Аудиторская деятельность, как говорилось, осуществляется в виде внешнего аудита, который выполняется аудиторскими фирмами или независимыми аудиторами, и в виде внутреннего аудита, который проводит специализированное подразделение той организации, чья деятельность подвергается аудиторской проверке. Конечная общая цель обоих видов аудита во многом совпадает — это контроль. Однако имеются и существенные различия и содержании внешнего и внутреннего аудита и характере деятельности специалистов, осуществляющих внешний и внутренний аудит[4].
Внешний аудит предполагает оценку системы отчетности, проверку и оценку активов и пассивов организации, тестирование существующей системы внутреннего контроля. Главная задача внешнего аудита — установить, соответствуют ли реальности представляемые отчеты и балансы проверяемой организации, оценить ее финансовое положение и результат деятельности за определенный период. Внешний аудит осуществляется периодически, причем часто разными фирмами или аудиторами, приглашаемыми со стороны. Аудиторский отчет предназначен главным образом вышестоящим органам, акционерам, кредиторам и т. д. Он используется и внутренними аудиторами[5].
Внутренний аудит имеет другую природу, смысл, назначение и организацию по сравнению с внешним. Служба внутреннего аудита (или, как ее иногда называют, служба внутренней ревизии, служба внутреннего контроля), являясь независимым подразделением, созданным в рамках организации, выполняет систематическую, каждодневную работу по проверке и оценке ее деятельности.
По общепринятому определению, общей задачей внутреннего аудита является помощь организации в эффективном выполнении ею своих обязанностей в соответствии с ее назначением. Внутренний аудит — это орудие управления, предназначенное для обеспечения (гарантии) достижения целей управления. Для этого служба внутреннего аудита снабжает управление организации информацией о результатах выполненного анализа, оценках деятельности того или иного подразделения, различными рекомендациями. Служба внутреннего аудита сотрудничает с внешними аудиторами.
Результаты внутреннего аудита используются руководством организации для управления и текущего ведения дел с учетом имеющихся ресурсов и в рамках существующих законов. Таким образом, внутренний аудит способствует достижению целей организации.
Задачи, которые выполняются при внутреннем аудите, разнообразны и зависят от его целей, вида проверяемой организации и характера ее деятельности. Очевидно, что аудит государственных организаций, коммерческих банков, страховых компаний и пенсионных фондов имеет каждый свою специфику. Более того, многие задачи можно решать различными способами, с разной глубиной и детальностью и ориентируясь на различные критерии. В связи с этим неизбежно возникает проблема регламентирования аудиторской деятельности. Проблема, как известно, решается с помощью разработки соответствующих правил или стандартов, а также конкретных методик проведения аудита.
Термин ''стандарт" (точное отражение английского standard) здесь следует понимать в специальном смысле, который отличается от принятого у нас. Вместо "стандарты аудита" за рубежом применяют и другое название — Code of Ethics for Auditors, которое можно перевести как "стандарты поведения", "этический кодекс" или, наконец, "правила для аудиторов"[6].
В России разработан стандарт аудиторской деятельности, который одобрен Комиссией по аудиторской деятельности при Президенте Российской Федерации. "Данное правило (стандарт) подготовлено для регламентации аудиторской деятельности; целью Правила (стандарта) является установление норм, применяемых аудиторской фирмой или аудитором, работающим самостоятельно в качестве индивидуального предпринимателя". Данным стандартом (стандартом внешнего аудита) можно руководствоваться и в практике осуществления внутреннего аудита.
В странах с развитым государственным аппаратом проблемам аудита, в том числе внутреннего, уделяется много внимания. Достаточно упомянуть о существовании Международной организации высших институтов контроля (The International Organization of Supreme Audit Institutions, INTOSAI), в которую входят более десятка стран, включая США, Англию и Японию. Международным является и Институт внутренних аудиторов (The Institution of Internal Auditors, IIA). В этом направлении работают и специальные подразделения правительственных организаций. Например, в США - General Accounting Office. В каждой из названных и других аналогичных зарубежных организаций имеется подразделение, ответственное за разработку соответствующих стандартов аудита.
Процесс аудита распадается на несколько основных этапов. Типичными для аудиторской проверки отдельного объекта являются следующие этапы:
1. Предварительное планирование;
2. Оценка риска;
3. Разработка общего плана и программы аудита;
4. Проведение аудита;
5. Оценка и документальное оформление результатов аудита[7].
Предварительное планирование. Включает в себя получение полного представления о проверяемом объекте, анализ правовых обязательств, нормативов и учетных стандартов, применимых к объекту аудита, предварительное определение основных рисков и задач аудита, оценку необходимых трудозатрат, определение графика проведения аудита, оценку необходимой помощи со стороны других аудиторских структур. Для получения полного представления об объекте аудита аудиторы вначале изучают постоянное досье на данный объект.
Оценка риска. В основе окончательного варианта планирования аудиторских проверок и определения необходимых для их проведения ресурсов лежит процесс систематической оценки рисков, присущих деятельности того или иного подразделения банка, банковскому продукту, сделке или событию. Такие оценки позволяют руководству внутренней аудиторской службы спланировать проверки и ресурсы с учетом "рискованности" того или иного объекта аудита.
Исходя из данных предварительного изучения объекта аудита, применимых к нему нормативов и процедур бухгалтерского учета, аудиторы определяют "ключевые" риски и формулируют соответствующие этим рискам задачи аудита. Необходимой предпосылкой оценки риска является получение описания объекта аудита. Массив документированной информации об объекте охватывает различные типы операций; информационный обмен; вопросы внутреннего контроля; задействованный персонал; используемые счета бухгалтерского учета[8].
Важным элементом на данном этапе является оценка риска несовершенства контроля, которая заключается в определении эффективности системы внутреннего контроля с точки зрения предотвращения и обнаружения ошибок и неправильных действий. Она предусматривает следующие действия: определение рисков и потенциальных ошибок, характерных для данного объекта; выбор действующих систем контроля, снижающих тот или иной риск или вероятность ошибки; определение эффективности выбранных систем контроля; оценка надежности выбранных систем контроля; определение необходимости всесторонней проверки функционирования конкретных систем контроля[9].
Как видим, оценка рисков является одной из наиболее важных и сложных проблем внутреннего аудита, рассмотрение которой выходит за рамки данной курсовой работы.
Разработка общего плана и программы аудита. Первым шагом в этом направлении является определение потенциальных ошибок. С этой целью:
а) составляется список основных видов ошибок: недействительная операция; неточно или несвоевременно зарегистрированная операция; несанкционированная операция; неверно классифицированная операция и т. д.;
б) рассматриваются критические стадии операционного цикла: подготовка, утверждение, регистрация и санкционирование операции, обработка, корректировка, контроль и оформление соответствующего документа;
в) оценивается опыт проведения предыдущих аудиторских проверок данного объекта.
Далее анализируется описание объекта аудита и определяется надежность существующих систем контроля, позволяющих предотвращать или обнаруживать и исправлять ошибки. Рассматриваются следующие ключевые механизмы контроля:
а) согласование и сопоставление имеющихся активов с активами, объем которых подтверждается первичными документами. Для этого предполагается проведение проверок специального контрольного "файла", с данными которого согласовываются обрабатываемые данные, либо прямое сопоставление входных данных с соответствующими активами специалистами, занимающимися другими операциями;
б) санкционирование на проведение данной операции определяется наличием в электронной системе общих процедур контроля безопасности данных, не допускающих проведения операций, не имеющих законной силы;
в) анализ выходных данных всегда выполняется, по крайней мере, в некоторой степени, вручную. Целью такого анализа является проверка обоснованности и точности выходных данных путем детального их сопоставления с ожидаемыми результатами;
г) контроль доступа к активам (контроль за несанкционированным и санкционированным доступом). Лица, обладающие санкционированным доступом к активам, при правильном распределении обязанностей, не должны иметь доступ к соответствующей учетной документации, сфальсифицировав которую они могли бы скрыть недостачу;