Внутренний, внешний аудит компании и техника компьютерного аудита (CAAT)

Понятие внутреннего аудита

Внутренний аудит (Internal audit – IA) рассматривается в качестве независимой, объективной деятельности, связанной с обеспечением консультирования и гарантий, нацеленной на решение проблем улучшения деятельности организации и добавления стоимости.

При упрощенном подходе под аудитом понимают ежегодную независимую проверку бухгалтерской отчетности компании в интересах ее акционеров и осуществление простых оценок элементов управления, а аудиторы рассматриваются в качестве бухгалтеров, играющих не особенно важную тактическую роль. В отечественной практике такой подход и по сей день в некоторых случаях имеет место.

В развитых странах роль внутренних аудиторов традиционно сводилась к контролирующей. Но в их профессии за последние годы произошел фундаментальный сдвиг, который позиционирует ее как играющую гораздо более стратегическую роль.

Благодаря IA организации добиваются достижения поставленных целей. При этом практикуется использование дисциплинированного, систематического подхода к оцениванию и повышению эффективности к ряду процессов (управление организацией, контроль, управление рисками). Достижение этого рассматриваемым аудитом происходит благодаря предоставлению понимания и рекомендаций, базирующихся на анализе и оценке данных и бизнес- процессов.

С обязательством ответственности и добросовестности IA обеспечивает предоставление ценности для руководящих органов и высшего руководства как объективный источник отличающихся независимостью рекомендаций.

Усиление стратегической роли внутреннего аудита

Стратегическая роль внутреннего аудита (Internal audit) предусматривает переход от несложных и во многих случаях достаточно редких оценок элементов управления к более важному обеспечению деятельности по управлению рисками и соблюдению соответствия правилам, требованиям, нормативам и т. д.

Сегодня, как и в последнее десятилетие, наблюдается все более активное подключение внутреннего аудита к управлению рисками. Pricewater-houseCoopers еще в 2011 году провела исследование состояния профессии внутренних аудиторов (исследование проводилось по всему миру) 79 процентов респондентов указали, что в течение ближайших лет на предприятиях в области аудита будет расти внимание к программам управления рисками. Семьдесят восемь процентов выразили мнение, что будет иметь место увеличение акцента на стратегические инициативы и программы [13].

Внутренние аудиторы сегодня имеют дело с беспрецедентным уровнем изменений, которые приводят к непредвиденному возникновению все большего числа рисков и соответствующих событий. Они провоцируют, в том числе, такие «черные» события, как разлив нефти в Мексиканском заливе 2010 году и взрыв на японской атомной станции в 2011 году. Изменения связаны к примеру с тем, что:

С другой стороны, регулирующие органы и правительства выдвигают все новые требования, которые организациям приходится выполнять с подключением внутреннего аудита. Это делает внутренний аудит гораздо более сложным. Старые требования обеспечения контроля должны быть сбалансированы с новыми требованиями по управлению рисками. Множество рисков должны контролироваться и смягчаться. Мошенничеству следует предотвращаться или сдерживаться с помощью риск-разведки и проверок, осуществляемых в соответствии с бизнес-стратегией. Все эти инициативы должны быть проведены через сотни процессов, отделов, подразделений и рабочих мест с тысячами сотрудников. В довершение всего, поскольку ресурсы ограничены, внутренним аудиторам приходится делать больше с меньшими затратами.

Внутренний аудит как функция должен перестроиться, чтобы быть в курсе событий и иметь отношение к бизнесу. Аудит-отделам следует принять некоторые практические стратегии для выполнения своей новой роли в организации и своего значения.

Компаниям следует концентрироваться на своих целях, принимая во внимание важность внутреннего аудита как функции. При этом нужно считаться и с требованием использования риск-аудита. Однако в этом аспекте необходимо пересматривать распространенные подходы к риск-аудиту. Согласно одному из подходов риски подразделяются на более и менее приоритетные в зависимости от вероятности их появления и степени воздействия. Первоочередные риски получают максимум внимания, в то время как низкоприоритетные, как правило, игнорируются. В то же время опыт показывает, что оценки риска могут иметь очень субъективный характер, и некоторые риски, которые, как считается, имеют низкую вероятность возникновения, рассматриваются как низкоприоритетные. Тем не менее практика показывает, что зачастую события происходят как неприятные и даже горестные сюрпризы, и вероятность их возникновения заранее не просчитывается, а соответствующие риски не рассматриваются в качестве приоритетных.