Asqcharlotte.org

Документы и юриспруденция
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Планирование аудита

План и программа аудита

Планирование — обязательный этап в процессе подготовки и проведения любого вида аудита (финансового, кадрового, инвестиционного, технического, промышленного и др.). Документами планирования являются планы, графики, программы и т. д. У каждого такого документа свое назначение. Например:

  • План содержит описание областей проверки, сроки ее проведения, составы групп исполнителей и их распределение по участкам контроля.
  • В программах аудита расписываются процедуры, которые проводятся на конкретном участке контроля.

Требования к составу, содержанию и форме документов планирования, а также описание технологии их составления содержатся в разных документах в зависимости от вида аудита. Это могут быть международные или утвержденные на федеральном уровне стандарты (правила), ГОСТы, внутренние инструкции компаний и предприятий.

Об особенностях проведения разных видов аудита рассказывают материалы нашей одноименной рубрики, например:

Провести аудит основных средств, в т. ч. с учетом сложной эпидемиологической ситуации 2020 года, связанной с распространением коронавирусной инфекции, вам помогут разъяснения профессионального аудитора. Посмотреть их можно в КонсультантПлюс, бесплатно получив пробный полный доступ к системе.

Далее подробнее остановимся на документах планирования независимого аудита бухгалтерской (финансовой) отчетности.

Аудиторская проверка: зачем она нужна и как она проводится

К какой бы сфере не относилась деятельность вашей компании, рано или поздно потребуется аудиторская проверка . Это касается не только крупных предприятий с огромным штатом и сложной бухгалтерией, но и небольших фирм. Это важная и ответственная процедура, необходимая в первую очередь самой компании.

Понятие аудиторской проверки

Аудиторская проверка — это сбор, оценка и независимый анализ данных о ведении бухгалтерии и финансовом состоянии компании. Проведение аудиторской проверки дает владельцу бизнеса представление о том, насколько точна бухгалтерия, соответствует ли финансовая отчетность реальному положению дел и нет ли у предприятия проблем с налогами.

В каких случаях может быть назначена процедура

Аудиторская проверка может быть как обязательной, так и добровольной. Обязательную аудиторскую проверку компания должна проводить ежегодно. Она также может проводиться по решению суда. Ежегодная аудиторская проверка — это требование Федерального закона от 30.12.2008 № 307-ФЗ «Об аудиторской деятельности». В этом нормативном акте прописаны не только условия, при которых проверка вменяется в обязанность, но и ее порядок, а также требования к лицам и организациям, которые вправе проводить аудит. Требование обязательной ежегодной аудиторской проверки относится, например, к:

  • любым АО;
  • страховым организациям;
  • компаниям, являющимся профессиональным участником рынка ценных бумаг;
  • негосударственным пенсионным или иным фондам;
  • кредитным организациям;
  • клиринговым организациям;
  • обществам взаимного страхования;
  • организаторам торговли;
  • акционерным инвестиционным фондам;
  • компаниям (за исключением органов государственной власти, органов местного самоуправления, государственных и муниципальных учреждений, государственных и муниципальных унитарных предприятий, сельскохозяйственных кооперативов, союзов этих кооперативов), выручка которых за предшествовавший отчетному год превышает 400 млн рублей или сумма активов бухгалтерского баланса по состоянию на конец предшествовавшего отчетному года превышает 60 млн рублей.

Однако заказать аудит можно и добровольно, так сказать, в профилактических целях. Нередко владельцы компаний обращаются в аудиторские компании, чтобы проверить работу собственного отдела бухгалтерии, оценить возможные финансовые риски. Эта процедура осуществляется также при изменениях в составе учредителей или смене владельца фирмы.

Аудиторскую проверку могут проводить как аудиторские компании, так и частные аудиторы. Однако для осуществления подобной деятельности любой аудитор должен сдать соответствующий экзамен и получить специальный аттестат. Если речь идет об аудиторской компании, то она обязана входить в какую-либо саморегулируемую организацию (СРО). Они контролируют добросовестность работы аудиторских компаний.

Виды аудиторских проверок

Существует определенная классификация типов аудита. В зависимости от типа проверяемого объекта, способа поверки, периодичности и т.д. условно аудит можно разделить на следующие типы:

  • банковский;
  • страховых организаций;
  • бирж, инвестиционных и внебюджетных фондов;
  • государственный.

В зависимости от направления аудит принято делить на:

  • бухгалтерский;
  • юридический;
  • налоговый и др.

В зависимости от методов проверки обычно разграничивают аудит:

  • сплошной — анализируется вся документация;
  • выборочный — анализируется определенный сегмент деятельности;
  • комбинированный — анализируется вся документация по операциям, сопряженным с неким финансовым риском, и частично — все остальное.

В зависимости от типа проверки аудит бывает:

  • камеральный — проводится в помещении исполнителя на основании предоставленной заказчиком документации;
  • фактический — проводится по месту расположения проверяемого объекта.

В зависимости от периодичности принято выделять аудит:

  • единовременный;
  • периодический.

В зависимости от характера проверки традиционно разграничивают аудит:

  • внешний — проводится независимыми аудиторами со стороны;
  • внутренний — проводится силами сотрудников компании и исключительно в интересах оптимизации ее работы.

В зависимости от обязательности проверки аудит может быть:

  • обязательный — проводится в обязательном порядке, процедура регламентируется законодательством;
  • инициативный — инициатором проверки выступает компания.

Этапы проведения аудиторской проверки

Планирование

Прежде чем начать аудиторскую проверку, нужно обсудить со специалистом ряд моментов: стратегию проведения проверки, ее методы и тип, состав команды работников, которые займутся ею (далеко не всегда хватает только одного аудитора), программу проверки и ее глубину. После заключения договора с аудиторской компанией, в котором четко прописываются сроки выполнения работы, ее объем и сумма вознаграждения, аудитор приступает к работе.

Проведение аудиторской проверки и сбор аудиторских данных

Специалист изучает учредительную документацию, а также рассматривает скорость развития компании, финансовую ситуацию на предприятии, оценивает работу бухгалтерии и кадровую политику компании, учитывая при этом отрасль, в которой работает фирма. Важная часть проверки — сбор документов, исследование финансовых отчетов и оценка выборки, а также проверка всей документации и финансовых документов на соответствие требованиям закона.

Подготовка заключения аудиторской проверки

После завершения проверки аудитор составляет аудиторское заключение. Это официальный документ, в котором отражена экспертная оценка достоверности финансовой документации предприятия, а также рекомендации по минимизированию финансовых рисков, заключение о имущественном положении предприятия и выводы о его деятельности за отчетный период.

Аудиторское заключение может быть немодифицированным или модифицированным. Немодифицированное заключение — это положительный результат проверки, не выявившей несоответствия и явных нарушений. Модифицированное заключение означает, что в документации есть недостатки. Такое заключение может содержать:

  • мнение аудитора с оговоркой;
  • отрицательное мнение;
  • отказ от выражения мнения.

Чтобы сократить время проведения аудиторской проверки, к ней следует тщательно подготовиться. Компания должна предоставить эксперту-аудитору всю организационно-распорядительную документацию, первичные документы (в частности, накладные, счета, акты выполненных работ и прочие), бухгалтерские и налоговые регистры, приходные и расходные кассовые ордеры, исправительные проводки (про этот пункт очень часто забывают, а между тем именно по этому поводу у аудитора нередко возникают вопросы). Если ваша компания уже проходила аудит, будьте готовы предоставить также все предыдущие аудиторские заключения.

Проведение аудиторской проверки требует предельной точности и сосредоточенности, высокого профессионализма, знания законодательства и особенностей бухгалтерского и налогового учета в разных сферах деятельности. Однако скорость работы аудитора зависит не только от его профессиональных качеств, но и от того, насколько хорошо компания подготовилась к проверке. Все описанные выше меры помогут вам сберечь время, а значит — и деньги.

Как заключение аудиторской проверки может сказаться на дальнейшей деятельности компании

«Работа аудитора связана с огромной ответственностью, — говорит Елена Межуева, руководитель практики «Финансовое консультирование» КСК групп. — Аудитор отвечает за истинность результатов своего заключения. На практике это означает, что если выводы и сведения, обозначенные в заключении, были неверными или заведомо ложными, из-за чего у компании-заказчика начались проблемы, она имеет полное право взыскать ущерб с аудиторской фирмы. Поэтому заказчик должен быть стопроцентно уверен в компетентности аудитора, ведь последствия неправильно или небрежно проведенной проверки могут быть очень существенными. Сегодня очень много аудиторских фирм, но я не рекомендую обращаться в первую попавшуюся или самую недорогую — вы сами понимаете, что услуги специалистов высокого класса не могут обходиться дешево. В конце концов, речь идет о репутации вашей компании.

КСК групп работает на рынке аудита уже более 20 лет и, согласно рэнкингу «Эксперт РА» за 2016 год , является одной из крупнейших аудиторско-консалтинговых компаний России. Потому мы можем предложить действительно высокий уровень сервиса — у нас на данный момент работает более 300 высококвалифицированных специалистов, компания оказывает весь спектр услуг: от аудита всех типов до помощи в поисках инвестиций, от создания действенных маркетинговых стратегий до разработки системы внутреннего контроля».

Читать еще:  График отпусков на 2020 год: топ-10 важных вопросов

P.S. КСК групп — одна из крупнейших аудиторско-консалтинговых групп страны. Сфера деятельности компании охватывает все услуги, имеющее отношение к налогам, управлению, автоматизации, международному структурированию, маркетингу, правовым вопросам и HR.

Аудиторская проверка может не только оптимизировать бизнес-процессы, но и способствовать успешному развитию компании в будущем.

По итогам аудиторской проверки компания-заказчик может получить несколько вариантов оптимизации бизнес-процессов с учетом отраслевой направленности:

  • производство;
  • торговля;
  • строительство и девелопмент;
  • транспорт;
  • услуги и сервис (В2В).

Узнать подробнее об аудиторских услугах.

Проведение бухгалтерского аудита независимой консалтинговой компанией актуально, когда требуется:

  • определить текущее положение дел;
  • выявить возможные ошибки в отчетности;
  • разработать план по восстановлению системы учета;
  • упростить отношения с кредиторами, контрагентами и контролирующими органами.

Заказать услугу.

При необходимости получить полную и достоверную информацию о финансово-хозяйственной деятельности компании можно провести инициативный аудит.

В крупных аудиторских компаниях можно заказать комплексный пакет услуг для различных сфер бизнеса. Это возможность сэкономить время и деньги.

Затраты на проверку при грамотном выборе аудиторской компании могут быть оправданы ростом прибыли компании-заказчика в несколько раз.

Каадзе Анастасия Геннадьевна Ответственный редактор

Важ­ная и не­об­хо­ди­мая часть ауди­тор­ско­го за­клю­че­ния — пол­ная бух­гал­тер­ская от­чет­ность ком­па­нии, ко­то­рая про­хо­ди­ла про­вер­ку. По­за­боть­тесь о сбо­ре не­об­хо­ди­мой до­ку­мен­та­ции за­ра­нее — это зна­чи­тель­но уско­рит про­цесс ауди­та.

Аудит налогообложения: виды, методы и особенности проведения

Аудит отчетности по МСФО: особенности проведения и цели процедуры

Due diligence (дью дилидженс): что это за процедура и как она проводится?

© 2020 АО «Аргументы и Факты» Генеральный директор Руслан Новиков. Главный редактор еженедельника «Аргументы и Факты» Игорь Черняк. Директор по развитию цифрового направления и новым медиа АиФ.ru Денис Халаимов. Шеф-редактор сайта АиФ.ru Владимир Шушкин.

1.1. Принципы планирования аудита

Аудиторской организации необходимо приступать к планированию аудита еще до момента создания письма-обязательства и до этапа подписания договора с проверяемым предприятием об осуществлении аудита. Планирование аудита включает в себя формирование общей стратегии и детализированных тактических шагов для достижения требуемого результата при условии соблюдения сроков и объемов осуществления необходимых аудиторских процедур. Выступая первым шагом проведения аудита, планирование заключается в формировании аудиторской организацией итогового плана аудита с отражением в нем предполагаемого, графиков и длительности выполнения аудита, а также в формировании аудиторской программы, которая содержит информацию об объеме, способах и порядке проведения аудиторских процедур, используемых для обоснования аудиторской фирмой беспристрастного и непредвзятого мнения о бухгалтерской (финансовой) отчетности аудируемого предприятия. Планирование аудита необходимо выполнять аудиторскому предприятию на основе соблюдения общих принципов выполнения аудита, а также с соблюдением таких частных принципов, как: комплексность; непрерывность; оптимальность.

В результате соблюдения принципа комплексности планирования аудита происходит достижение взаимоувязки и сбалансированности всех стадий планирования — от шага предварительного проектирования до формирования итогового плана и программы проверки. При соблюдении принципа непрерывности планирования аудита достигается сопряженность различных работ в случае командной работы и координация различных стадий планирования по периодам времени и по различным хозяйственным единицам (например, обособленным подразделениям предприятия, находящихся на обособленном балансе, зависимым обществам и т.п.). При соблюдении принципа оптимальности планирования аудита достигается решение задачи формирования различных вариантов планов и выбора наиболее оптимального из них, что позволит, в свою очередь, разработать наиболее оптимальную программу проверки. Данный принцип подразумевает также формирование обоснованного перечня критериев, которые и позволят оценить тот или иной план в качестве наиболее оптимального. В случае осуществления планирования аудита на продолжительный период времени, либо при оказании услуг аудиторского сопровождения предприятия, в течение года аудиторской организации требуется своевременно выполнять изменение плана и программы выполнения аудита на основе динамики результатов производственной и хозяйственной деятельности проверяемого предприятия и итогов выполняемых периодических аудиторских проверок.

Федеральное правило (стандарт) аудиторской деятельности №3 «Планирование аудита» отменено (утратило силу) с 1 января 2018 г. Общие правила, регламентирующие планирование аудита финансовой (бухгалтерской) отчетности, определяющие обязанности аудитора как в случае регулярных проверок, так и при выполнении задания, которое необходимо выполнить аудитору впервые, установлены Международным стандартом аудита 300 «Планирование аудита финансовой отчетности» (введен в действие на территории Российской Федерации Приказом Минфина России от 24.10.2016 №192н). Названный стандарт определяет, что как аудиторской организации, так и аудитору необходимо осуществлять планирование своей деятельности таким образом, чтобы проверка была выполнена максимально эффективно. В целом обязательность осуществления планирования аудитором выполняемой проверки обосновывается тем, что:

— указанное действие позволяет добиться того, что значимым сферам аудита будет уделено требуемое внимание, будут определены потенциальные проблемы и проводимая проверка будет осуществлена с оптимальными издержками, качественно и оговоренный период времени;

— планирование приводит к оптимальному распределению затрат труда между участниками проверяющей команды, а также добиться нужного уровня координации работы всех специалистов;

— планирование повышает эффективность внутреннего контроля за качеством проводимых аудиторских процедур.

Проведение аудита мотивации и конкуренции в системе продаж

Следует начать с мотивационной системы для продавцов. Их доходы, а также премиальная часть заработной платы должны складываться из того, насколько активно сотрудник работает, достиг ли он поставленных показателей эффективности. Удостоверьтесь, что в вашей фирме используются такие принципы, как:

  • «Принцип Дарвина». Если сотрудник не выполнил план продаж, его зарплата будет ниже средней. Если же план выполнен, доход специалиста будет выше среднего.
  • «Принцип прозрачности». Менеджеры в течение 30 секунд рассчитывают, на какую сумму они продали товара, как усовершенствовать их работу, чтобы увеличить продажи.
  • Принцип «больших порогов». Если продавец выполнил 80 % плана, ему должны выплатить бонусную часть. К примеру, 80–100 % плана выполнено, тогда прибавляется 40 % от оклада. Если план перевыполнен, 100–120 %, бонусная часть составит 60 % от оклада. Когда план перевыполнен более чем на 120 %, прибавка составит 100 % оклада.
  • Доход продавца складывается из трех частей. Первая – фиксированная зарплата (твердый оклад); вторая – мягкий оклад, который выплачивается, если показатели KPI достигнуты; а третья – бонусная часть, если план выполнен.
  • Важно проводить конкурсы с учетом концепции «деньги сразу». Это значит, что если продавец достигает поставленной цели, ему предоставляют выплаты в установленном размере.
  • Принцип «в три раза больше». Если сотрудник выполнит план, его зарплата будет в 3 раза больше, чем у других работников. Только так можно мотивировать продавцов трудиться активнее.

После того как будет проведен аудит системы продаж, руководитель поймет, есть ли в его фирме внутренняя конкуренция. В случае если она отсутствует, компания пребывает в неблагоприятном положении, так как руководство находится в подчинении у работников.

Если вы заметили какой-либо из нижеперечисленных признаков, значит, внутренняя конкуренция отсутствует:

  • Шантаж работников, они угрожают увольнением либо невыходом на работу в случае, если начальник не повысить заработную плату, не выплатит премиальные, не оплатит расходы на дорогу.
  • В фирме работают один-два продавца под руководством одного начальника.
  • Отдел продаж один, в нем работают более шести специалистов и один начальник.
  • Заработная плата подчиненных выше, чем у руководителя.
  • Начальник не знает, как выполнить план продаж, с использованием каких ресурсов, через какие каналы, с помощью каких действий.
  • Только один-два специалиста имеют большой опыт продаж.

Программа аудита

Аудитор должен проконтролировать, ɥᴛᴏбы сотрудники, назначенные выполнять аудиторское задание, получили достаточный объем информации о деятельности аудируемого лица, позволяющий выполнить порученную работу. Исключая выше сказанное, надо добиться осознания данными сотрудниками необходимости запрашивать дополнительную информацию и обмениваться ею с аудитором и членами аудиторской группы.

Программа аудита будет набором инструкций для аудитора, а также средством контроля и проверки надлежащего выполнения работы.

В ϲᴏᴏᴛʙᴇᴛϲᴛʙии с аудиторскими стандартами различают программу тестов средств контроля и программу сальдо счетов и групп однотипных операций. При разработке программы аудита крайне важно принимать во внимание вопросы, аналогичные возникающим при подготовке общего плана аудита.

Изменения в общем плане и программе аудита

Общий план аудита и программа аудита должны по мере необходимости уточняться и пересматриваться в ходе аудита. Планирование аудитором ϲʙᴏей работы осуществляется непрерывно на протяжении всего времени выполнения аудиторского задания в связи с меняющимися обстоятельствами или неожиданными результатами, полученными в ходе выполнения аудиторских процедур. Причины внесения значительных изменений в общий план и программу аудита должны быть документально зафиксированы.

Читать еще:  Самые опасные моменты в расчетах 6-НДФЛ за июль 2020

Не стоит забывать, что важно заметить, что аудиторская организация будет независимой в выборе приемов и методов аудита, отраженный в общем плане и программе и несет полную ответственность за результаты ϲʙᴏей работы в ϲᴏᴏᴛʙᴇᴛϲᴛʙии с данным общим планом и данной программой, но аудиторская организация при возникшей необходимости может согласовать с руководством проверяемого экономического субъекта отдельные положения общего плана и программы аудита.

Общие методы при проведении аудита

Как правило, при осуществлении аудиторского контроля (как внешнего, так и внутреннего) применяются определенные методы проведения аудита:

  1. Перерасчет, подразумевающий проверку арифметических подсчетов проверяемого субъекта.
  2. Инвентаризационные процедуры (как в отношении имущества, так и в отношении финансовых обязательств).
  3. Проверочные мероприятия по соблюдению правил учета, рассматриваемых хозопераций. Использование этого метода позволяет специалисту проконтролировать учетные операции, осуществляемые бухгалтерией.
  4. Подтверждение от независимой стороны. Этот метод может быть использован для получения реальных данных (к примеру, об остатках на расчетных счетах). Целью данного метода является сравнение данных, отраженных в документации проверяемого субъекта, с фактическим положением дел.
  5. Устный опрос сотрудников и руководства проверяемой компании, а также третьих сторон. Опрос допустим на любом этапе проверочных мероприятий и должен быть оформлен протоколом. Протоколы опросов приобщаются к прочим рабочим документам проверки.
  6. Проверка документации, которая предполагает проверку как внутренних (исходящих и обработанных внутри предприятия), так и внешних документов. Документы при этом могут проверяться:

Кто может проводить внешний финансовый аудит компании

Обязательный аудит могут проводить только специалисты аудиторских компаний. Это значит, что физические лица (индивидуальные аудиторы) такими полномочиями не обладают.

Процесс выбора потенциального аудитора имеет свои нюансы. Так, проводить аудиторские проверки в организациях, уставный капитал которых не менее чем на 1/4 принадлежит государству или муниципальному образованию, должны компании, выбираемые по итогам открытого конкурса.

Еще один важный критерий при выборе потенциального аудитора – его независимость. Проводить внешнюю аудиторскую проверку не может лицо, входящее в число учредителей проверяемого предприятия либо занимающее должность, связанную с формированием финансовой отчетности аудируемой организации (близкие родственники перечисленных категорий граждан тоже не имеют прав на проведение аудита).

Проверять бухгалтерскую отчетность предприятия также запрещается аудиторским организациям, которые менее чем за 3 года до осуществления проверки оказывали услуги по восстановлению и ведению финансовой отчетности.

Как составить программу аудиторской проверки?

При разработке программы аудиторской проверки необходимо учитывать:

  • деятельность аудируемой компании (общие экономические факторы и условия в отрасли, в которой осуществляет деятельность аудируемая компания, общий уровень компетентности руководства);
  • системы бухгалтерского учета и внутреннего контроля (учетная политика и ее изменения, влияние принятых новых правил в части бухгалтерского учета на отражение в финансовой отчетности результатов деятельности аудируемой компании);
  • планы использования в процессе аудита тестов средств контроля и процедур проверки по существу;

Программа тестов средств контроля — это перечень действий, предназначенных для сбора информации о функционировании системы внутреннего контроля и учета. Подобные тесты необходимы для выявления существенных недостатков средств контроля аудируемой компании.

  • риск и существенность (ожидаемые оценки неотъемлемого риска и риска средств контроля, определение наиболее важных областей для аудита, установление уровней существенности для аудита;
  • выявление сложных областей бухгалтерского учета, в том числе таких, где результат зависит от субъективного суждения бухгалтера (например, при подготовке оценочных показателей));
  • характер, временные рамки и объем процедур (относительная важность различных разделов учета для проведения аудита, влияние на аудит наличия компьютерной системы ведения учета и ее специфических особенностей, существование подразделения внутреннего аудита и его возможное влияние на процедуры внешнего аудита);
  • координацию и направление работы, текущий контроль и проверку выполненной работы (привлечение других аудиторских компаний к аудиту филиалов, подразделений, дочерних компаний клиента, привлечение экспертов);
  • количество и квалификацию специалистов, необходимых для работы с клиентом;
  • обстоятельства, требующие особого внимания (например, существование аффилированных лиц);
  • срок работы сотрудников аудитора и их участие в оказании сопутствующих услуг клиенту;
  • форму и сроки подготовки заключений и иных клиенту и условиями конкретного аудиторского задания.

Программа аудиторской проверки должна быть документально оформлена, каждая задача проверки обозначена номером или кодом.

Основные международные стандарты и лучшие практики проведения аудита информационных технологий

В 60-х годах прошлого века, начало внедрения информационных систем для бухгалтерского учета в коммерческом секторе, привело к появлению новой профессии в сфере ИТ — ИТ-аудитора. Вскоре была создана первая профессиональная ассоциация ИТ-аудиторов – «Electronic Data Processing Auditors Association», целью которой стала выработка стандартов и лучших практик проведения ИТ-аудита.

С тех пор, важность профессии ИТ-аудитора значительно возросла. Сегодня аудит ИТ-контролей является обязательной частью каждого независимого финансового аудита, услуги ИТ-аудита востребованы на рынке, а крупные корпорации имеют собственные подразделения ИТ-аудита, осуществляющие периодический контроль ИТ-процессов и помогающие их совершенствовать. При этом, следование сложившимся стандартам и лучшим практикам является необходимым условием для проведения аудита наиболее оптимальным образом и высоким качеством.

Целью данной статьи является представление основных актуальных стандартов и руководств в области ИТ-аудита, которые используются при проведении различных типов проверок информационных технологий. Статья в большей степени нацелена на специалистов, начинающих свою карьеру в области ИТ-аудита и информационной безопасности. Также статья может быть интересна и финансовым/внутренним аудиторам, желающим познакомиться с существующими стандартами ИТ-аудита.

В статье рассмотрены стандарты и руководства, разработанные международными организациями ISACA, Институтом Внутренних Аудиторов (IIA), ISO/IEC, IAASB (the International Auditing and Assurance Standards Board), PCAOB, и др. Для каждого из стандартов дается краткое описание структуры и особенностей их использования.

1. «IT Audit Framework 2nd Edition» (ITAF) — международный стандарт проведения ИТ-аудита от организации ISACA

Действующая редакция выпущена в июле 2013 года. Целевая аудитория стандарта – специалисты в области ИТ-аудита. Стандарт предназначен для использования при проведении формализованных аудиторских проверок информационных систем и ИТ-инфраструктуры.

Стандартом определяются:
• основные термины и концепции, специфичные для специалистов в области ИТ-аудита;
• минимальные требования к навыкам и знаниям специалистов, выполняющих аудиторские проверки информационных систем;
• основные этапы проведения аудиторских проверок информационных систем и подготовки аудиторского отчета;
• перечень поддерживающих стандарт руководств, рабочих программ и инструментальных средств проведения аудита информационных систем.

ITAF разрабатывался как стандарт, который может применяться, как для проведения отдельных аудитов информационных систем, так и для выполнения аудита информационных систем в рамках финансовых и операционных аудитов.

Стандарт ITAF состоит из трех частей:

1. Общие стандарты – включает руководящие принципы для профессионалов в области аудита информационных систем: соблюдение независимости, объективности и профессиональной этики, поддержание знаний, компетенций и навыков.
2. Стандарты проведения аудиторских проверок – включает практики планирования и контроля аудиторских проверок, определение объемов работ в рамках аудиторских проверок, управление рисками и границами материальности, мобилизации ресурсов, управления проектом, практики сбора и хранение свидетельств аудита, использования методов экспертной оценки.
3. Стандарты отчетности – включает описание типов отчетов, средств представления отчетов и типов презентуемой информации.
Для каждой из частей стандарта ассоциацией ISACA разработаны руководства, рабочие программы и инструкции, поддерживающие проведение описанных аудиторских процедур. Руководства, рабочие программы и инструкции доступны на официальном сайте ассоциации.

На момент написания статьи, стандарт ITAF является наиболее полным источником для специалистов в области ИТ-аудита, описывающим все этапы проведения проверки ИТ-систем и ИТ-процессов.

2. «Cobit 5 for Assurance» — руководство по проведению аудита в соответствии с COBIT v.5

Действующая редакция руководства выпущена организацией ISACA в июле 2013 года. Руководство предназначено для использования специалистами в области ИТ-аудита, ИТ-рисков и управления ИТ при проведении аудиторских проверок информационных систем в соответствии со сборником лучших практик COBIT 5. Предыдущая версия сборника лучших практик COBIT (v. 4.1) была выпущена в 2007 году и на данный момент продолжается широко использоваться в профессиональной среде 1 .

«Cobit 5 for Assurance»:

• содержит детальное руководство по использованию COBIT 5 для организации и поддержания функции внутреннего ИТ-аудита в компаниях;
• содержит структурированный подход к проведению ИТ-аудита в соответствии с процессами и факторами (*enablers), описанными в COBIT 5;
• демонстрирует конкретные примеры использования «COBIT 5» при проведении ИТ-аудита.
В сравнении с ITAF, руководство «Cobit 5 for Assurance» обладает меньшей степенью формализации аудиторских процедур и более широким покрытием вопросов организации ИТ-процессов в соответствии с лучшими практиками.

3. «International Professional Practices Framework (IPPF) for Internal Auditing Standards»

Международный стандарт проведения внутреннего аудита от Института Внутренних Аудиторов (IIA). Действующая редакция выпущена в 2013 году. Целевая аудитория стандарта – сотрудники внутреннего аудита.

Целью стандарта является определение:

• базовых принципов проведения внутреннего аудита;
• стандартного набора практик проведения внутреннего аудита;
• базовых показателей оценки эффективности процедур внутреннего аудита.

Несмотря на то, что стандарт не разрабатывался как стандарт ИТ-аудита, он определяет универсальные принципы и подходы, которые могут быть использованы, как при проведении внутреннего финансового и операционного аудита, так и при проведении внутреннего аудита информационных технологий.

Для методологической поддержки стандарта в части проведения ИТ-аудита, ассоциацией IIA были разработаны детальные руководства по оценке ИТ-рисков (Guide to the Assessment of IT Risk) и аудиту информационных технологий (Global Technology Audit Guide).

Руководство «Guide to the Assessment of IT Risk» (GAIT) описывает взаимосвязь между бизнес-рисками, ключевыми контролями, встроенными в бизнес-процессы, автоматизированными контролями, критичными ИТ-функциями и Общими ИТ-контролями (IT General Controls) 2 .

Руководство GAIT включает следующие публикации:
1) Методология GAIT (The GAIT Methodology) – описывает риск-ориентированный подход к определению и оценке Общих ИТ-контролей в рамках оценки управления системой внутреннего контроля необходимой для соответствия Статье 404 закона Сарбейнза-Оксли.
2) GAIT для оценки недостатков Общих ИТ-контролей (GAIT for IT General Control Deficiency Assessment) – описывает подход к определению критичности и материальности недостатков Общих ИТ-контролей, выявленных в рамках оценки соответствия Статье 404 закона Сарбейнза-Оксли.
3) GAIT для оценки бизнес и ИТ-рисков (GAIT for Business and IT Risk) — описывает шаги по определению ключевых ИТ-контролей, которые критичны для достижения бизнес целей и задач организации.

Руководство по аудиту информационных технологий «Global Technology Audit Guide» (GATG) состоит из 15 публикаций, описывающих процессы, процедуры и техники, используемые при проведении проверок информационных систем:
1. ИТ риски и контроли (Information Technology Risk and Controls)
2. Контроли в процессах внесения изменений и обновлений ИТ-систем (Change and Patch Management Controls)
3. Процесс непрерывного аудита (Continuous Auditing)
4. Управление процессами ИТ-аудита (Management of IT Auditing)
5. ИТ-аутсорсинг (Information Technology Outsourcing)
6. Аудит автоматизированных контролей (Auditing Application Controls)
7. Управление доступом (Identity and Access Management)
8. Управление непрерывностью бизнеса (Business Continuity Management)
9. Разработка плана аудиторской проверки ИТ (Developing the IT Audit Plan)
10. Аудит ИТ-проектов (Auditing IT Projects)
11. Обнаружение и предотвращение мошенничества, связанного с использованием ИТ-технологий (Fraud Prevention and Detection in an Automated World)
12. Аудит приложений, разработанных пользователями (Auditing User-developed Applications)
13. Управлние информационной безопасностью (Information Security Governance)
14. Технологии анализа информации (Data Analysis Technologies)
15. Аудит управления ИТ-функцией (Auditing IT Governance)

Детальность и бизнес-ориентированность данных стандартов, являются его сильными сторонами. Тем не менее, так как стандарт и поддерживающие руководства разрабатывались для использования специалистами не имеющими глубокого ИТ-бэкграунда, используемая терминология не всегда точно описывает технические аспекты проведения ИТ-аудита. Также некоторые руководства не обновлялись несколько лет.

4. Международные стандарты «ISAE No. 3402» и «SSAE No. 16»

«ISAE No. 3402» международный стандарт проведения аудиторских проверок сервисных организаций, разработанный международной организацией IAASB (the International Auditing and Assurance Standards Board), являющейся частью Международной Федерации Бухгалтеров (IFAC, International Federation of Accountants).

Стандарт «SSAE No. 16» (ранее известный как SAS 70), выпущен ассоциацией AICPA (American Institute of Certified Public Accountants) и является адаптированной американской версией международного стандарта «ISAE No.3402».

Целью стандарта «ISAE No. 3402» является предоставление унифицированного подхода к оценке эффективности системы внутреннего контроля сервисных организаций, в части подготовки достоверной финансовой отчетности. Согласно стандарту, проверка эффективности ИТ-контролей является необходимой при проведении оценки.

В соответствии со стандартом «ISAE No. 3402», уполномоченные аудиторские организации могут выпускать формализованные аудиторские заключения об эффективности системы внутреннего контроля. Данные заключения могут быть предоставления третьим заинтересованным лицам без необходимости проведения повторного аудита.

Для получения достаточного уровня уверенности/доверия к системе внутреннего контроля сервисной организации:

1) Сервисная организация должна четко описать структуру собственной системы внутреннего контроля за аудируемый период, включая ИТ-аспект.
2) Контроли, относящиеся к контрольным целям в описании системы внутреннего контроля организации должны быть смоделированы (спланированы) достаточным образом, для адекватного покрытия рисков (финансовых, операционных, ИТ и др.).
3) Контроли включены в объем аудиторской проверки, должны выполняться эффективно, для обеспечения достаточного уровня уверенности в том, что контрольные цели, обозначенные в описании системы внутреннего контроля организации были достигнуты в аудируемый период.
Аудиторские проверки на соответствие данному стандарту достаточно распространены в США и Европе, тем не менее в России все еще не получили широкого распространения.

5. PCAOB Auditing Standard No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”

Действующая редакция стандарта разработана и выпущена организацией «The Public Company Accounting Oversight Board» (PCAOB) в 2007 году.

Организация The Public Company Accounting Oversight Board (PCAOB) была создана законом Сарбейнза-Оксли в 2002 году как некоммерческая организация для контроля аудиторских проверок компаний, представленных на американских биржах, в целях защиты интересов инвесторов при подготовке независимого аудиторского заключения. Созданием PCAOB, акт Сарбейнза-Оксли впервые в истории обязал частные аудиторские компании проходить независимый надзор. До этого профессия аудиторов в США была саморегулируемой.

Стандартом аудита PCAOB No. 5 “An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements”определяются требования по включению проверок ИТ-процессов и ИТ-систем в объем обязательных аудиторских процедур при проведении внешнего финансового аудита.

Согласно стандарту, при проведении аудита контролей, связанных с подготовкой финансовой отчетности, аудитор должен получить понимание того, как используемые информационные системы и технологии оказывают влияние на процесс формирования финансовой отчетности. Аудитор также должен понимать какие контроли выполняются вручную, а какие реализованы на уровне информационных систем — автоматизированные контроли, в том числе как выполняются общие ИТ-контроли, которые важны для эффективной работы автоматизированных контролей. Эта информация должна быть учтена при оценке рисков искажения финансовой информации, обрабатываемой в информационных системах.

6. «ISO/IEC 27007: Guidelines for information security management systems auditing» и «ISO/IEC TR 27008: Guidelines for auditors on information security management systems controls»

Стандарты опубликованы международной организацией ISO/IEC в 2011 году.
Целевой аудиторией стандартов являются специалисты в области информационной безопасности и ИТ-аудита, планирующие проведение compliance-аудита на соответствие требованиям стандартов ISO27001 и ISO27002.
Цель стандартов – дать оценку соответствует ли аудируемая организация/подразделение требованиям, изложенным в ISO/IEC 27001 и ISO/IEC 27002.
Стандарты включают описание следующих аспектов аудита:
1. Управление аудиторской проверкой (определение объема аудиторской проверки, формирование команды аудиторов, управление аудиторскими рисками, хранение свидетельств аудита, совершенствование процесса аудита).
2. Непосредственное проведение аудита (планирование, проведение, ключевые активности, включая выборки и анализ, отчетность и последующий контроль исполнения).
3. Управление командой аудиторов (поддержание компетенций и навыков, оценка членов команды).
Недостатком данных стандартов является отсутствие оценки рисков и последующей приоритизации контролей при планировании и проведении проверки. Тем не менее, стандарты удобны при подготовки к compliance-аудиту на соответствие стандартам ISO/IEC 27001 и ISO/IEC 27002.

Другие стандарты и руководства, которые могут быть использованы при проведении ИТ-аудита

В ряде случаев при проведении ИТ-аудитов могут быть использованы международные стандарты и лучшие практики, которые не являются непосредственными стандартами аудита, тем не менее, удобны для оценки уровня зрелости и эффективности ИТ-процессов.
Пример таких стандартов:
1. ISO 20000 – международный стандарт по управлению и обслуживанию IT сервисов.
2. ITIL (IT Infrastructure Library) — библиотека, описывающая лучшие из применяемых на практике способов организации работы подразделений или компаний, занимающихся предоставлением услуг в области ИТ.
3. PCI DSS – стандарт безопасности данных индустрии платёжных карт, учреждённый международными платёжными системами Visa, MasterCard, American Express, JCB и Discover.
4. Публикации NIST серии 800-хх по информационной безопасности.
5. ISF Standards of Good Practice for Information Security — бизнес-ориентированное практическое руководство по управлению рисками информационной безопасностью от международной организации Information Security Forum (ISF).

Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector