Виды внутреннего аудита
Автор: Евгений Зверев, CIA, член Института внутренних аудиторов
Читайте предыдущие статьи цикла «Введение во внутренний аудит»:
-
Понятие внутреннего аудита и различие между внешним и внутренним аудитом
-
Внутренний аудит: риски и контроли
Деятельность внутренних аудиторов можно разделить на два вида:
-
аудиторская проверка (если говорить языком внутренних аудиторов, то это «услуги по предоставлению гарантий»). Фактически, это объективный анализ полученных в ходе аудиторских процедур доказательств, для независимой оценки объекта аудита. Объектом аудита может быть актив, операция, функция, процесс и пр. Содержание и объем аудиторского задания в рамках аудиторской проверки определяются руководителем по внутреннему аудиту.
-
услуги по консультированию. Это предоставление консультаций/ рекомендаций/ независимой экспертизы по определенному вопросу (например, до начала проекта, совершения сделки или закупки, а также по анализу и реорганизации бизнес-процессов и проч.). Инициатором этой деятельности выступает клиент внутреннего аудита (совет директоров, комитет по аудиту, акционер, высшее исполнительное руководство), который делает специальный запрос в службу внутреннего аудита. Консультации имеют рекомендательных характер. Услуги по консультированию предполагают участие обеих указанных сторон, а содержание и объем задания по консультированию определяются соглашением между внутренним аудитором и заказчиком.
Аудиторские проверки и консультации отличаются друг от друга по направленности, но зачастую вместе присутствуют в задании по аудиту.
Предоставление гарантий (аудиторские проверки) и консультаций чаще всего выполняются на одном из трех уровней (перечень не является полным):
-
организационном - последовательный аудит структурного подразделения;
-
функциональном - «сквозной» аудит процесса, протягивающийся через ряд подразделений (например, аудит «движения ГСМ»);
-
операционном - аудит операционного цикла (например, цикл закупок).
Аудиторские задания по предоставлению гарантий подразделяются на 3 основные категории:
-
Финансовый аудит - это аудит финансово-экономической деятельности организации с целью проверки достоверности и целостности представляемой финансово-экономической информации (в форме отчетности и/или иной) и подтверждения текущего состояния ее активов.
Традиционно подобный аудит выполняется внешним аудитом, но он является обязанностью и внутреннего аудита. Осуществляя его, внутренние аудиторы могут оценить эффективность использования ресурсов в производственном процессе, а не просто ограничиться проверкой механизмов учета. Взаимодействие внешнего и внутреннего аудита здесь имеет первостепенное значение, поскольку позволяет минимизировать двойную работу.
-
Аудит на соответствие требованиям (комплаенс (от англ. Compliance), или подтверждение нормативного и/или правового соответствия) - это аудит соблюдения организацией требований нормативно-правовых актов, контрактов, стандартов, норм регулирования, отраслевых кодексов поведения, а также внутрикорпоративных политик, процедур, инструкций, требований и т.п.
Аудит по подтверждению нормативно-правового соответствия:
-
внешним требованиям, т.е. соблюдение законодательства (противодействие взяточничеству и коррупции, обеспечение конкурентной среды и предотвращение возникновения сговора между участниками рынка, противодействие отмыванию доходов и финансированию терроризма (ПОД/ФТ), по промышленной безопасности и охране труда, по охране окружающей среды и проч.);
-
внутренним требованиям (собственным, внутрикорпоративным), т.е. соблюдение политики обеспечения качества продукции, политики входного контроля поставляемых материалов и т.п.
Например, аудит соблюдения стандартов ISO1 - предоставление достаточных гарантий того, что деятельность объекта аудита (компании, структурного подразделения, направления деятельности, процесса) соответствует применяемым внутренним (политики и процедуры) и существующим внешним (стандарты, законы, нормы регулирования) требованиям.
-
Операционный аудит - это аудит, анализирующий процедуры и методы функционирования хозяйственной системы для оценки экономичности, продуктивности и результативности ее деятельности. Операционный аудит оказывает помощь руководству в достижении целей. Обычно в рамках операционных аудитов оцениваются система внутреннего контроля, система управления рисками и корпоративное управление.
Отдельно стоит сказать об ИТ-аудитах (включая оценку эффективности использования ИТ), которые становятся все более важными в связи с развитием ИТ, вниманию к персональным данным и киберугрозами.
ИТ-аудит - это деятельность (по COBIT2), чьей основной целью является предоставление обоснованных гарантий эффективного выполнения задач управления ИТ. Кроме того, ИТ-аудит должен способствовать улучшению состояния информационной системы, характеризующегося уровнем ее безопасности и эффективностью процессов управления ИТ.
Значение ИТ-аудита возрастает с каждым годом. Этому способствует рост киберугроз, использование продвинутой аналитики данных (Big Data) и общей важности всех ИТ-систем в ведении бизнеса.
В основе аудита информационных систем лежат два документа:
-
«Интегрированная концепция внутреннего контроля» (концепция COSO): обеспечивает руководство по контролю экономических субъектов;
-
«Цели контроля3 для информационных и смежных технологий (COBIT)», опубликованные ISACA4: фокусируется на контроле информационных технологий.
Здесь необходимо обратить внимание, что однозначная классификация между видами аудита затруднительна, но это не имеет принципиального значения, поскольку многое зависит от типа задания, поставленного при проведении аудита основного и/или сопутствующего направления деятельности организации.
Есть специальные задания, которые выполняются внутренним аудитом, и их классификация зависит от направленности задания. Например:
-
экологический аудит — это независимая оценка соблюдения нормативно-правового соответствия (т.е. подтверждение того, что соблюдаются соответствующие законы и нормативные акты) и/или систем менеджмента в части экологии и охраны природы, обеспечивающих указанное соответствие;
-
аудит в сфере электронной коммерции -предоставление достаточных гарантий того, что системы и процедуры контроля эффективны при ведении коммерческой деятельности в сети Интернет;
-
аудит Due Diligence (Должная добросовестность) - независимая оценка объекта инвестирования, включающая в себя оценку инвестиционных рисков, всестороннее исследование деятельности объекта приобретения, комплексную проверку его финансового состояния и положения на рынке;
-
аудит управления (обеспечения) непрерывностью бизнеса и восстановления после сбоев - предоставление достаточных гарантий того, что внедрены контрольные процедуры, минимизирующие риски прерываний критичных бизнес-процессов и негативные последствия таких прерываний;
-
аудит системы комплексного управления качеством (Total Quality Management (TQM)) - предоставление достаточных гарантий того, что аудируемая функция или структурное подразделение соблюдает установленные стандарты качества отдельной единицы продукции;
-
аудит «третьих» сторон - предоставление достаточных гарантий, что обслуживающая организация («третья» сторона), от которой зависит бесперебойное функционирование самой организации, соответствует требованиям заключенного контракта с ней (объем и стандарты услуг, соответствие минимально допустимым характеристикам (финансовое состояние) и пр.);
-
криминальный аудит, форензик (forensic, криминалистическая экспертиза) – расследование финансовых злоупотреблений и проводится в отношении ситуаций, имеющих серьезные правовые последствия (операции с элементами коррупции, «отмывание» денег и т.п.).
1 В 1987 году Международная организация по стандартизации ввела в действие стандарты ISO 9000. Это набор стандартов, предоставляющие гарантию, что обеспечивается требуемый уровень качества у всех продуктов определенного вида, производимого данной компанией.
2 CobiT (сокращение от Control Objectives for Information and Related Technologies («Задачи управления для информационных и смежных технологий»)) — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.
3 Контроль здесь – «политики, процедуры, практики и организационные структуры, созданные для обеспечения разумной уверенности в том, что цели будут достигнуты, нежелательные события предотвращены, а их последствия идентифицированы и исправлены». COBIT 4.1 Rus. C.17.
4 Ассоциация аудита и контроля информационных систем.