דיונים עם ההנהלה הבכירה והדירקטוריון, ובהתחשב באחריות של יחידת הביקורת הפנימית ושל המבקר הפנימי הראשי, כפי שנקבע בכתב האמנה של הביקורת הפנימית. כדי להפגין עמידה בהגדרת מקצוע הביקורת הפנימית, בקוד 22

האתי ובתקנים המקצועיים, התוצאות של ההערכה החיצונית וההערכה הפנימית התקופתית ידווחו עם השלמתן, ותוצאות הניטור המתמשך ידווחו לפחות אחת לשנה. התוצאות כוללות את הערכת המעריך או צוות ההערכה, בהתייחס למידת העמידה בהגדרת מקצוע הביקורת הפנימית, בקוד האתי ובתקנים המקצועיים. - 0230 שימוש במילים "נערך בהתאם לתקנים המקצועיים הבינלאומיים למקצוע הביקורת הפנימית" המבקר הפנימי הראשי יכול לציין, שהביקורת הפנימית עומדת בתקנים המקצועיים הבינלאומיים למקצוע הביקורת הפנימית, רק אם תוצאות התוכנית להבטחת איכות ושיפור תומכות בהצהרה זו. יחידת הביקורת הפנימית עומדת בתקנים המקצועיים הבינלאומיים כאשר היא משיגה תוצאות בהתאם למתואר בהגדרת מקצוע הביקורת הפנימית, הקוד האתי ובתקנים. תוצאות התוכנית להבטחת איכות ושיפור כוללות את תוצאות ההערכות הפנימיות והחיצוניות. לכל פעילויות הביקורת הפנימית יהיו תוצאות של ההערכות הפנימיות. ליחידות ביקורת פנימית שקיימות לפחות 1 שנים יהיו גם את תוצאות ההערכות החיצוניות. - 0233 גילוי אי-עמידה בתקנים כאשר אי העמידה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי או התקנים משפיעה על מכלול היקף פעילות יחידת הביקורת הפנימית, חובה על המבקר הפנימי הראשי לדווח להנהלה הבכירה ולדירקטוריון על אי העמידה והשפעתה. 23

תקני ביצוע - 3111 ניהול הביקורת הפנימית המבקר הפנימי הראשי חייב לנהל באופן אפקטיבי להבטיח שהיא מוסיפה ערך לארגון. את הביקורת הפנימית, על מנת הביקורת פנימית מנוהלת באופן אפקטיבי כאשר: תוצאות עבודת הביקורת הפנימית עומדות במטרה ובאחריות, הנכללות בכתב האמנה של הביקורת הפנימית; פעילות הביקורת הפנימית עונה על הגדרת מקצוע הביקורת הפנימית והתקנים המקצועיים; וכן היחידים בצוות המקצועיים. הביקורת הפנימית עומדים בקוד האתי ובתקנים פעילות הביקורת הפנימית מוסיפה ערך לארגון )ולבעלי עניין בו(, כאשר היא מספקת הבטחה רלבנטית ואובייקטיבית, וכאשר היא תורמת ליעילות ולאפקטיביות של תהליכי הממשל התאגידי, ניהול הסיכונים והבקרה בארגון. - 3101 תכנון המבקר הפנימי הראשי חייב להכין תוכנית עבודה מבוססת סיכונים, בהתאם למטרות הארגון, על מנת להחליט על סדרי העדיפויות של הביקורת הפנימית. המבקר הפנימי הראשי אחראי לפיתוח תוכנית עבודה מבוססת סיכונים, תוך לקיחה בחשבון של מסגרת ניהול הסיכונים של הארגון, לרבות שימוש ברמות תיאבון לסיכון שנקבעו על ידי ההנהלה לפעילויות או חלקים שונים בארגון. אם מסגרת ניהול סיכונים לא קיימת בארגון, המבקר הפנימי הראשי יפעיל את שיקול 24

דעתו באשר לסיכונים, לאחר שייקח בחשבון משובים מההנהלה הבכירה והדירקטוריון. המבקר הפנימי הראשי חייב לסקור ולהתאים את התוכנית, בהתאם לנדרש, בתגובה לשינויים בסיכונים העסקיים, בפעילות, במערכות ובבקרות הארגון. A1.2010 תוכנית עבודת הביקורת הפנימית חייבת להתבסס על הערכת סיכונים מתועדת, המתבצעת לפחות פעם בשנה. חובה להתחשב בדעתם של ההנהלה הבכירה והדירקטוריון בתהליך זה. ההנהלה מסקנות A2.2010 המבקר הפנימי הראשי חייב לזהות ולהתחשב בציפיות הבכירה, הדירקטוריון ובעלי עניין אחרים, לגבי חוות דעת או אחרות של הביקורת הפנימית. C1.2010 ראוי שהמבקר הפנימי הראשי ישקול לבצע מטלות ייעוץ המבוססות על פוטנציאל לשיפור ניהול הסיכונים, להוספת ערך לארגון ולשיפור פעולתו. מטלות הייעוץ שהתקבלו חייבות להיכלל בתוכנית העבודה. - 3131 דיווח ואישור המבקר הפנימי הראשי חייב לדווח להנהלה הבכירה והדירקטוריון - אודות תוכניות עבודת הביקורת הפנימית והמשאבים הדרושים לה, לרבות שינויים זמניים משמעותיים - לצורך סקירה ואישור. המבקר הפנימי הראשי גם חייב לדווח לגורמים אלה על ההשלכות האפשריות של הגבלה במשאבים. - 3121 ניהול משאבים המבקר הפנימי הראשי חייב לוודא, כי משאבי הביקורת הפנימית הינם נאותים, מספקים ומוקצים באופן אפקטיבי, להשגת יעדי התוכנית המאושרת. המילה "נאותים" מתייחסת לתמהיל של ידע, מיומנות ויכולות אחרות, הדרושות לביצוע התוכנית. המילה "מספקים" מתייחסת לכמות המשאבים הנחוצה לצורך השלמת התוכנית. משאבים "מוקצים באופן אפקטיבי", כאשר השימוש בהם אופטימאלי לצורך השגת יעדי התוכנית המאושרת. 25

- 3101 מדיניות ונהלים המבקר הפנימי הראשי חייב למסד מדיניות ונהלים להנחיית פעילות הביקורת הפנימית. האופן והצורה של המדיניות והנהלים תלויים בגודל ובמבנה פעילות הביקורת הפנימית ובמורכבות עבודתה. - 3101 תיאום ראוי שהמבקר הפנימי הראשי יחלוק מידע ויתאם פעילויות עם גורמים פנימיים וחיצוניים המספקים שירותי הבטחה וייעוץ, על מנת להבטיח כיסוי נאות וצמצום כפל מאמצים. - 3101 דיווח להנהלה הבכירה ולדירקטוריון המבקר הפנימי הראשי חייב לדווח באופן תקופתי להנהלה הבכירה ולדירקטוריון אודות המטרות, הסמכות, האחריות והביצועים של הביקורת הפנימית בהשוואה לתוכנית העבודה. הדיווח גם חייב לכלול נושאי חשיפות לסיכונים משמעותיים וחשיפות בבקרה, לרבות סיכוני הונאה, נושאי ממשל תאגידי, ונושאים נדרשים אחרים או המתבקשים על ידי ההנהלה הבכירה והדירקטוריון. תדירות ותוכן הדיווחים נקבעים בדיונים עם ההנהלה הבכירה והדירקטוריון, ותלויים בחשיבות המידע הראוי לדיווח ובדחיפות הפעולות הנדרשות להינקט ע"י ההנהלה הבכירה והדירקטוריון. 3101- ספק שירותים חיצוני ואחריות ארגונית לביקורת הפנימית כאשר שירותי הביקורת הפנימית ניתנים על ידי ספק שירותים חיצוני, חובה על ספק השירותים החיצוני לוודא, שהארגון המעסיק אותו מודע לאחריות הארגון לקיום ביקורת פנימית אפקטיבית. 26

אחריות זו מופגנת באמצעות תוכנית להבטחת איכות ושיפור, אשר מעריכה את עמידת הביקורת הפנימית בהגדרת מקצוע הביקורת פנימית, הקוד האתי והתקנים המקצועיים. - 3011 אופי העבודה הביקורת הפנימית חייבת להעריך ולתרום לשיפור תהליכי הממשל התאגידי, ניהול הסיכונים והבקרה, באמצעות שימוש בגישה שיטתית וממוסדת. - 3001 ממשל ופיקוח תאגידי הביקורת הפנימית חייבת להעריך את תהליך הפיקוח והממשל המלצות מתאימות לשיפורו, לצורך השגת היעדים הבאים: התאגידי, וליתן קידום אתיקה וערכים נאותים בארגון; הבטחת ניהול אפקטיבי של ביצועים ושל נשיאה באחריות; דיווח על מידע אודות סיכונים ובקרה לגורמים המתאימים בארגון; וכן תיאום פעולות הדירקטוריון, ההנהלה, המבקרים החיצוניים והפנימיים, והעברת המידע ביניהם. היישום ופעולות התכנון, את להעריך חייבת הפנימית הביקורת A1.2110 תוכניות ושל אתיים, היבטים בעלות מטרות של והאפקטיביות הארגון בנושא. וממשל A2.2110 הביקורת הפנימית חייבת להעריך האם פיקוח טכנולוגית המידע של הארגון תומך באסטרטגיות וביעדי הארגון. - 3031 ניהול סיכונים הביקורת הפנימית חייבת להעריך את האפקטיביות, ולתרום לשיפור תהליכי ניהול סיכונים. 27

קביעה האם תהליכי ניהול סיכונים אפקטיביים, היא שיפוט הנובע מהערכת מבקרים פנימיים ש: מטרות הארגון תומכות ביעדי הארגון; סיכונים משמעותיים מזוהים ומוערכים; תגובות הולמות לסיכונים נבחרות בהתאמה לתיאבון הארגון לסיכון, מידע רלבנטי אודות סיכונים נקלט ומדווח במועד בארגון, כדי לאפשר לצוות העובדים, להנהלה ולדירקטוריון לממש את תחומי האחריות שלהם. יחידת הביקורת הפנימית יכולה לתמוך בהערכה זו באמצעות איסוף מידע במהלך מספר מטלות ביקורת. סקירה כוללת של תוצאות מטלות ביקורת אלה, יכולה לספק הבנה של תהליכי ניהול הסיכונים בארגון ושל האפקטיביות שלהם. תהליכי ניהול סיכונים מנוטרים באמצעות פעילויות מתמשכות של ההנהלה ו/או באמצעות הערכות נפרדות. A1.2120 הביקורת הפנימית חייבת להעריך חשיפות לסיכונים הקשורים לממשל תאגידי, פעילויות ומערכות מידע של הארגון, בנוגע ל: השגת המטרות האסטרטגיות של הארגון; אמינות ושלימות המידע הכספי והתפעולי; אפקטיביות ויעילות הפעולות והתוכניות ; שמירה על נכסים; עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים. את הפוטנציאל להתרחשות A2.2120 הביקורת הפנימית חייבת להעריך הונאה וכיצד הארגון מנהל סיכוני הונאה. C1.2120 במהלך ביצוע מטלת ייעוץ, מבקרים פנימיים חייבים להתייחס לסיכונים הקשורים למטרות מטלת הייעוץ, ולהיות ערניים לקיומם של סיכונים משמעותיים נוספים. C2.2120 בהערכתם את תהליכי ניהול הסיכונים של הארגון, מבקרים פנימיים חייבים לשלב ידע אודות סיכונים, שהושג במהלך מטלות ייעוץ. 28

C3.2120 בעת סיוע להנהלה במיסוד או שיפור תהליכי ניהול סיכונים, מבקרים פנימיים חייבים להימנע מלקחת על עצמם אחריות ניהולית ע"י ניהול סיכונים בפועל. - 3021 בקרה הביקורת הפנימית חייבת לסייע לארגון בשימור בקרות אפקטיביות, על ידי הערכת האפקטיבית והיעילות של הבקרות ועל ידי קידום שיפורן המתמיד. A1.2130 הביקורת הפנימית חייבת להעריך את ההלימות והאפקטיביות של הבקרות, במענה לסיכונים בממשל התאגידי, בפעילויות ובמערכות המידע של הארגון, בנוגע ל: השגת המטרות האסטרטגיות של הארגון; אמינות ושלימות המידע הכספי והתפעולי; אפקטיביות ויעילות הפעולות והתוכניות; שמירה על נכסים; עמידה בדרישות חוקים, תקנות, מדיניות, נהלים והסכמים. C1.2130 בהערכתם את תהליכי הבקרה של הארגון, מבקרים פנימיים חייבים לשלב ידע אודות בקרות, שהושג במהלך מטלות ייעוץ. - 3311 תכנון מטלת ביקורת מבקרים פנימיים חייבים לפתח ולתעד "תוכנית ביקורת" לכל מטלת לרבות מטרות מטלת הביקורת, היקפה, מועדה והקצאת המשאבים. ביקורת, 3310 שיקולי תכנון בתכנון מטלת הביקורת, חובה על מבקרים פנימיים לשקול את: 29

מטרות הפעילות הנסקרת, ואת האמצעים המשמשים את הפעילות לבקר את ביצועיה; הסיכונים המשמעותיים לפעילות, ליעדיה, למשאביה ולפעילותה וכן את האמצעים בעזרתם נשמרת החשיפה לסיכון ברמה מקובלת; נאותות ואפקטיביות הממשל התאגידי, תהליכי ניהול והבקרות בהשוואה למודלים או מסגרות רלבנטיים; ואת הסיכונים ההזדמנויות לביצוע שיפורים משמעותיים ניהול הסיכונים והבקרה של הפעילות. בתהליכי הממשל התאגידי, A1.2201 בתכנון מטלת ביקורת עבור גורמים מחוץ לארגון, מבקרים פנימיים צריכים להגיע להבנה כתובה עם הגורמים החיצוניים לגבי מטרות, היקף, תחומי אחריות וציפיות נוספות, לרבות הגבלה על הפצת תוצאות המטלה ועל הגישה לרשומות הביקורת. להבנה עם לקוחות מטלת ייעוץ ושאר ציפיות הלקוח. במטלות C1.2201 מבקרים פנימיים חייבים להגיע לגבי מטרותיה, היקפה, תחומי אחריות, משמעותיות, חובה לתעד הבנה זו. - 3301 מטרות מטלת ביקורת לכל מטלת ביקורת חייבות להיקבע מטרות. A1.2210 מבקרים פנימיים חייבים לבצע הערכה מקדמית של סיכונים )"סקר מוקדם"(, הרלבנטיים לתחום המבוקר. מטרות מטלת הביקורת חייבות לשקף את תוצאות הערכה זו. A2.2210 במהלך קביעת מטרות מטלת הביקורת, מבקרים פנימיים חייבים לשקול את ההסתברות של טעויות משמעותיות, הונאות, אי-ציות וחשיפות אחרות. A3.2210 לצורך הערכת הממשל התאגידי, ניהול הסיכונים והבקרות נדרשים תבחינים )קריטריונים( הולמים. מבקרים פנימיים חייבים לאמת את המידה בה ההנהלה ו/או הדירקטוריון ייסדו תבחינים ראויים - לקביעה האם המטרות והיעדים הושגו. אם התבחינים הולמים, על המבקר הפנימי 31

להשתמש בהם בהערכתו. אם התבחינים אינם הולמים, על המבקר לעבוד עם ההנהלה ו/או הדירקטוריון לפיתוח תבחינים הולמים. הפנימי C1.2210 מטרות מטלת הייעוץ חייבות להתייחס לתהליכי הממשל התאגידי, ניהול הסיכונים, והבקרה במידה המוסכמת עם הלקוח. הייעוץ חייבות להיות עם עקביות האסטרטגיות, C2.2210 מטרות מטלת המטרות וערכי הארגון. - 3331 היקף מטלת ביקורת ההיקף שנקבע חייב להיות מספק כדי להשיג את מטרות מטלת הביקורת. A1.2220 היקף מטלת הביקורת חייב לכלול התחשבות במערכות, רשומות, סגל עובדים, ונכסים פיזיים רלבנטיים, כולל אלו אשר בשליטת צדדים שלישיים. A2.2220 אם במהלך מטלת הבטחה עולות הזדמנויות משמעותיות למטלות ייעוץ, ראוי להגיע להבנה כתובה שתכלול את המטרות, ההיקף, תחומי האחריות וציפיות אחרות, וכן, לדווח את תוצאות מטלות הייעוץ בהתאם לתקנים הנוגעים למטלות ייעוץ. C1.2220 במהלך ביצוע מטלת ייעוץ, מבקרים פנימיים חייבים להבטיח, כי היקף מטלת הייעוץ מספק כדי לעמוד במטרות עליהן הוסכם. אם מבקרים פנימיים מפתחים הסתייגויות בנוגע להיקף המטלה במהלכה, חובה עליהם לדון עם הלקוח אודות הסתייגויות אלה, על מנת לקבוע אם להמשיך בביצוע מטלת הייעוץ. C2.2220 במהלך מטלות ייעוץ, מבקרים פנימיים חייבים להתייחס לבקרות באופן עקבי למטרות המטלה, ולהיות ערניים לסוגיות בקרתיות משמעותיות. - 3321 הקצאת משאבים למטלת ביקורת מבקרים פנימיים חייבים לקבוע משאבים הולמים ומספקים להשגת מטרות מטלת ביקורת, ואשר מתבססים על הערכת האופי והמורכבות של כל מטלה, אילוצי זמן וזמינות משאבים. 31

- 3301 תוכנית ביקורת למטלת ביקורת מבקרים פנימיים הביקורת. חייבים להכין תוכניות ביקורת מתועדות להשגת מטרות מטלת A1.2240 על תוכניות הביקורת לכלול נהלים לזיהוי, ניתוח, הערכה ותיעוד המידע במהלך מטלת הביקורת. תוכנית הביקורת חייבת להיות מאושרת לפני יישומה, וכל התאמה צריכה להיות מאושרת באופן מיידי. ייעוץ עשויות להשתנות בצורה ובתוכן בהתאם C1.2240 תוכניות למטלות לאופי מטלת הייעוץ. - 3211 ביצוע מטלת ביקורת מבקרים פנימיים חייבים לזהות, לנתח, להעריך ולתעד מידע מספק להשגת מטרות מטלת הביקורת. - 3201 זיהוי מידע מבקרים פנימיים חייבים לזהות מידע מספק, אמין, רלבנטי ושימושי להשגת מטרות מטלת ביקורת. מידע הינו מספק, כאשר הוא עובדתי משכנע והולם, כך שאדם זהיר בעל ידע יגיע לאותן מסקנות כמו המבקר. מידע אמין הוא המידע הטוב ביותר הניתן להשגה תוך שימוש בטכניקות ביקורת מתאימות. מידע רלבנטי תומך בממצאי מטלת הביקורת ובהמלצותיה, והוא עקבי עם מטרות המטלה. מידע שימושי מסייע לארגון בהשגת יעדיו. - 3231 ניתוח והערכה מבקרים פנימיים חייבים לבסס את מסקנות ותוצאות מטלת הביקורת על ניתוחים והערכות מתאימים. 32

- 3221 תיעוד המידע מבקרים פנימיים מטלת הביקורת. חייבים מידע לתעד לתמוך כדי רלבנטי במסקנות ובתוצאות A1.2330 המבקר הפנימי הראשי חייב לפקח על הגישה לרשומות מטלת הביקורת. המבקר הפנימי הראשי חייב לקבל אישור מההנהלה הבכירה ו/או מיועץ משפטי, לפי העניין, לפני מסירה של רשומות כאלה לגורם חיצוני. A2.2330 המבקר הפנימי הראשי חייב לפתח דרישות לשמירת רשומות מטלת הביקורת, ללא קשר לאמצעי האחסון )מדיה( על גביהם מאוחסנות הרשומות. דרישות שמירה אלה חייבות להיות עקביות עם הנחיות הארגון, הנחיות רגולטוריות רלבנטיות או דרישות אחרות. C1.2330 המבקר הפנימי הראשי חייב לפתח מדיניות משמורת לרשומות של מטלות הייעוץ, לרבות אופן שחרור המידע לגורמים פנימיים וחיצוניים. המדיניות חייבת להיות עקבית עם הנחיות הארגון, הנחיות רגולטוריות רלבנטיות או דרישות אחרות. - 3201 פיקוח על מטלת הביקורת חובה לפקח כראוי על מטלות הביקורת, על מנת להבטיח את השגת מטרותיהן, את הבטחת איכותן ואת פיתוח צוות הביקורת. מידת הפיקוח הנדרשת תלויה במקצועיות ובניסיון של המבקרים הפנימיים ובמורכבות מטלת הביקורת. על המבקר הפנימי הראשי חלה האחריות הכוללת לפיקוח על מטלת הביקורת, בין אם נעשתה על ידי או עבור הביקורת הפנימית, אך הוא רשאי למנות אנשים בעלי ניסיון הולם מהביקורת הפנימית לביצוע הסקירה. ראיות מספקות לפיקוח מתועדות ונשמרות. - 3011 דיווח על התוצאות מבקרים פנימיים חייבים לדווח על תוצאות מטלת הביקורת. 33

- 3001 תבחינים )קריטריונים( לדיווח הדיווח חייב לכלול את מטרות מטלת המתאימות, ההמלצות ותוכניות ליישומן. הביקורת והיקפה גם כמו המסקנות A1.2410 הדיווח הסופי של תוצאות מטלת הביקורת, חייב לכלול, על-פי העניין, את חוות הדעת של מבקרים פנימיים ו/או את מסקנותיהם. חוות דעת או מסקנה, שצוינה, חייבת לקחת בחשבון את ציפיות ההנהלה הבכירה, הדירקטוריון ובעלי עניין אחרים, וחייבת להיתמך במידע מספק, אמין, רלבנטי ושימושי. חוות דעת של מטלת ביקורת יכולה להיות בצורה של דירוג, מסקנות או תיאור אחר של תוצאות המטלה. מטלה זו יכולה להתייחס לבקרות בתהליך ספציפי, סיכון או יחידה עסקית. ניסוח חוות דעת כזאת דורש התחשבות בתוצאות המטלה ובמשמעותן. משביעי A2.2410 רצוי כי מבקרים פנימיים, יכירו בביצועים רצון )"ממצאים חיוביים"(, בדיווח אודות מטלת הביקורת. A3.2410 בעת הפצת תוצאות )דוח( מטלת הביקורת לגורמים מחוץ לארגון, הדיווח חייב לכלול הגבלות על הפצה ועל השימוש בתוצאות הדיווח. ייעוץ ישתנה בתוכנו C1.2410 דיווח על התקדמות ותוצאות מטלות ובצורתו, בהתאם לאופי המטלה ולצרכי הלקוח. - 3031 איכות הדיווחים הדיווחים חייבים להיות מדוייקים, אובייקטיבים, ברורים, תמציתיים, בונים, שלמים ובמועד. דיווחים מדוייקים הם נטולי טעויות ועיוותים ונאמנים לעובדות. דיווחים אובייקטיבים הינם דיווחים הוגנים, ללא משוא פנים ובלתי מוטים, והינם תוצאה של הערכה שקולה והוגנת של העובדות והנסיבות היות. דיווחים ברורים, הינם קלים להבנה והגיוניים, תוך הימנעות משימוש לא נחוץ בשפה טכנית, ומתן כל המידע המשמעותי והרלבנטי. דיווחים תמציתיים הם לגופו של עניין, תוך הימנעות 34

ממתן פירוט לא נחוץ, כפילויות ומילוליות יתר. דיווחים בונים מסייעים ללקוח המטלה ולארגון להוביל לשיפורים היכן שנדרש.דיווחים שלמים אינם מחסירים מידע חיוני למשתמשים וכוללים את כל המידע המשמעותי והרלבנטי לתמיכה בהמלצות ובמסקנות. דיווחים במועד מתוזמנים, בהתאם למהותיות הנושא, באופן המאפשר להנהלה לבצע פעולות תיקון הולמות. - 3030 טעויות והשמטות אם דיווח סופי מכיל טעויות או השמטות מהותיות, המבקר לדווח מידע מתוקן לכל הגורמים שקיבלו את הדיווח המקורי. הפנימי הראשי חייב - 3021 שימוש במילים "נערך בהתאם לתקנים מקצועיים מקובלים למקצוע הביקורת הפנימית" מבקרים פנימיים יכולים לדווח שמטלת ביקורת מקצועיים מקובלים למקצוע הביקורת הפנימית" להבטחת איכות ושיפור תומכות בהצהרה זו. בוצעה רק אם "בהתאם תוצאות לתקנים התוכנית - 3020 גילוי אי-עמידה בתקנים המקצועיים כאשר אי העמידה בהגדרת מקצוע הביקורת הפנימית, הקוד האתי או התקנים, משפיעה על מטלת ביקורת מסויימת, הדיווח על התוצאות חייב לכלול את: העיקרון או כלל ההתנהגות שבקוד האתי, )המקצועיים(, בהם לא הייתה עמידה מלאה; התקן או )התקנים( המקצועי הסיבה לאי העמידה; ואת השפעת אי העמידה על מטלת הביקורת ועל תוצאותיה המדווחות. - 3001 הפצת התוצאות המבקר הפנימי הראשי חייב להפיץ את התוצאות לגורמים המתאימים. 35

המבקר הפנימי הראשי אחראי על סקירה ואישור דוח מטלת הביקורת הסופי לפני פרסומו ועל ההחלטה למי וכיצד הוא יופץ. כאשר המבקר הפנימי הראשי מסמיך גורם מטעמו לבצע חובות, אלה הוא )המבקר הפנימי הראשי( עדין אוחז באחריות הכוללת. A1.2440 המבקר הפנימי הראשי אחראי לדווח את התוצאות הסופיות לגורמים אשר יכולים להבטיח, כי תינתן התייחסות ראויה לתוצאות. A2.2440 בכפוף לכל דין או דרישה חוקית או רגולטורית, הפצה ולפני לגורמים מחוץ לארגון, המבקר הפנימי הראשי חייב: להעריך את פוטנציאל הסיכון לארגון; להתייעץ עם ההנהלה הבכירה ו/או יועץ משפטי בהתאם לעניין; וכן לפקח על ההפצה באמצעות הגבלות על השימוש בתוצאות. הראשי אחראי לדיווח התוצאות הסופיות של C1.2440 המבקר הפנימי מטלות הייעוץ ללקוחות. C2.2440 במהלך מטלות יעוץ, יתכן שיזוהו סוגיות בממשל התאגידי, בניהול הסיכונים ובבקרות. כאשר הסוגיות המתגלות, הינן משמעותיות לארגון, חובה לדווח עליהן להנהלה הבכירה ולדירקטוריון. - 3001 חוות דעת כוללת כאשר ניתנת חוות דעת כוללת, חובה להתחשב הדירקטוריון ובעלי עניין אחרים, והיא חייבת להיות רלבנטי ושימושי. הדיווח יכלול: בציפיות ההנהלה הבכירה, נתמכת במידע מספק, אמין, ההיקף לרבות טווח הזמן לו מתייחסת חוות הדעת; הגבלות להיקף המטלה; 36

התחשבות בכל הפרויקטים הקשורים, לרבות הסתמכות על נותני שירותי הבטחה אחרים; מסגרות הסיכון והבקרה או תבחינים אחרים, ששימשו בסיס לחוות הדעת; וכן- חוות הדעת הכוללת, השיפוט או המסקנה שהגיעו אליה. חובה לציין את הנימוקים לחוות דעת כוללת שהינה שלילית. - 3011 ניטור ההתקדמות המבקר הפנימי הראשי חייב להקים היישום של התוצאות שדווחו להנהלה. ולתחזק מערכת למעקב אחר התקדמות תהליך מעקב לשם ניטור אפקטיבי, או שההנהלה A1.2500 המבקר הפנימי הראשי חייב למסד והבטחה, שפעולות ההנהלה מיושמות באופן הבכירה נטלה סיכון של אי-נקיטת פעולות. התקדמות C1.2500 הביקורת הפנימית חייבת לבצע מעקב אחר היישום של תוצאות מטלות ייעוץ במידה המוסכמת עם הלקוח. - 3011 תקשור קבלת סיכונים כאשר המבקר הפנימי הראשי מסיק, שההנהלה השלימה עם רמה מסוימת של סיכון, שעלול להיות בלתי-מקובל על הארגון, חובה עליו לשוחח על כך עם ההנהלה הבכירה. אם המבקר הפנימי הראשי מסיק כי הסוגיה לא נפתרה, המבקר הפנימי הראשי חייב לתקשר את הסוגיה לדירקטוריון. זיהוי של סיכון שההנהלה קיבלה יכול להתבצע תוך כדי ביצוע מטלת הבטחה או מטלת ייעוץ, או תוך ניטור ההתקדמות של פעולות ההנהלה בעקבות מטלת ביקורת שבוצעה בעבר, או באמצעים אחרים. אין זו אחריותו של המבקר הפנימי לפתור את הסיכון. 37