Виды внутреннего аудита

Читайте предыдущие статьи цикла «Введение во внутренний аудит»:

  1. Понятие внутреннего аудита и различие между внешним и внутренним аудитом

  2. Внутренний аудит: риски и контроли

Деятельность внутренних аудиторов можно разделить на два вида:

Аудиторские проверки и консультации отличаются друг от друга по направленности, но зачастую вместе присутствуют в задании по аудиту.

Предоставление гарантий (аудиторские проверки) и консультаций чаще всего выполняются на одном из трех уровней (перечень не является полным):

Аудиторские задания по предоставлению гарантий подразделяются на 3 основные категории:

  1. Финансовый аудит - это аудит финансово-экономической деятельности организации с целью проверки достоверности и целостности представляемой финансово-экономической информации (в форме отчетности и/или иной) и подтверждения текущего состояния ее активов.

Традиционно подобный аудит выполняется внешним аудитом, но он является обязанностью и внутреннего аудита. Осуществляя его, внутренние аудиторы могут оценить эффективность использования ресурсов в производственном процессе, а не просто ограничиться проверкой механизмов учета. Взаимодействие внешнего и внутреннего аудита здесь имеет первостепенное значение, поскольку позволяет минимизировать двойную работу.

  1. Аудит на соответствие требованиям (комплаенс (от англ. Compliance), или подтверждение нормативного и/или правового соответствия) - это аудит соблюдения организацией требований нормативно-правовых актов, контрактов, стандартов, норм регулирования, отраслевых кодексов поведения, а также внутрикорпоративных политик, процедур, инструкций, требований и т.п.

Аудит по подтверждению нормативно-правового соответствия:

Например, аудит соблюдения стандартов ISO1 - предоставление достаточных гарантий того, что деятельность объекта аудита (компании, структурного подразделения, направления деятельности, процесса) соответствует применяемым внутренним (политики и процедуры) и существующим внешним (стандарты, законы, нормы регулирования) требованиям.

  1. Операционный аудит - это аудит, анализирующий процедуры и методы функционирования хозяйственной системы для оценки экономичности, продуктивности и результативности ее деятельности. Операционный аудит оказывает помощь руководству в достижении целей. Обычно в рамках операционных аудитов оцениваются система внутреннего контроля, система управления рисками и корпоративное управление.

Отдельно стоит сказать об ИТ-аудитах (включая оценку эффективности использования ИТ), которые становятся все более важными в связи с развитием ИТ, вниманию к персональным данным и киберугрозами.

ИТ-аудит - это деятельность (по COBIT2), чьей основной целью является предоставление обоснованных гарантий эффективного выполнения задач управления ИТ. Кроме того, ИТ-аудит должен способствовать улучшению состояния информационной системы, характеризующегося уровнем ее безопасности и эффективностью процессов управления ИТ.

Значение ИТ-аудита возрастает с каждым годом. Этому способствует рост киберугроз, использование продвинутой аналитики данных (Big Data) и общей важности всех ИТ-систем в ведении бизнеса.

В основе аудита информационных систем лежат два документа:

Другие виды аудита

Здесь необходимо обратить внимание, что однозначная классификация между видами аудита затруднительна, но это не имеет принципиального значения, поскольку многое зависит от типа задания, поставленного при проведении аудита основного и/или сопутствующего направления деятельности организации.
Есть специальные задания, которые выполняются внутренним аудитом, и их классификация зависит от направленности задания. Например:


1 В 1987 году Международная организация по стандартизации ввела в действие стандарты ISO 9000. Это набор стандартов, предоставляющие гарантию, что обеспечивается требуемый уровень качества у всех продуктов определенного вида, производимого данной компанией.

2 CobiT (сокращение от Control Objectives for Information and Related Technologies («Задачи управления для информационных и смежных технологий»)) — представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области управления IT, аудита и IT-безопасности.

3 Контроль здесь – «политики, процедуры, практики и организационные структуры, созданные для обеспечения разумной уверенности в том, что цели будут достигнуты, нежелательные события предотвращены, а их последствия идентифицированы и исправлены». COBIT 4.1 Rus. C.17.

4 Ассоциация аудита и контроля информационных систем.