Стандарты и методы внутреннего аудита

Информационный бюллетень
Опубликовано: 16 сентября 2005

Наталия Васильева

Аудиторская деятельность осуществляется в виде внешнего аудита, который выполняется аудиторскими фирмами или независимыми аудиторами, а также в виде внутреннего аудита, который проводит специализированное подразделение той организации, чья деятельность подвергается аудиторской проверке. Конечные общие цели обоих видов аудита во многом совпадают – это контроль. Однако имеются и существенные различия в содержании и характере их деятельности. Для лучшего понимания смысла и значения внутреннего аудита необходимо сказать несколько слов о внешнем аудите. Под последним понимается оценка системы отчетности, проверка и оценка активов и пассивов организации, тестирование существующей системы внутреннего контроля. Главная задача внешнего аудита – установить соответствуют реальности представляемые отчеты и балансы проверяемой организации или нет, оценить ее финансовое положение и результат деятельности за некоторый период. Внешний аудит осуществляется периодически, причем часто разными фирмами или аудиторами, приглашаемыми со стороны. Аудиторский отчет предназначен главным образом вышестоящим органам, акционерам, кредиторам и т.д. Он используется в своей работе и внутренними аудиторами.

Внутренний аудит имеет другую природу, смысл, назначение и организацию по сравнению с внешним. Для начала отметим, что служба внутреннего аудита (или, как ее иногда называют, служба внутренней ревизии, служба внутреннего контроля), являясь независимым подразделением, созданным в рамках организации, выполняет систематическую, каждодневную работу по проверке и оценке ее деятельности.

По общепринятому определению общей задачей внутреннего аудита является помощь организации в эффективном выполнении своих обязанностей и назначений. Внутренний аудит – это орудие управления, предназначенное для обеспечения (гарантии) достижения целей управления. Для этого внутренний аудит снабжает управление организации результатами выполненного анализа, оценками деятельности того или иного подразделения, рекомендациями и информацией. Служба внутреннего аудита сотрудничает с внешними аудиторами.

Результаты внутреннего аудита используются руководством организации для управления и текущего ведения дел с учетом имеющихся ресурсов и в рамках существующих законов. Таким образом, внутренний аудит способствует достижению целей организации.

Функции внутреннего аудита банковской деятельности в принципе не отличаются от перечисленных выше, однако имеют свою специфику, определяемую особенностями банковского продукта и бухгалтерского учета, организацией работы, набором факторов риска.

Задачи, которые выполняются при внутреннем аудите, разнообразны и зависят от его целей, типа проверяемой организации и характера ее деятельности. Очевидно, что аудит государственных организаций, коммерческих банков, страховых компаний и пенсионных фондов имеет свою специфику. Более того, многие задачи можно решать различными способами, с разной глубиной и детальностью, и ориентируясь на различные критерии. В связи с этим неизбежно возникает проблема регламентирования аудиторской деятельности. Проблема, как известно, решается с помощью разработки соответствующих правил или стандартов, а также конкретных методик проведения аудита. Термин «стандарт» (калька с английского standard) здесь следует понимать в специальном смысле, который отличается от принятого у нас. Вместо «стандарты аудита» за рубежом применяют и другое название – Code of Ethics for Auditors, которое можно перевести как «стандарты поведения», «этический кодекс» или, наконец, «правила для аудиторов».

В России разработан стандарт внутреннего аудита, который одобрен Комиссией по аудиторской деятельности при Президенте Российской Федерации. Коль скоро тексты этих правил опубликованы и, очевидно, знакомы отечественным аудиторам, не будем останавливаться на них, а сразу перейдем к международным стандартам1.

В странах с развитым государственным аппаратом проблемам аудита, в том числе внутреннего, уделяется много внимания. Достаточно упомянуть о существовании Международной организации высших институтов контроля (The International Organization of Supreme Audit Institutions, INTOSAI), в которую входят более десятка стран, включая США, Англию и Японию. Международным является и Институт внутренних аудиторов (The Institution of Internal Auditors, IIA). В этом направлении работают и специальные подразделения правительственных организаций. Например, в США – General Accounting Office2. В каждой из названных и других аналогичных зарубежных организаций имеется подразделение, ответственное за разработку соответствующих стандартов аудита.

Очевидно, что зарубежные аудиторские компании, привлеченные для проверки российских банков и других коммерческих институтов, в своей деятельности придерживаются принятых на западе стандартов. В связи с этим представляется целесообразным ознакомить отечественных аудиторов с зарубежными стандартами. Для этого охарактеризуем стандарты внутреннего аудита, базируясь на ряде международных и других источников3.

Обычно эти стандарты сгруппированы в 3, а иногда 4 группы. Рассмотрим эти стандарты, сгруппировав их в три группы.

1. Общие стандарты (General Standards)

Эта группа охватывает следующие правила:

1.1. Разумная гарантия (Reasonable Assurance). Под этим понимается разумное (т.е. без излишеств) достижение целей проверки. Иначе говоря, стоимость проверки не должна превышать полученного эффекта. При выполнении этого правила принимаются во внимание риски, свойственные операциям проверяемой организации, критерии для определения уровня риска, приемлемые размеры рисков для разных условий.

1.2 . Отношение проверяемой организации (Supportive Attitude). Внутренний аудит инициируется администрацией. Администрация и сотрудники организации должны демонстрировать положительное отношение к внутренней проверке, способствовать повышению ее эффективности, в том числе путем обеспечения необходимой информацией.

1.3. Компетенция персонала (Competent Personal). Этот стандарт требует, чтобы руководство службы внутреннего аудита и ее сотрудники имели высокие личные качества, необходимую профессиональную подготовку, знание системы внутреннего контроля, достаточное для эффективного выполнения своих обязанностей. Важным является беспристрастность аудитора. В свою очередь руководство компании должно осознавать, что внутренний аудит является жизненно важным для организации.

Для поддержания уровня компетенции, позволяющего выполнять предписанные обязанности, предусматривается проверка знаний и опыта персонала службы аудита, систематическое повышение его квалификации4. Кроме того, с целью поддержания эффективности внутреннего аудита необходимы обсуждения результатов.

1.4. Объекты и цели проверки (Control Objectives). Объекты внутреннего контроля должны быть определены для каждого вида деятельности организации. Они должны быть логичны, практически обоснованы и в разумных пределах полны.

Этот стандарт требует, чтобы объекты проверок привязывались к операциям данной компании. Все операции должны быть сгруппированы в блоки (циклы). Блоки охватывают все виды деятельности организации и должны быть совместимы со структурой компании и функциями ее подразделений. Блоки классифицируются различными способами. Например, можно выделить следующие блоки:

  • Руководство компании. Этот блок охватывает разработку политики компании, а также планирование, организацию ее деятельности, сбор и обработку информации, к ним также относятся и функции внутреннего аудита.

  • Финансовый блок охватывает традиционные области контроля, касающиеся денежных потоков (доходы и расходы), соответствующих активов и финансовую информацию.

  • Операционные (программные) блоки – это виды деятельности компании, обеспечивающие выполнение ею своего основного назначения.

  • Администрация (Управление внутренней деятельности). Этот блок включает второстепенные виды деятельности компании, которые обеспечивают поддержку основных функций организации: библиотечное обслуживание, почтовые услуги, публикации и т.п.

Для выполнения рассматриваемого стандарта необходимо определить в рамках каждого блока цели контроля, которые во многом определяются планами организации. В эти цели входит:

  • содействие в проведении точных, экономичных и эффективных операций, соответствующих основной миссии организации;

  • обеспечение безопасности ресурсов (недопущение воровства, растрат, мошенничества и других нарушений);

  • соблюдение законов, инструкций и директив руководства;

  • получение надежной информации о состоянии деятельности организации и отражение этих данных в периодической отчетности.

1.5. Методы проверки (Control Techniques). Методы внутреннего контроля должны быть эффективны и продуктивны для достижения поставленных целей.

Под методами контроля понимают различные процедуры, позволяющие достичь поставленные цели. Стандарт требует, чтобы эти методы обеспечивали высокую степень надежности проверки. Они включают планы организации аудита (включая разграничение обязанностей) и меры безопасности контроля.

2. Специальные стандарты (Specific Standards)

К ним относятся:

2.1. Документация (Documentation). Существующие системы внутреннего контроля и все сделки, операции и прочие существенные события должны быть четко отражены в документах. Документация должна быть доступной и легко понятной при контроле.

Стандарт требует письменной фиксации: а) целей внутреннего контроля компании, ее методов и применяемых систем учета, б) всех важных аспектов сделок и других значимых событий компании.

Документация систем внутреннего контроля должна включать описание блоков и соответствующих объектов компании, директивы руководства, административную политику и внутрифирменные стандарты бухгалтерского учета. Документация по сделкам и значимым событиям должна быть точной и полной, способной помочь в отслеживании сделок и событий, а также отражать источники информации. Выполнение этого стандарта требует, чтобы документирование методов внутреннего контроля, операций, событий было полноценным и полезным руководству компании и аудиторам при контроле за операциями.

2.2. Регистрация сделок и событий (Recording of Transactions and Events). Сделки и другие значимые события должны быть зарегистрированы должным образом и соответственно классифицированы.

Этот стандарт применим а) к целому процессу, жизненному циклу операции или событию и включает инициацию сделки и ее разрешение;

б) ко всем аспектам операции, которая осуществляется; в) к его классификации в обобщающих регистрах.

2.3. Исполнение сделок и операций (Execution of Transactions and events). Сделки и другие значительные операции должны быть авторизированы (разрешены) и выполнены только тем персоналом, который действует в рамках своей компетенции.

Этот стандарт связан с решениями руководства компании по обмену, передаче и использованию ресурсов в оговоренных целях и условиях. В принципе это означает гарантию того, что исполнены только реальные сделки. Авторизация сделок должна быть четко передана менеджерам и другим сотрудникам и должны предусматривать специальные условия и сроки исполнения.

2.4. Разделение обязанностей (Separation of Duties) Ключевые обязанности и ответственность в процессе авторизации, проведении сделок, регистрации сделок и их текущий контроль должны быть разделены между сотрудниками.

Для уменьшения риска ошибок или потерь, или для снижения риска их необнаружения, нельзя допускать чтобы одно и то же лицо контролировало все ключевые аспекты сделок. Кроме того, следует закрепить ключевые функции и ответственность за группой сотрудников для гарантии эффективности контроля. Основные функции включают авторизацию, одобрение сделок и их регистрацию.

2.5. Надзор (Supervision). Должен обеспечиваться квалифицированный и постоянный надзор с тем, чтобы достигались цели внутреннего контроля.

Этот стандарт требует:

  • четкой взаимосвязи между функциями и обязанностями сотрудников, подотчетность каждого сотрудника;

  • систематической проверки, в необходимых пределах, работы каждого сотрудника;

  • санкционирования работы в критических ее моментах для гарантии того, что работа протекает так, как требуется.

2.6. Доступность к ресурсам и ответственность за них (Access to and Accountability for Resources). Доступ к ресурсам и к их учету следует ограничить только уполномоченными сотрудниками. Должна быть определена ответственность за использование ресурсов. Периодически следует проводить проверку наличия ресурсов (сравнения фактических ресурсов с их регистрацией). Частота проверок зависит от «уязвимости» активов.

Основа концепции ограничения доступа к ресурсам – это содействие в уменьшении риска неавторизованного их использования. Ограничение доступа к ресурсам зависит от уязвимости ресурсов и понимания риска потерь, оба эти фактора должны периодически оцениваться.

3. Стандарты аудиторских отчетов (Audit Resolution Standard)

Этот стандарт относится к этапу после завершения проверки. Он требует, чтобы руководство:

  • своевременно оценивало результаты аудиторской проверки,

  • определяло и принимало должные меры, направленные на исправления недостатков и улучшения, исходя из рекомендаций аудиторов,

Аудиторы ответственны за последствия, связанные с аудиторскими выводами и рекомендациями. Руководству должны периодически представляться доклады по каждому из принятых решений по аудиторскому отчету.

Как было показано выше, стандарты внутреннего аудита характеризуют общие требования и условия проведения аудита, причем весьма расплывчатые. Например, как можно однозначно определить эффективность, разумную гарантию, точность и т.д. Стандарты надо воспринимать в качестве некоторых общих указаний при организации аудита, выборе объектов, целей и методов проведения проверки. Рассматривая стандарты, как отправную базу, аудиторские организации, государственные или коммерческие, разрабатывают свои, более или менее детальные, правила и методы проведения аудита. Сказанное полностью относится и к внутреннему аудиту банковской деятельности.

В практическом отношении наиболее важным в списке рассмотренных выше стандартов, по всей вероятности, является «Методика аудита». Попытаемся конкретизировать эту позицию, кратко охарактеризовав общую методику проведения аудита в кредитной организации. Более детальное рассмотрение методики в рамках отдельной статьи невозможно5.

Выбор конкретного метода, как известно, определяется особенностями объекта и целью аудита. Под «объектом» понимается: 1) конкретная организационная единица (касса, отдел учета векселей и т.д.); 2) продукт или услуга, предлагаемая банком (кредитование торговли, лизинговые операции и т.д.); 3) автоматизированная система обработки данных; 4) счета бухгалтерского учета.

Процесс аудита распадается на несколько основных этапов. Типичными для аудиторской проверки отдельного объекта являются следующие этапы:

  • предварительное планирование,

  • оценки риска,

  • разработка общего плана и программы аудита,

  • проведение аудита,

  • оценка и документальное оформление результатов аудита.

Предварительное планирование. Предварительное планирование включает в себя получение полного представления о проверяемом объекте, анализ правовых обязательств, нормативов и учетных стандартов, применимых к объекту аудита, предварительное определение основных рисков и задач аудита, оценку необходимых трудозатрат, определение графика аудита, оценка необходимой помощи со стороны других аудиторских структур. Для получения полного представления об объекте аудита аудиторы вначале изучают постоянное досье на данный объект.

Оценки риска. В основе окончательного планирования аудиторских проверок и определения необходимых для их проведения ресурсов лежит процесс систематической оценки рисков, присущих тому или иному подразделению банка, банковскому продукту, сделке или событию. Такие оценки позволяют руководству внутренней аудиторской службы спланировать проверки и ресурсы с учетом «рискованности» того или иного объекта аудита

Исходя из данных предварительного изучения объекта аудита, применимых к нему нормативов и процедур бухгалтерского учета, аудиторы определяют ключевые риски и формулируют соответствующие этим рискам задачи аудита. Необходимой предпосылкой оценки риска является получение описания объекта аудита. Массив документированной информации об объекте охватывает различные типы операций, информационный обмен, вопросы внутреннего контроля, задействованный персонал, используемые счета бухгалтерского учета.

Важным элементом на данном этапе является оценка риска несовершенства контроля, которая заключается в определении эффективности системы внутреннего контроля с точки зрения предотвращения и обнаружения ошибок, и неправильных действий. Она предусматривает следующие действия:

  • определение рисков и потенциальных ошибок, характерных для данного объекта,

  • выбор действующих систем контроля, снижающих тот или иной риск или вероятность ошибки,

  • определение образа действия выбранных систем контроля,

  • оценка надежности выбранных систем контроля,

  • определение необходимости всесторонней проверки функционирования конкретных систем контроля.

Как видим, оценка рисков является одной из наиболее важных и сложных проблем внутреннего аудита, рассмотрение которой выходит за рамки данной статьи.

Разработка общего плана и программы аудита. Первым шагом в этом направлении является определение потенциальных ошибок. С этой целью:

  1. составляется список основных видов ошибок: недействительная операция, неточно или несвоевременно зарегистрированная операция несанкционированная операция, неверно классифицированная операция и т.д.;
  2. рассматриваются критические стадии операционного цикла: подготовка, утверждение, регистрация и санкционирование операции, обработка, корректировка, контроль и оформление соответствующего документа;
  3. оценивается опыт проведения предыдущих аудиторских проверок данного объекта.

Далее анализируется описание объекта аудита и определяется надежность существующих систем контроля, позволяющих предотвращать или обнаруживать и исправлять ошибки. Рассматриваются следующие ключевые механизмы контроля:

  1. согласование и сопоставление имеющихся активов с первичными документами. Для этого предполагается проведение независимых проверок специального контрольного файла, с которым согласовываются обрабатываемые данные, либо прямое сопоставление входных данных с соответствующими активами;
  2. санкционирование и разрешение определяется наличием в электронной системе общих процедур контроля безопасности данных, не допускающих проведение операций, не имеющих законной силы;
  3. анализ выходных данных всегда выполняется, по крайней мере, в некоторой степени, вручную. Целью такого анализа является проверка обоснованности и точности выходных данных путем детального их сопоставления с ожидаемыми результатами;
  4. контроль доступа к активам (контроль за несанкционированным и санкционированным доступом). Лица, обладающие санкционированным доступом, при правильном распределении обязанностей не должны иметь доступ к соответствующей учетной документации, сфальсифицировав которую они могли бы скрыть недостачу;
  5. общий электронный контроль, который реализуется путем слежения за данными в электронной системе кредитной организации, начиная с приобретения, разработки, обслуживания и поддержки информационных систем.

Процедуры аудита применяют и для выяснение наличия механизмов внутреннего контроля за тем или иным объектом аудита. Эти процедуры включают:

  • Проведение независимых выверок остатков на счетах и анализа регулярности выполнения этих операций;

  • Аналитические процедуры используются для выяснения того, имела ли место в действительности вероятная ошибка, затрагивающая какой либо счет или тип операций, путем сравнения суммы по записям с независимо рассчитанной ожидаемой суммой. Особое место занимает выборочный метод, позволяющий заметно сократить затраты на обследования;

  • Детальное изучение фактических данных, подтверждающих состоятельность некоторых или всех статей, которые входят в совокупность, образующую сумму, а также наблюдение за деятельностью и функционированием объекта аудита и проверку соблюдения конкретных принципов и процедур.

Программы аудита время от времени модифицируются с учетом таких факторов, как результаты предыдущих обследований, характер осуществляемой деятельности, текущие цели, кадровые изменения, изменения законодательства, изменения политики руководства, узкие места или зоны особого интереса, результаты оценки риска. Необходимость изменения и корректировки программ аудита в ходе аудиторской проверки обычно диктуется:

  • результатами проверки соблюдения установленных нормативов, если они отличаются от ожидаемых;

  • изменениями в характере деятельности, происшедшими в ходе аудиторской проверки;

  • проблемами, возникшими в ходе аудиторской проверки, о которых не было известно на стадии планирования.

Завершив работу над планом и процедурами аудиторской проверки, аудитор готовит записку о планировании аудита, являющуюся документальным подтверждением плана аудита и отражающую основные моменты, характеризующие объект аудита.

Проведение аудита сводится к выполнению программы аудита, которое осуществляется группой аудита. Позиции программы распределяются между аудиторами в соответствии с их опытом и квалификацией.

Оценка и документальное оформление результатов аудита. На основе результатов проверки аудитор формирует представление о существенности обнаруженных ошибок (в материальном отношении), погрешностях, искажениях и т.п.. При вынесении этого суждения аудитор ориентируется на некоторые общие принципы, а именно:

  • Внутренние аудиторы обычно проводят анализ существенности на основании финансовой отчетности конкретного объекта аудита, поскольку главные пользователи (руководство) основывают свои решения именно на этих данных.

  • При определении существенности аудитор учитывает как вероятные ошибки, так и потенциально возможные новые типы ошибок. В категорию вероятных входят уже известные аудитору типы ошибок, выявленные путем независимой проверки операций и остатков на счетах, а также прогнозируемые ошибки, определенные методом выборочного контроля, и ошибки, обнаруженные аналитическим путем. Возможные новые типы ошибок связаны с неопределенностью обследования, неполным охватом операций или остатков на счетах.

Оценку существенности ошибки производят с учетом особенностей объекта аудита. Так, при проведении аудита дебиторов по расчетам оценка существенности выводится на основе соответствующих остатков на лицевых счетах, а не общей суммы остатка.

Необходимость аудиторских корректировок учета рассматривается в отчете с двух точек зрения: существенности для банка в целом и значимости сумм по отношению к определенным строкам финансовой отчетности. Руководство организации должно своевременно оценить результаты аудита. Эта оценка

  • позволяет оперативно определять объекты для последующих аудиторских проверок;

  • дает ценную информацию по трудозатратам на проведение различных этапов аудита (оценка риска, оценка среды управления и т.д.), что способствует оптимизации процесса планирования и проведения аудита;

  • обеспечивает руководство содержательными сводками результатов аудита. Результаты аудита и их оценка позволяют получить исчерпывающее представление об уровне системы внутреннего контроля, характерной для данного объекта аудита.

Оценки фиксируются в итоговой ведомости оценок результатов аудита. Все оценки ежеквартально сводятся в особой Карте учета аудиторских проверок за квартал.

Из приведенного выше краткого описания методики следует, что внутренний аудит кредитных организаций является сложным, многошаговым процессом, требующим больших затрат труда опытного персонала. Существенным подспорьем могли бы служить разработки стандартных схем контроля для преобладающих в данной организации объектов аудита.

Наталия Евгеньевна Вaсильева, к.э.н., является начальником службы внутреннего аудита ГК АРКО. С ней можно связаться по телефону (095) 725 3112 или по электронной почте vasilieva@gk-arco.ru.

 

Все статьи цикла «Бюллетень Март / Апрель 2001»

(состоит из 20 статей)

Реформа бухгалтерской отчетности в России (16 сентября 2005)

Международная профессиональная квалификация «Сертифицированный внутренний аудитор» (16 сентября 2005)

Три подхода к системе корпоративного управления (16 сентября 2005)

Несоблюдение требований МСФО и низкое качество аудита подрывают доверие к международным стандартам (16 сентября 2005)

Канадская концепция перехода на GAAP.ru США и МСФО (16 сентября 2005)

Эмил Вулф Интернешнл – учебный центр по МСФО, МСА и управленческому учёту (16 сентября 2005)

Разработка системы финансового менеджмента на основе МСФО (16 сентября 2005)

Сделки со связанными сторонами и вопросы собственности (16 сентября 2005)

IASPLUS.com (16 сентября 2005)

Новости КМСФО (16 сентября 2005)

Новости МФБ (16 сентября 2005)

Стандарты и методы внутреннего аудита (16 сентября 2005)

ЕС делает серьезный шаг в поддержке аудиторской реформы в России (16 сентября 2005)

Новые публикации (16 сентября 2005)

Новый президент Европейской федерации обществ финансовых аналитиков (16 сентября 2005)

Проект Международного стандарта аудита о роли аудиторов и органов банковского надзора (16 сентября 2005)

Представители частного сектора ЕС объединяются в целях принятия МСФО (16 сентября 2005)

Прозрачная финансовая информация как фактор экономической стабильности и интенсивного роста (16 сентября 2005)

«Центр-инвест»: работа банка в России по МСФО (16 сентября 2005)

МСФО как средство оптимизации деятельности российских предприятий: управленческий аспект (16 сентября 2005)