Конечные общие цели обоих видов аудита во многом совпадают - это контроль. Однако имеются и существенные различия в содержании и характере их деятельности. Для лучшего понимания смысла и значения внутреннего аудита необходимо сказать несколько слов о внешнем аудите. Под последним понимается оценка системы отчетности, проверка и оценка активов и пассивов организации, тестирование существующей системы внутреннего контроля. Главная задача внешнего аудита - установить соответствуют реальности представляемые отчеты и балансы проверяемой организации или нет, оценить ее финансовое положение и результат деятельности за некоторый период. Внешний аудит осуществляется периодически, причем часто разными фирмами или аудиторами, приглашаемыми со стороны. Аудиторский отчет предназначен главным образом вышестоящим органам, акционерам, кредиторам и т.д. Он используется в своей работе и внутренними аудиторами.
Внутренний аудит имеет другую природу, смысл, назначение и организацию по сравнению с внешним. Для начала отметим, что служба внутреннего аудита (или, как ее иногда называют, служба внутренней ревизии, служба внутреннего контроля), являясь независимым подразделением, созданным в рамках организации, выполняет систематическую, каждодневную работу по проверке и оценке ее деятельности.
По общепринятому определению общей задачей внутреннего аудита является помощь организации в эффективном выполнении своих обязанностей и назначений. Внутренний аудит - это орудие управления, предназначенное для обеспечения (гарантии) достижения целей управления. Для этого внутренний аудит снабжает управление организации результатами выполненного анализа, оценками деятельности того или иного подразделения, рекомендациями и информацией. Служба внутреннего аудита сотрудничает с внешними аудиторами.
Результаты внутреннего аудита используются руководством организации для управления и текущего ведения дел с учетом имеющихся ресурсов и в рамках существующих законов. Таким образом, внутренний аудит способствует достижению целей организации.
Функции внутреннего аудита банковской деятельности в принципе не отличаются от перечисленных выше, однако имеют свою специфику, определяемую особенностями банковского продукта и бухгалтерского учета, организацией работы, набором факторов риска.
Задачи, которые выполняются при внутреннем аудите, разнообразны и зависят от его целей, типа проверяемой организации и характера ее деятельности. Очевидно, что аудит государственных организаций, коммерческих банков, страховых компаний и пенсионных фондов имеет свою специфику. Более того, многие задачи можно решать различными способами, с разной глубиной и детальностью, и ориентируясь на различные критерии. В связи с этим неизбежно возникает проблема регламентирования аудиторской деятельности. Проблема, как известно, решается с помощью разработки соответствующих правил или стандартов, а также конкретных методик проведения аудита. Термин "стандарт" (калька с английского standard) здесь следует понимать в специальном смысле, который отличается от принятого у нас. Вместо "стандарты аудита" за рубежом применяют и другое название - Code of Ethics for Auditors, которое можно перевести как "стандарты поведения", "этический кодекс" или, наконец, "правила для аудиторов".
В каждой из названных и других аналогичных зарубежных организаций имеется подразделение, ответственное за разработку соответствующих стандартов аудита.
Очевидно, что зарубежные аудиторские компании, привлеченные для проверки российских банков и других коммерческих институтов, в своей деятельности придерживаются принятых на западе стандартов. В связи с этим представляется целесообразным ознакомить отечественных аудиторов с зарубежными стандартами. Для этого охарактеризуем стандарты внутреннего аудита, базируясь на ряде международных и других источников3.
Обычно эти стандарты сгруппированы в 3, а иногда 4 группы. Рассмотрим эти стандарты, сгруппировав их в три группы.
(General Standards)
Эта группа охватывает следующие правила:
1.1. Под этим понимается разумное (т.е. без излишеств) достижение целей проверки. Иначе говоря, стоимость проверки не должна превышать полученного эффекта. При выполнении этого правила принимаются во внимание риски, свойственные операциям проверяемой организации, критерии для определения уровня риска, приемлемые размеры рисков для разных условий.
1.2 . Отношение проверяемой организации (Supportive Attitude). Внутренний аудит инициируется администрацией. Администрация и сотрудники организации должны демонстрировать положительное отношение к внутренней проверке, способствовать повышению ее эффективности, в том числе путем обеспечения необходимой информацией.
1.3. Компетенция персонала (Competent Personal). Этот стандарт требует, чтобы руководство службы внутреннего аудита и ее сотрудники имели высокие личные качества, необходимую профессиональную подготовку, знание системы внутреннего контроля, достаточное для эффективного выполнения своих обязанностей. Важным является беспристрастность аудитора. В свою очередь руководство компании должно осознавать, что внутренний аудит является жизненно важным для организации.
Для поддержания уровня компетенции, позволяющего выполнять предписанные обязанности, предусматривается проверка знаний и опыта персонала службы аудита, систематическое повышение его квалификации4. Кроме того, с целью поддержания эффективности внутреннего аудита необходимы обсуждения результатов.
1.4. Объекты и цели проверки (Control Objectives). Объекты внутреннего контроля должны быть определены для каждого вида деятельности организации. Они должны быть логичны, практически обоснованы и в разумных пределах полны.
Этот стандарт требует, чтобы объекты проверок привязывались к операциям данной компании. Все операции должны быть сгруппированы в блоки (циклы). Блоки охватывают все виды деятельности организации и должны быть совместимы со структурой компании и функциями ее подразделений. Блоки классифицируются различными способами. Например, можно выделить следующие блоки:
Руководство компании. Этот блок охватывает разработку политики компании, а также планирование, организацию ее деятельности, сбор и обработку информации, к ним также относятся и функции внутреннего аудита.
Финансовый блок охватывает традиционные области контроля, касающиеся денежных потоков (доходы и расходы), соответствующих активов и финансовую информацию.
Операционные (программные) блоки - это виды деятельности компании, обеспечивающие выполнение ею своего основного назначения.
Администрация (Управление внутренней деятельности). Этот блок включает второстепенные виды деятельности компании, которые обеспечивают поддержку основных функций организации: библиотечное обслуживание, почтовые услуги, публикации и т.п.
Для выполнения рассматриваемого стандарта необходимо определить в рамках каждого блока цели контроля, которые во многом определяются планами организации. В эти цели входит:
содействие в проведении точных, экономичных и эффективных операций, соответствующих основной миссии организации;
обеспечение безопасности ресурсов (недопущение воровства, растрат, мошенничества и других нарушений);
соблюдение законов, инструкций и директив руководства;
получение надежной информации о состоянии деятельности организации и отражение этих данных в периодической отчетности.
1.5. Методы внутреннего контроля должны быть эффективны и продуктивны для достижения поставленных целей.
Под методами контроля понимают различные процедуры, позволяющие достичь поставленные цели. Стандарт требует, чтобы эти методы обеспечивали высокую степень надежности проверки. Они включают планы организации аудита (включая разграничение обязанностей) и меры безопасности контроля.
К ним относятся:
2.1. Документация (Documentation). Существующие системы внутреннего контроля и все сделки, операции и прочие существенные события должны быть четко отражены в документах. Документация должна быть доступной и легко понятной при контроле.
Стандарт требует письменной фиксации: а) целей внутреннего контроля компании, ее методов и применяемых систем учета, б) всех важных аспектов сделок и других значимых событий компании.
Документация систем внутреннего контроля должна включать описание блоков и соответствующих объектов компании, директивы руководства, административную политику и внутрифирменные стандарты бухгалтерского учета. Документация по сделкам и значимым событиям должна быть точной и полной, способной помочь в отслеживании сделок и событий, а также отражать источники информации. Выполнение этого стандарта требует, чтобы документирование методов внутреннего контроля, операций, событий было полноценным и полезным руководству компании и аудиторам при контроле за операциями.
2.2. Сделки и другие значимые события должны быть зарегистрированы должным образом и соответственно классифицированы.
Этот стандарт применим а) к целому процессу, жизненному циклу операции или событию и включает инициацию сделки и ее разрешение;
б) ко всем аспектам операции, которая осуществляется; в) к его классификации в обобщающих регистрах.
2.3. Сделки и другие значительные операции должны быть авторизированы (разрешены) и выполнены только тем персоналом, который действует в рамках своей компетенции.
Этот стандарт связан с решениями руководства компании по обмену, передаче и использованию ресурсов в оговоренных целях и условиях. В принципе это означает гарантию того, что исполнены только реальные сделки. Авторизация сделок должна быть четко передана менеджерам и другим сотрудникам и должны предусматривать специальные условия и сроки исполнения.
2.4. Разделение обязанностей (Separation of Duties) Ключевые обязанности и ответственность в процессе авторизации, проведении сделок, регистрации сделок и их текущий контроль должны быть разделены между сотрудниками.
Для уменьшения риска ошибок или потерь, или для снижения риска их необнаружения, нельзя допускать чтобы одно и то же лицо контролировало все ключевые аспекты сделок. Кроме того, следует закрепить ключевые функции и ответственность за группой сотрудников для гарантии эффективности контроля. Основные функции включают авторизацию, одобрение сделок и их регистрацию.
2.5. Надзор (Supervision). Должен обеспечиваться квалифицированный и постоянный надзор с тем, чтобы достигались цели внутреннего контроля.
Этот стандарт требует:
четкой взаимосвязи между функциями и обязанностями сотрудников, подотчетность каждого сотрудника;
систематической проверки, в необходимых пределах, работы каждого сотрудника;
санкционирования работы в критических ее моментах для гарантии того, что работа протекает так, как требуется.
2.6. Доступность к ресурсам и ответственность за них (Access to and Accountability for Resources). Доступ к ресурсам и к их учету следует ограничить только уполномоченными сотрудниками. Должна быть определена ответственность за использование ресурсов. Периодически следует проводить проверку наличия ресурсов (сравнения фактических ресурсов с их регистрацией). Частота проверок зависит от "уязвимости" активов.
Основа концепции ограничения доступа к ресурсам - это содействие в уменьшении риска неавторизованного их использования. Ограничение доступа к ресурсам зависит от уязвимости ресурсов и понимания риска потерь, оба эти фактора должны периодически оцениваться.
(Audit Resolution Standard)
Этот стандарт относится к этапу после завершения проверки. Он требует, чтобы руководство:
своевременно оценивало результаты аудиторской проверки,
определяло и принимало должные меры, направленные на исправления недостатков и улучшения, исходя из рекомендаций аудиторов,
Аудиторы ответственны за последствия, связанные с аудиторскими выводами и рекомендациями. Руководству должны периодически представляться доклады по каждому из принятых решений по аудиторскому отчету.
Как было показано выше, стандарты внутреннего аудита характеризуют общие требования и условия проведения аудита, причем весьма расплывчатые. Например, как можно однозначно определить эффективность, разумную гарантию, точность и т.д. Стандарты надо воспринимать в качестве некоторых общих указаний при организации аудита, выборе объектов, целей и методов проведения проверки. Рассматривая стандарты, как отправную базу, аудиторские организации, государственные или коммерческие, разрабатывают свои, более или менее детальные, правила и методы проведения аудита. Сказанное полностью относится и к внутреннему аудиту банковской деятельности.
В практическом отношении наиболее важным в списке рассмотренных выше стандартов, по всей вероятности, является "Методика аудита". Попытаемся конкретизировать эту позицию, кратко охарактеризовав общую методику проведения аудита в кредитной организации. Более детальное рассмотрение методики в рамках отдельной статьи невозможно5.
Выбор конкретного метода, как известно, определяется особенностями объекта и целью аудита. Под "объектом" понимается: 1) конкретная организационная единица (касса, отдел учета векселей и т.д.); 2) продукт или услуга, предлагаемая банком (кредитование торговли, лизинговые операции и т.д.); 3) автоматизированная система обработки данных; 4) счета бухгалтерского учета.
Процесс аудита распадается на несколько основных этапов. Типичными для аудиторской проверки отдельного объекта являются следующие этапы:
предварительное планирование,
оценки риска,
разработка общего плана и программы аудита,
проведение аудита,
оценка и документальное оформление результатов аудита.
Предварительное планирование. Предварительное планирование включает в себя получение полного представления о проверяемом объекте, анализ правовых обязательств, нормативов и учетных стандартов, применимых к объекту аудита, предварительное определение основных рисков и задач аудита, оценку необходимых трудозатрат, определение графика аудита, оценка необходимой помощи со стороны других аудиторских структур. Для получения полного представления об объекте аудита аудиторы вначале изучают постоянное досье на данный объект.
Оценки риска. В основе окончательного планирования аудиторских проверок и определения необходимых для их проведения ресурсов лежит процесс систематической оценки рисков, присущих тому или иному подразделению банка, банковскому продукту, сделке или событию. Такие оценки позволяют руководству внутренней аудиторской службы спланировать проверки и ресурсы с учетом "рискованности" того или иного объекта аудита
Исходя из данных предварительного изучения объекта аудита, применимых к нему нормативов и процедур бухгалтерского учета, аудиторы определяют ключевые риски и формулируют соответствующие этим рискам задачи аудита. Необходимой предпосылкой оценки риска является получение описания объекта аудита. Массив документированной информации об объекте охватывает различные типы операций, информационный обмен, вопросы внутреннего контроля, задействованный персонал, используемые счета бухгалтерского учета.
Важным элементом на данном этапе является оценка риска несовершенства контроля, которая заключается в определении эффективности системы внутреннего контроля с точки зрения предотвращения и обнаружения ошибок, и неправильных действий. Она предусматривает следующие действия:
определение рисков и потенциальных ошибок, характерных для данного объекта,
выбор действующих систем контроля, снижающих тот или иной риск или вероятность ошибки,
определение образа действия выбранных систем контроля,
оценка надежности выбранных систем контроля,
определение необходимости всесторонней проверки функционирования конкретных систем контроля.
Как видим, оценка рисков является одной из наиболее важных и сложных проблем внутреннего аудита, рассмотрение которой выходит за рамки данной статьи.
Разработка общего плана и программы аудита. Первым шагом в этом направлении является определение потенциальных ошибок. С этой целью:
a. рассматриваются критические стадии операционного цикла: подготовка, утверждение, регистрация и санкционирование операции, обработка, корректировка, контроль и оформление соответствующего документа;
c. Далее анализируется описание объекта аудита и определяется надежность существующих систем контроля, позволяющих предотвращать или обнаруживать и исправлять ошибки. Рассматриваются следующие ключевые механизмы контроля:
a. санкционирование и разрешение определяется наличием в электронной системе общих процедур контроля безопасности данных, не допускающих проведение операций, не имеющих законной силы;
c. контроль доступа к активам (контроль за несанкционированным и санкционированным доступом). Лица, обладающие санкционированным доступом, при правильном распределении обязанностей не должны иметь доступ к соответствующей учетной документации, сфальсифицировав которую они могли бы скрыть недостачу;
e. Процедуры аудита применяют и для выяснение наличия механизмов внутреннего контроля за тем или иным объектом аудита. Эти процедуры включают:
Проведение независимых выверок остатков на счетах и анализа регулярности выполнения этих операций;
Аналитические процедуры используются для выяснения того, имела ли место в действительности вероятная ошибка, затрагивающая какой либо счет или тип операций, путем сравнения суммы по записям с независимо рассчитанной ожидаемой суммой. Особое место занимает выборочный метод, позволяющий заметно сократить затраты на обследования;
Детальное изучение фактических данных, подтверждающих состоятельность некоторых или всех статей, которые входят в совокупность, образующую сумму, а также наблюдение за деятельностью и функционированием объекта аудита и проверку соблюдения конкретных принципов и процедур.
Программы аудита время от времени модифицируются с учетом таких факторов, как результаты предыдущих обследований, характер осуществляемой деятельности, текущие цели, кадровые изменения, изменения законодательства, изменения политики руководства, узкие места или зоны особого интереса, результаты оценки риска. Необходимость изменения и корректировки программ аудита в ходе аудиторской проверки обычно диктуется:
результатами проверки соблюдения установленных нормативов, если они отличаются от ожидаемых;
изменениями в характере деятельности, происшедшими в ходе аудиторской проверки;
проблемами, возникшими в ходе аудиторской проверки, о которых не было известно на стадии планирования.
Завершив работу над планом и процедурами аудиторской проверки, аудитор готовит записку о планировании аудита, являющуюся документальным подтверждением плана аудита и отражающую основные моменты, характеризующие объект аудита.
Проведение аудита сводится к выполнению программы аудита, которое осуществляется группой аудита. Позиции программы распределяются между аудиторами в соответствии с их опытом и квалификацией.
Оценка и документальное оформление результатов аудита. На основе результатов проверки аудитор формирует представление о существенности обнаруженных ошибок (в материальном отношении), погрешностях, искажениях и т.п.. При вынесении этого суждения аудитор ориентируется на некоторые общие принципы, а именно:
Внутренние аудиторы обычно проводят анализ существенности на основании финансовой отчетности конкретного объекта аудита, поскольку главные пользователи (руководство) основывают свои решения именно на этих данных.
При определении существенности аудитор учитывает как вероятные ошибки, так и потенциально возможные новые типы ошибок. В категорию вероятных входят уже известные аудитору типы ошибок, выявленные путем независимой проверки операций и остатков на счетах, а также прогнозируемые ошибки, определенные методом выборочного контроля, и ошибки, обнаруженные аналитическим путем. Возможные новые типы ошибок связаны с неопределенностью обследования, неполным охватом операций или остатков на счетах.
Оценку существенности ошибки производят с учетом особенностей объекта аудита. Так, при проведении аудита дебиторов по расчетам оценка существенности выводится на основе соответствующих остатков на лицевых счетах, а не общей суммы остатка.
Необходимость аудиторских корректировок учета рассматривается в отчете с двух точек зрения: существенности для банка в целом и значимости сумм по отношению к определенным строкам финансовой отчетности. Руководство организации должно своевременно оценить результаты аудита. Эта оценка
позволяет оперативно определять объекты для последующих аудиторских проверок;
дает ценную информацию по трудозатратам на проведение различных этапов аудита (оценка риска, оценка среды управления и т.д.), что способствует оптимизации процесса планирования и проведения аудита;
обеспечивает руководство содержательными сводками результатов аудита. Результаты аудита и их оценка позволяют получить исчерпывающее представление об уровне системы внутреннего контроля, характерной для данного объекта аудита.
Оценки фиксируются в итоговой ведомости оценок результатов аудита. Все оценки ежеквартально сводятся в особой Карте учета аудиторских проверок за квартал.
Из приведенного выше краткого описания методики следует, что внутренний аудит кредитных организаций является сложным, многошаговым процессом, требующим больших затрат труда опытного персонала. Существенным подспорьем могли бы служить разработки стандартных схем контроля для преобладающих в данной организации объектов аудита.
Внутренний аудит имеет другую природу, смысл, назначение и организацию по сравнению с внешним. Для начала отметим, что служба внутреннего аудита (или, как ее иногда называют, служба внутренней ревизии, служба внутреннего контроля), являясь независимым подразделением, созданным в рамках организации, выполняет систематическую, каждодневную работу по проверке и оценке ее деятельности.
По общепринятому определению общей задачей внутреннего аудита является помощь организации в эффективном выполнении своих обязанностей и назначений. Внутренний аудит - это орудие управления, предназначенное для обеспечения (гарантии) достижения целей управления. Для этого внутренний аудит снабжает управление организации результатами выполненного анализа, оценками деятельности того или иного подразделения, рекомендациями и информацией. Служба внутреннего аудита сотрудничает с внешними аудиторами.
Результаты внутреннего аудита используются руководством организации для управления и текущего ведения дел с учетом имеющихся ресурсов и в рамках существующих законов. Таким образом, внутренний аудит способствует достижению целей организации.
Функции внутреннего аудита банковской деятельности в принципе не отличаются от перечисленных выше, однако имеют свою специфику, определяемую особенностями банковского продукта и бухгалтерского учета, организацией работы, набором факторов риска.
Задачи, которые выполняются при внутреннем аудите, разнообразны и зависят от его целей, типа проверяемой организации и характера ее деятельности. Очевидно, что аудит государственных организаций, коммерческих банков, страховых компаний и пенсионных фондов имеет свою специфику. Более того, многие задачи можно решать различными способами, с разной глубиной и детальностью, и ориентируясь на различные критерии. В связи с этим неизбежно возникает проблема регламентирования аудиторской деятельности. Проблема, как известно, решается с помощью разработки соответствующих правил или стандартов, а также конкретных методик проведения аудита. Термин "стандарт" (калька с английского standard) здесь следует понимать в специальном смысле, который отличается от принятого у нас. Вместо "стандарты аудита" за рубежом применяют и другое название - Code of Ethics for Auditors, которое можно перевести как "стандарты поведения", "этический кодекс" или, наконец, "правила для аудиторов".
В каждой из названных и других аналогичных зарубежных организаций имеется подразделение, ответственное за разработку соответствующих стандартов аудита.
Очевидно, что зарубежные аудиторские компании, привлеченные для проверки российских банков и других коммерческих институтов, в своей деятельности придерживаются принятых на западе стандартов. В связи с этим представляется целесообразным ознакомить отечественных аудиторов с зарубежными стандартами. Для этого охарактеризуем стандарты внутреннего аудита, базируясь на ряде международных и других источников3.
Обычно эти стандарты сгруппированы в 3, а иногда 4 группы. Рассмотрим эти стандарты, сгруппировав их в три группы.
(General Standards)
Эта группа охватывает следующие правила:
1.1. Под этим понимается разумное (т.е. без излишеств) достижение целей проверки. Иначе говоря, стоимость проверки не должна превышать полученного эффекта. При выполнении этого правила принимаются во внимание риски, свойственные операциям проверяемой организации, критерии для определения уровня риска, приемлемые размеры рисков для разных условий.
1.2 . Отношение проверяемой организации (Supportive Attitude). Внутренний аудит инициируется администрацией. Администрация и сотрудники организации должны демонстрировать положительное отношение к внутренней проверке, способствовать повышению ее эффективности, в том числе путем обеспечения необходимой информацией.
1.3. Компетенция персонала (Competent Personal). Этот стандарт требует, чтобы руководство службы внутреннего аудита и ее сотрудники имели высокие личные качества, необходимую профессиональную подготовку, знание системы внутреннего контроля, достаточное для эффективного выполнения своих обязанностей. Важным является беспристрастность аудитора. В свою очередь руководство компании должно осознавать, что внутренний аудит является жизненно важным для организации.
Для поддержания уровня компетенции, позволяющего выполнять предписанные обязанности, предусматривается проверка знаний и опыта персонала службы аудита, систематическое повышение его квалификации4. Кроме того, с целью поддержания эффективности внутреннего аудита необходимы обсуждения результатов.
1.4. Объекты и цели проверки (Control Objectives). Объекты внутреннего контроля должны быть определены для каждого вида деятельности организации. Они должны быть логичны, практически обоснованы и в разумных пределах полны.
Этот стандарт требует, чтобы объекты проверок привязывались к операциям данной компании. Все операции должны быть сгруппированы в блоки (циклы). Блоки охватывают все виды деятельности организации и должны быть совместимы со структурой компании и функциями ее подразделений. Блоки классифицируются различными способами. Например, можно выделить следующие блоки:
Руководство компании. Этот блок охватывает разработку политики компании, а также планирование, организацию ее деятельности, сбор и обработку информации, к ним также относятся и функции внутреннего аудита.
Финансовый блок охватывает традиционные области контроля, касающиеся денежных потоков (доходы и расходы), соответствующих активов и финансовую информацию.
Операционные (программные) блоки - это виды деятельности компании, обеспечивающие выполнение ею своего основного назначения.
Администрация (Управление внутренней деятельности). Этот блок включает второстепенные виды деятельности компании, которые обеспечивают поддержку основных функций организации: библиотечное обслуживание, почтовые услуги, публикации и т.п.
Для выполнения рассматриваемого стандарта необходимо определить в рамках каждого блока цели контроля, которые во многом определяются планами организации. В эти цели входит:
содействие в проведении точных, экономичных и эффективных операций, соответствующих основной миссии организации;
обеспечение безопасности ресурсов (недопущение воровства, растрат, мошенничества и других нарушений);
соблюдение законов, инструкций и директив руководства;
получение надежной информации о состоянии деятельности организации и отражение этих данных в периодической отчетности.
1.5. Методы внутреннего контроля должны быть эффективны и продуктивны для достижения поставленных целей.
Под методами контроля понимают различные процедуры, позволяющие достичь поставленные цели. Стандарт требует, чтобы эти методы обеспечивали высокую степень надежности проверки. Они включают планы организации аудита (включая разграничение обязанностей) и меры безопасности контроля.
К ним относятся:
2.1. Документация (Documentation). Существующие системы внутреннего контроля и все сделки, операции и прочие существенные события должны быть четко отражены в документах. Документация должна быть доступной и легко понятной при контроле.
Стандарт требует письменной фиксации: а) целей внутреннего контроля компании, ее методов и применяемых систем учета, б) всех важных аспектов сделок и других значимых событий компании.
Документация систем внутреннего контроля должна включать описание блоков и соответствующих объектов компании, директивы руководства, административную политику и внутрифирменные стандарты бухгалтерского учета. Документация по сделкам и значимым событиям должна быть точной и полной, способной помочь в отслеживании сделок и событий, а также отражать источники информации. Выполнение этого стандарта требует, чтобы документирование методов внутреннего контроля, операций, событий было полноценным и полезным руководству компании и аудиторам при контроле за операциями.
2.2. Сделки и другие значимые события должны быть зарегистрированы должным образом и соответственно классифицированы.
Этот стандарт применим а) к целому процессу, жизненному циклу операции или событию и включает инициацию сделки и ее разрешение;
б) ко всем аспектам операции, которая осуществляется; в) к его классификации в обобщающих регистрах.
2.3. Сделки и другие значительные операции должны быть авторизированы (разрешены) и выполнены только тем персоналом, который действует в рамках своей компетенции.
Этот стандарт связан с решениями руководства компании по обмену, передаче и использованию ресурсов в оговоренных целях и условиях. В принципе это означает гарантию того, что исполнены только реальные сделки. Авторизация сделок должна быть четко передана менеджерам и другим сотрудникам и должны предусматривать специальные условия и сроки исполнения.
2.4. Разделение обязанностей (Separation of Duties) Ключевые обязанности и ответственность в процессе авторизации, проведении сделок, регистрации сделок и их текущий контроль должны быть разделены между сотрудниками.
Для уменьшения риска ошибок или потерь, или для снижения риска их необнаружения, нельзя допускать чтобы одно и то же лицо контролировало все ключевые аспекты сделок. Кроме того, следует закрепить ключевые функции и ответственность за группой сотрудников для гарантии эффективности контроля. Основные функции включают авторизацию, одобрение сделок и их регистрацию.
2.5. Надзор (Supervision). Должен обеспечиваться квалифицированный и постоянный надзор с тем, чтобы достигались цели внутреннего контроля.
Этот стандарт требует:
четкой взаимосвязи между функциями и обязанностями сотрудников, подотчетность каждого сотрудника;
систематической проверки, в необходимых пределах, работы каждого сотрудника;
санкционирования работы в критических ее моментах для гарантии того, что работа протекает так, как требуется.
2.6. Доступность к ресурсам и ответственность за них (Access to and Accountability for Resources). Доступ к ресурсам и к их учету следует ограничить только уполномоченными сотрудниками. Должна быть определена ответственность за использование ресурсов. Периодически следует проводить проверку наличия ресурсов (сравнения фактических ресурсов с их регистрацией). Частота проверок зависит от "уязвимости" активов.
Основа концепции ограничения доступа к ресурсам - это содействие в уменьшении риска неавторизованного их использования. Ограничение доступа к ресурсам зависит от уязвимости ресурсов и понимания риска потерь, оба эти фактора должны периодически оцениваться.
(Audit Resolution Standard)
Этот стандарт относится к этапу после завершения проверки. Он требует, чтобы руководство:
своевременно оценивало результаты аудиторской проверки,
определяло и принимало должные меры, направленные на исправления недостатков и улучшения, исходя из рекомендаций аудиторов,
Аудиторы ответственны за последствия, связанные с аудиторскими выводами и рекомендациями. Руководству должны периодически представляться доклады по каждому из принятых решений по аудиторскому отчету.
Как было показано выше, стандарты внутреннего аудита характеризуют общие требования и условия проведения аудита, причем весьма расплывчатые. Например, как можно однозначно определить эффективность, разумную гарантию, точность и т.д. Стандарты надо воспринимать в качестве некоторых общих указаний при организации аудита, выборе объектов, целей и методов проведения проверки. Рассматривая стандарты, как отправную базу, аудиторские организации, государственные или коммерческие, разрабатывают свои, более или менее детальные, правила и методы проведения аудита. Сказанное полностью относится и к внутреннему аудиту банковской деятельности.
В практическом отношении наиболее важным в списке рассмотренных выше стандартов, по всей вероятности, является "Методика аудита". Попытаемся конкретизировать эту позицию, кратко охарактеризовав общую методику проведения аудита в кредитной организации. Более детальное рассмотрение методики в рамках отдельной статьи невозможно5.
Выбор конкретного метода, как известно, определяется особенностями объекта и целью аудита. Под "объектом" понимается: 1) конкретная организационная единица (касса, отдел учета векселей и т.д.); 2) продукт или услуга, предлагаемая банком (кредитование торговли, лизинговые операции и т.д.); 3) автоматизированная система обработки данных; 4) счета бухгалтерского учета.
Процесс аудита распадается на несколько основных этапов. Типичными для аудиторской проверки отдельного объекта являются следующие этапы:
предварительное планирование,
оценки риска,
разработка общего плана и программы аудита,
проведение аудита,
оценка и документальное оформление результатов аудита.
Предварительное планирование. Предварительное планирование включает в себя получение полного представления о проверяемом объекте, анализ правовых обязательств, нормативов и учетных стандартов, применимых к объекту аудита, предварительное определение основных рисков и задач аудита, оценку необходимых трудозатрат, определение графика аудита, оценка необходимой помощи со стороны других аудиторских структур. Для получения полного представления об объекте аудита аудиторы вначале изучают постоянное досье на данный объект.
Оценки риска. В основе окончательного планирования аудиторских проверок и определения необходимых для их проведения ресурсов лежит процесс систематической оценки рисков, присущих тому или иному подразделению банка, банковскому продукту, сделке или событию. Такие оценки позволяют руководству внутренней аудиторской службы спланировать проверки и ресурсы с учетом "рискованности" того или иного объекта аудита
Исходя из данных предварительного изучения объекта аудита, применимых к нему нормативов и процедур бухгалтерского учета, аудиторы определяют ключевые риски и формулируют соответствующие этим рискам задачи аудита. Необходимой предпосылкой оценки риска является получение описания объекта аудита. Массив документированной информации об объекте охватывает различные типы операций, информационный обмен, вопросы внутреннего контроля, задействованный персонал, используемые счета бухгалтерского учета.
Важным элементом на данном этапе является оценка риска несовершенства контроля, которая заключается в определении эффективности системы внутреннего контроля с точки зрения предотвращения и обнаружения ошибок, и неправильных действий. Она предусматривает следующие действия:
определение рисков и потенциальных ошибок, характерных для данного объекта,
выбор действующих систем контроля, снижающих тот или иной риск или вероятность ошибки,
определение образа действия выбранных систем контроля,
оценка надежности выбранных систем контроля,
определение необходимости всесторонней проверки функционирования конкретных систем контроля.
Как видим, оценка рисков является одной из наиболее важных и сложных проблем внутреннего аудита, рассмотрение которой выходит за рамки данной статьи.
Разработка общего плана и программы аудита. Первым шагом в этом направлении является определение потенциальных ошибок. С этой целью:
a. рассматриваются критические стадии операционного цикла: подготовка, утверждение, регистрация и санкционирование операции, обработка, корректировка, контроль и оформление соответствующего документа;
c. Далее анализируется описание объекта аудита и определяется надежность существующих систем контроля, позволяющих предотвращать или обнаруживать и исправлять ошибки. Рассматриваются следующие ключевые механизмы контроля:
a. санкционирование и разрешение определяется наличием в электронной системе общих процедур контроля безопасности данных, не допускающих проведение операций, не имеющих законной силы;
c. контроль доступа к активам (контроль за несанкционированным и санкционированным доступом). Лица, обладающие санкционированным доступом, при правильном распределении обязанностей не должны иметь доступ к соответствующей учетной документации, сфальсифицировав которую они могли бы скрыть недостачу;
e. Процедуры аудита применяют и для выяснение наличия механизмов внутреннего контроля за тем или иным объектом аудита. Эти процедуры включают:
Проведение независимых выверок остатков на счетах и анализа регулярности выполнения этих операций;
Аналитические процедуры используются для выяснения того, имела ли место в действительности вероятная ошибка, затрагивающая какой либо счет или тип операций, путем сравнения суммы по записям с независимо рассчитанной ожидаемой суммой. Особое место занимает выборочный метод, позволяющий заметно сократить затраты на обследования;
Детальное изучение фактических данных, подтверждающих состоятельность некоторых или всех статей, которые входят в совокупность, образующую сумму, а также наблюдение за деятельностью и функционированием объекта аудита и проверку соблюдения конкретных принципов и процедур.
Программы аудита время от времени модифицируются с учетом таких факторов, как результаты предыдущих обследований, характер осуществляемой деятельности, текущие цели, кадровые изменения, изменения законодательства, изменения политики руководства, узкие места или зоны особого интереса, результаты оценки риска. Необходимость изменения и корректировки программ аудита в ходе аудиторской проверки обычно диктуется:
результатами проверки соблюдения установленных нормативов, если они отличаются от ожидаемых;
изменениями в характере деятельности, происшедшими в ходе аудиторской проверки;
проблемами, возникшими в ходе аудиторской проверки, о которых не было известно на стадии планирования.
Завершив работу над планом и процедурами аудиторской проверки, аудитор готовит записку о планировании аудита, являющуюся документальным подтверждением плана аудита и отражающую основные моменты, характеризующие объект аудита.
Проведение аудита сводится к выполнению программы аудита, которое осуществляется группой аудита. Позиции программы распределяются между аудиторами в соответствии с их опытом и квалификацией.
Оценка и документальное оформление результатов аудита. На основе результатов проверки аудитор формирует представление о существенности обнаруженных ошибок (в материальном отношении), погрешностях, искажениях и т.п.. При вынесении этого суждения аудитор ориентируется на некоторые общие принципы, а именно:
Внутренние аудиторы обычно проводят анализ существенности на основании финансовой отчетности конкретного объекта аудита, поскольку главные пользователи (руководство) основывают свои решения именно на этих данных.
При определении существенности аудитор учитывает как вероятные ошибки, так и потенциально возможные новые типы ошибок. В категорию вероятных входят уже известные аудитору типы ошибок, выявленные путем независимой проверки операций и остатков на счетах, а также прогнозируемые ошибки, определенные методом выборочного контроля, и ошибки, обнаруженные аналитическим путем. Возможные новые типы ошибок связаны с неопределенностью обследования, неполным охватом операций или остатков на счетах.
Оценку существенности ошибки производят с учетом особенностей объекта аудита. Так, при проведении аудита дебиторов по расчетам оценка существенности выводится на основе соответствующих остатков на лицевых счетах, а не общей суммы остатка.
Необходимость аудиторских корректировок учета рассматривается в отчете с двух точек зрения: существенности для банка в целом и значимости сумм по отношению к определенным строкам финансовой отчетности. Руководство организации должно своевременно оценить результаты аудита. Эта оценка
позволяет оперативно определять объекты для последующих аудиторских проверок;
дает ценную информацию по трудозатратам на проведение различных этапов аудита (оценка риска, оценка среды управления и т.д.), что способствует оптимизации процесса планирования и проведения аудита;
обеспечивает руководство содержательными сводками результатов аудита. Результаты аудита и их оценка позволяют получить исчерпывающее представление об уровне системы внутреннего контроля, характерной для данного объекта аудита.
Оценки фиксируются в итоговой ведомости оценок результатов аудита. Все оценки ежеквартально сводятся в особой Карте учета аудиторских проверок за квартал.
Из приведенного выше краткого описания методики следует, что внутренний аудит кредитных организаций является сложным, многошаговым процессом, требующим больших затрат труда опытного персонала. Существенным подспорьем могли бы служить разработки стандартных схем контроля для преобладающих в данной организации объектов аудита.
