Разница между внешним аудитом и внутренним

Стандарты аудита

Проведение аудита осуществляется в соответствии с определенными стандартами. Их имеется в настоящее время 29. Правила основываются на базе международным положений ISO или МСА. Также используются федеральные стандарты ПСАД.

В документах приводятся:

• описание хода проверки;
• цели и задачи;
• методы проведения;
• рекомендации при возникновении спорных моментов.

Стандартов федерального уровня выделяется 8 единиц.

Они отражают:

• особенности проведения аудита;
• обязанности работников, осуществляющих контроль;
• порядок внешней проверки.

Создание федеральных правил датируется 2010–2011 годами в дополнение к международным стандартам.

Внешний контроль при рыночных отношениях осуществляется с помощью независимого аудиторства. Оно введено с целью предоставления качественных данных о предприятии пользователям.

Аудиторская деятельность в России развивалась в соответствии с международными стандартами. На основании зарубежного опыта проводится регулирование ее на государственном уровне, определяются основные этапы и методы.

Среди потребителей услуг аудиторов выделяют как опытные и серьезные предприятия, требующие рекомендаций в плане ведения бизнеса от крупных коллег, так и компании, которые выбирают дешевые услуги. Как показывает практика, чем больше средств тратится на проведение аудита, тем более качественной оказывается проверка.

В России требования к аудиторским услугам становятся жестче. Это обусловлено внедрением международных стандартов, профессиональной этики. Поэтому кадровая подготовка и контроль по данному направлению оказываются с каждым днем на более высоком уровне. Таким образом Россия поднимается на уровень мировых эталонов.

Внутренний аудит информационной безопасности

Внутренняя проверка ИБ – комплекс мероприятий, которые входят в IT-проверку. Её цель – обнаружить уязвимости, несоответствия и слабые места в системе безопасности бизнеса. Ряд мер внутреннего аудита осуществляется ежедневно специалистами компании, которые обязаны контролировать работу системы.

Внутренний аудит инфобезопасности проводится систематически и требует подготовки. Она заключается в предварительном согласовании процедуры. В процессе разрабатывают план, в котором по пунктам определяют весь процесс:

• проверяемые системы и процессы инфобезопасности;
• стандарт, которым руководствуются аудиторы;
• особенности, сроки проведения и желаемый результат;
• содержание отчётов по результатам проверки;
• расписание проверок, которые будут проведены в будущем.

Способы проведения внутреннего аудита информационной безопасности: документальный, комбинированный, технический или в виде учений. На период проведения полномочия проверяющих могут быть расширены для проверки сотрудников или данных высокой степени защищённости.

Внутренний аудит определяет правильность организации процессов ИБ бизнеса. К примеру, выявляет учётные записи уволенных сотрудников. Незаблокированные записи позволяют им зайти в информационную систему компании и украсть конфиденциальные сведения.

Внутренний аудит позволяет:

• установить права доступа сотрудников к информации;
• определить состояние средств защиты сведений;
• определить информированность сотрудников о внутренних правилах информационной безопасности.

Проводят внутренний аудит, как правило, специалисты, которые создавали IT-структуру компании. Предвзятое отношение к проверке отражается на результатах — в отчёте система информационной безопасности надёжно защищена, что не всегда соответствует действительности. Отсюда риск возникновения инцидентов с серьёзными последствиями в виде финансовых и репутационных потерь.

Регулярность проведения внутреннего аудита каждая компания определяет сама. Оптимальное решение – ежеквартальные проверки.

Различные и общие черты внешнего и внутреннего аудита

Внешний и внутренний аудит имеют общие и отличительные черты. Среди схожих моментов основным считается характер проводимой деятельности. В связи с этим понятия близки тем, что проверка осуществляется исключительно аудиторами. Аудиторская деятельность должна проводиться в соответствии с определенными требованиями.

Среди них выделяют:

• достоверность;
• профессионализм;
• качественные услуги, соответствие высоким стандартам;
• уверенность людей в профессиональности и этических качествах аудиторов.

Взаимосвязь внутреннего и внешнего аудита обусловлена фундаментальными принципами финансового контроля.

Среди них выделяют:

• законность;
• независимость;
• объективность;
• комплексность;
• оперативность;
• доказательность;
• гласность;
• конфиденциальность;
• этичность.

Также оба понятия связаны нормативной базой и методиками управления. Поэтому аудиторы при выполнении поставленных задач должны дать независимую оценку.

Выделяют и другие схожести внутренней и внешней формы проведения аудита:

• предмет – финансовая и экономическая информация;
• независимость экспертов;
• оценка системы внутреннего контроля (но с разными целями);
• анализ рисков в ходе деятельность;
• существенность (изучение базовых показателей).

Сравнительная характеристика понятий выделяет и отличные моменты. Прежде всего различие состоит в целевом применении.

Внутренний аудит направлен на оценку эффективности работы компании самостоятельно. Он отражает то, как организация соблюдает поставленные задачи и выполняет стратегические цели, в том числе перед обществом. Его инициирует само предприятие по указу руководства или представительного органа.

Отличия состоят в субъектах проведения. Внешняя проверка проводится независимыми экспертами при наличии аттестата. Внутренний аудит осуществляется сотрудниками компании, числящимися в штате.

У каждого из видов аудита имеется собственная нормативно-правовая база. Внешняя форма ориентируется на гражданское право, хоздоговоры, акты по регулированию внешнего аудита.

Среди законов внутреннего аудита выделяют:

• нормативные акты локального характера;
• гражданское право;
• хоздоговоры;
• административное право.

Внешний аудит проводится на платной основе. При этом аудитор несет ответственность перед клиентом, но соблюдается равноправие. При проведении внутреннего аудита дополнительная оплата не предусматривается. Аудитор подчиняется руководителю и составляет для него отчет.

Отличаются понятия по периодичности контроля. Внешняя проверка проводится один раз в год, в то время как внутренний контроль осуществляется в постоянном режиме на протяжении года.

Заключение аудитора после внешней проверки включает в себя существенные моменты, ошибки для обоснования мнения. Внутренние аудиторы оценку не дают. Они разрабатывают средства контроля по основным направлениям. Сотрудники передают руководству компании подготовленный отчет с результатами проверки и рекомендациями.

Сравнительная таблица

Представленная таблица отражает основные сходства и различия внутреннего и внешнего аудита:

Признаки	Внешний аудит	Внутренний аудит
Общие моменты	Обе проверки преследуют одну и ту же цель – улучшение состояния финансовой и бухгалтерской документации, повышение эффективности ведения бизнеса. В ходе работы применяются схожие методики.
Кем проводится	Привлекаются внештатные фирмы, независимые юридические организации, имеющие лицензию на проведение такой деятельности.	Проводится сотрудниками, числящимися в штате компании, или органами управления высшей инстанции
Обязательно ли проводить	Проводится на добровольной основе для коммерческих структур, но в обязательном порядке для отдельных бюджетных учреждений.	Может проводиться в добровольном порядке для частных фирм, но в обязательном для всех государственных учреждений.

Характеристика внутреннего и внешнего аудита

Наиболее распространенной классификацией аудита, является его разделение на внешний и внутренний аудит.

Определение 1

Внешний аудит – это аудит, который осуществляется внешними аудиторами (аудиторскими фирмами) на основании договора с субъектами хозяйствования с целью предоставления независимого заключения о его финансовом состоянии.

Получи помощь с рефератом от ИИ-шки

ИИ ответит за 2 минуты

Основной задачей внешнего аудита является установление, не содержат ли финансовые отчеты существенных искажений.

Цель, задачи и объект внешнего аудита определяются требованиями законодательства и договором. При этом заказчик имеет право свободного выбора аудитора (аудиторской фирмы).

Для аудиторов, осуществляющих внешний аудит, обязательно наличие квалификационного аттестата, подтверждающего уровень их профессиональных знаний. Кроме того, обязательным условием осуществления аудиторской деятельности, как для аудиторских фирм, так и для аудиторов, зарегистрированных как индивидуальные предприниматели, является включение их в Реестр аудиторов и аудиторских организаций.

Оплата услуг аудиторских фирм (аудиторов) осуществляется по договору. Внешний аудитор отчитывается путем предоставления аудиторского заключения (который, в случаях предусмотренных законодательством, подлежит обнародованию) и аудиторского отчета (предоставляется исключительно заказчику). Ответственность внешнего аудитора перед клиентом и третьими лицами установлена нормами действующих нормативно-правовых актов.

Определение 2

Внутренний аудит – это аудит, который осуществляется специалистами специального подразделения предприятия, непосредственно подчиненного руководству предприятия (собственникам).

Цель, объект и функциональные обязанности специалистов подразделения внутреннего аудита определяет руководство предприятия в соответствии с конкретными потребностями, связанных с повышением эффективности деятельности экономического субъекта.

Для специалистов, осуществляющих внутренний аудит, наличие квалификационного аттестата не является обязательным. Оплата их деятельности осуществляется по штатному расписанию согласно действующей на предприятии системы оплаты труда.

Внутренние аудиторы отчитываются только перед собственным руководством и несут ответственность перед руководством за выполнение своих обязанностей.

Замечание 1

Важно отметить, что между внешним и внутренним аудитом является определенная взаимосвязь. Так, внешний аудитор при планировании аудита должен получить достаточное понимание функционирования внутреннего аудита для оценки рисков существенных искажений в учете и финансовых отчетах и для определения его влияния на объем процедур внешнего аудита

Вместе с тем, внешний аудитор даже в случае, если он использует конкретную работу внутреннего аудита, несет полную ответственность за выраженное аудиторское мнение.

Критерии обязательного аудита

Определение 3

Обязательный аудит – это аудит, который проводится аудитором (аудиторской фирмой) в случаях прямо предусмотренных действующим законодательством.

Случаи проведения обязательного аудита на предприятии, регламентированы Законом об аудиторской деятельности (Федеральный закон от 30.12.2008 № 307-ФЗ (ред. от 01.12.2014) «Об аудиторской деятельности»), а именно ст. 5.

Перечень условий для осуществления обязательного аудита:

1. В случаях, если предприятие имеет организационно-правовую форму открытого акционерного общества.
2. В случаях, если ценные бумаги предприятия выпущены в обращение на фондовые биржи.
3. Для следующих организаций:

• кредитные учреждения;
• организации кредитных историй;
• организации, которые являются профессиональными участниками рынка ценных бумаг;
• страховые компании;
• клиринговые организации,
• общества взаимного страхования,
• биржи (товарные, валютные, фондовые);
• организации – негосударственные пенсионные фонды и иные фонды;
• акционерные инвестиционные фонды;
• управляющая компания акционерного инвестиционного фонда,
• паевой инвестиционный фонд;

1. В случаях, если объем выручки от продажи продукции (товаров, работ или услуг) предприятия за предшествовавший отчетному год составила более $400$ миллионов руб., или денежное выражение активов бухгалтерского баланса по состоянию на конец предшествовавшего отчетному года составляет более чем 60 миллионов руб.;
2. В случаях, если предприятие публикует сводную (консолидированную) бухгалтерскую (финансовую) отчетность.
3. В других случаях, установленных федеральными законами.

Определение 4

Указанные критерии введены в действие с $2011$ года.

Определение внешнего аудита

Эти виды аудитов проводятся частной фирмой независимой компании. Это выполняется, если акционер хочет и имеет полную поддержку директоров. Требуется компетентный профессионал, который, как правило, является сертифицированным бухгалтером, который владеет ноу-хау по всем вопросам и обязан отчитываться перед конкретным лицом, никак не связанным с компанией. Это приводит к нейтральному анализу компании. Главная цель – убедиться, что один клиент не получает все преимущества, а другие игнорируются, а все вопросы, связанные с деньгами, имеют прозрачность. Должна соблюдаться правильная структура отчетов, поскольку это профессиональная работа, в то время как аудит может проводиться только один раз в год, так как несколько отчетов приведут к тому, что компания не сможет выполнять свои ежедневные задачи упорядоченным образом.

Когда необходим аудит информационной безопасности?

Внутренний аудит выявляет несоответствия и уязвимости в системе инфобезопасности внутри компании. Он «обнажает» недочёты в системе управления, которые становятся причиной утраты данных и материальных средств. Специалисты компании самостоятельно выявляют слабые звенья в системе и устраняют их.

Внешний аудит информационной безопасности даёт независимую оценку уровня защищённости и проводится, как правило, после инцидентов или для проверки соответствия законодательным нормам Российской Федерации. В частности, он решает следующие задачи:

• подробный срез текущего состояния системы ИБ, выполненный независимыми экспертами с применением актуальных методов;
• профилактика потенциальных рисков и устранение причин нарушений ИБ путём их выявления и сведения к минимуму;
• обнаружение слабых звеньев в обеспечении безопасности критически важных для бизнеса систем с учётом его специфики.

По результатам аудита сертифицированные специалисты создают детальный отчёт, в котором описывают обнаруженные уязвимости и дают практические рекомендации по их устранению.

Внутренний и внешний аудит ИБ: при каких обстоятельствах требуется?

Плановая внутренняя проверка — сложная многоэтапная процедура. Порядок и особенности проведения внутреннего аудита ИБ прописаны во внутренней документации предприятия. Проверка может проводиться каждый день или по предварительно разработанному плану департаментом информационной безопасности. В мероприятиях  задействованы ключевые ресурсы отделов ИБ и руководителей аудируемых направлений.

Ежедневно процедуру выполняют инженеры, ответственные за использование ИТ-инфраструктуры, сотрудники департаментов ИБ, отдела защиты активов компании. Их задача – мониторить изменения параметров конфиденциальности, целостности и доступности информации. Каждый делает это в своей зоне ответственности и обязан вносить данные для исключения негативных последствий.

Внешний аудит является обязательным для предприятий финансовой сферы  – банковских, кредитных и некредитных организаций, АО и государственных компаний, деятельность которых регулируется ФЗ №187 «О безопасности критической информационной инфраструктуры РФ».

Проверка по ФЗ №152 «О персональных данных» выявляет несоответствия процессов инфобезопасности бизнеса нормам и стандартам, прописанным на законодательном уровне. Предприятия, которые входят в национальную платёжную систему, проверяют инфосистемы и организационно-распорядительную документацию на соответствие нормам, регламентированным ГОСТ Р ИСО/МЭК 27001. Он соответствует международному стандарту ISO/IEC 27001.

Внешний аудит также проводят, если:

• случился инцидент в системе информационной безопасности и нужно предупредить повторы;
• регулятор издал новый закон;
• на предприятии проводится реструктуризация;
• нужно оценить, насколько эффективно расходуются средства на защиту ИБ;
• нужно обнаружить уязвимости системы, которые могут привести к серьёзным последствиям;
• требуется оценка осведомлённости сотрудников по вопросам информационной безопасности;
• происходит смена ключевых специалистов в IT-департаменте;
• требуется оценить квалификацию специалистов департамента информационной безопасности.

Внешняя проверка информационной безопасности эффективна при условии его регулярного проведения. Она позволяет контролировать бизнес-процессы предприятия и создаёт фундамент для их модернизации согласно нормам закона и требованиям рынка.

Проверка системы менеджмента качества

Каждое предприятие имеет систему менеджмента качества. Она состоит из норм и правил, которые помогают улучшить основные экономические показатели. На основании аудита можно дать оценку соответствия выпущенных товаров стандартам, прописанным на международном уровне (ISO).

Аудит может быть плановым и незапланированным. В любом случае должен выпускать приказ с указанием состава группы, участвующей в проверке, и объема работы. При этом заранее производится оповещение того структурного подразделения, деятельность которого будет проверяться.

Согласно стандарту ISO9001, внутренняя проверка должна быть постоянной.

Она проводится для определения:

• соответствия системы менеджмента качества мероприятиям по плану;
• отражения международных стандартов во внутренней системе;
• результатов внедрения СМК и поддержания ее в рабочем состоянии.

Руководство компании должно заранее подготовить сотрудников отдела к проверке, подобрать аудиторскую группу и поставить цели и задачи перед ней.

Нормативные документы, определяющие вопрос регулирования отношений внутреннего и внешнего аудита

Ключевым элементом взаимоотношений в рассматриваемой области является наиболее полное использование внешними аудиторами результатов работы внутреннего аудита, а для этого необходимо правильно построить отношения между внутренними и внешними аудиторами с учетом существующих требований регулирующих нормативных документов

Это важно, чтобы понять, чем руководствоваться внешним аудиторам в практической деятельности, как им формировать для себя внутрифирменные стандарты; в любом случае они должны определить порядок работы и регламентирующие внутренние документы на предприятии, установленные для внутреннего аудита

В первую очередь обратим внимание на Федеральные правила (стандарты) аудиторской деятельности (ФПСАД), в которых есть правила и стандарты, регулирующие внутренний аудит. Во-вторых, на Международные стандарты аудита, где предусмотрены специализированные стандарты, регулирующие взаимоотношения внешних и внутренних аудиторов

Начнём с Федеральных правил (стандартов) аудиторской деятельности. Основной стандарт, определяющий порядок рассмотрения работы внутреннего аудита и взаимоотношения между внутренним и внешний аудитором, – ФПСАД № 29 «Рассмотрение работы внутреннего аудита». Благодаря введению этого стандарта впервые в российской практике на столь высоком уровне было дано определение понятию «внутренний аудит». ФПСАД № 29 регулирует объёмы и цели внутреннего аудита, взаимоотношения, понимание и оценки внутреннего аудита внешним аудитом, сроки его взаимодействия и координации, эффективность внутреннего аудита.

Среди прочих ФПСАД, регулирующих взаимоотношения внутреннего и внешнего аудита, можно выделить следующие:

ФПСАД № 1 «Цель и основные принципы аудита финансовой (бухгалтерской) отчетности» (определяются основные принципы внешнего аудита, его цели и задачи);

ФПСАД № 2 «Документирование аудита» (затрагиваются основные требования к документированию аудиторских процедур);

ФПСАД № 4 «Существенность в аудите» (определяется порядок работы и формирования процедур внешнего аудита);

Федеральный стандарт аудиторской деятельности (ФСАД) 7/2011 «Аудиторские доказательства» (он означает, что материалы, которые собраны в результате оценки внутреннего аудита, должны быть документированы и будут являться аудиторскими доказательствами);

ФПСАД № 8 «Понимание деятельности аудируемого лица, среды, в которой она осуществляется, и оценка рисков существенного искажения аудируемой финансовой (бухгалтерской) отчетности» (здесь, как и в ФПСАД № 29, речь идет о роли внутреннего аудита в деятельности аудируемой организации и внешним аудиторам предписывается изучение результатов работы внутреннего аудита для планирования работы по оценке достоверности финансовой отчетности);

ФПСАД № 7 «Контроль качества выполнения заданий по аудиту», ФПСАД № 34 «Контроль качества услуг в аудиторских организациях» (внешние аудиторы рассматриваются как объекты контроля со стороны руководителей аудиторской организации, предлагается схема организации внутреннего контроля в самой аудиторской организации).

Что касается МСА, необходимо отметить Международный стандарт аудита 610 «Рассмотрение работы внутреннего аудита», регулирующий исследуемый вопрос. При его анализе можно ссылаться на статью М.А. Городилова «Международный стандарт № 610 «Использование результатов внутренних аудиторов»: новая редакция (Аудитор. 2013. № 8).

Таким образом, мы рассмотрели всю систему нормативных документов, регулирующих на сегодняшний день взаимоотношения внутреннего и внешнего аудита. В практическом плане процедуры изучения внутреннего аудита проанализируем далее с учётом таблиц и конкретных мероприятий.

Понятие внутреннего аудита

В настоящее время существует разная литература о внутреннем аудите, в которой можно встретить различные понятия внутреннего аудита, его определения и толкования. Кто-то считает внутренний аудит процессом, подчиненным внутреннему контролю, или его элементом, кто-то – контрольной или оценочной деятельностью, кто-то – деятельностью по обеспечению руководства качественной информацией и т.д.

Всё международное сообщество признаёт определение международного Института внутренних аудиторов (The Institute of Internal Auditors, или The IIA): «Внутренний аудит – это деятельность по предоставлению независимых и объективных гарантий и консультаций, направленных на совершенствование деятельности организации. Внутренний аудит помогает организации достичь поставленных целей, используя систематизированный и последовательный подход к оценке и повышению эффективности процессов управления рисками, контроля и корпоративного управления».

Данное определение полным образом охватывает основные характеристики внутреннего аудита в его современном понятии и дает его точное понимание. Исходя из него, очевидно, что внутренний аудит является одной из функций управления.

Руководство и собственники организации ожидают и хотят быть уверены, что поставленные цели будут достигнуты, а плановые показатели будут выполнены, и при этом деятельность организации и действия сотрудников соответствуют действующему законодательству, установленным технологиям, принятым принципам и правилам и т.п. Для обеспечения этого в организации создаются и внедряются системное управление рисками и постоянно повышается эффективность системы внутреннего контроля и аудита.

Соответственно, объектом работы подразделения внутреннего аудита может стать любой процесс, функциональное направление и система в деятельности организации, например: снабжение товарно-материальными запасами, управление персоналом, процесс подготовки финансовой (бухгалтерской), управленческой отчетности, информационные технологии, корпоративная культура и пр.

Отличительными особенностями внутреннего аудита являются:

1. Независимость: внутренние аудиторы не принимают непосредственного участия в проверяемом процессе и организационно не подчинены руководителям процесса.

2. Объективность: беспристрастность оценок и выводов внутренних аудиторов.

3. Системность и последовательность подхода: какие направления/ вопросы исследовать/ проверять; что проверять в первую очередь, как часто; широта и глубина охвата деятельности организации исследованиями/проверками и пр.

Приоритетность в работе внутреннего аудита определяется собственниками и руководством организации, как правило, на основе понимания и оценок существующих рисков и видения проблемных вопросов деятельности.

Необходимость существования внутреннего аудита для бизнеса давно признана в России. Для некоторых отраслей и организаций наличие выделенной функции внутреннего контроля и аудита является обязательным, что регулируется законодательством РФ. Речь идет о банковской и страховой отраслях, государственной компании «Росавтодор», государственных корпорациях (Росатом, Роскосмос и др.)). Например, в законодательстве РФ существуют следующие нормативные акты, регулирующие внутренний аудит в различных отраслях и отдельных организациях (перечень не является полным; актуален на 2018 год):

	Закон РФ от 27.11.1992 N 4015-1 (в ред. 2013 г.) “Об организации страхового дела в Российской Федерации”
	Статья 95 Глава 15 Закона о Центральном банке РФ
	Статья 25 Закона о страховании вкладов физических лиц в банках
	Статья 8 Закона о Банке Развития (Внешэкономбанке)
	Статья 20 Закона о государственной компании Росавтодор
	Статья 32 Закона о государственной корпорации Росатом
	Статья 32 Закона о государственной корпорации по космической деятельности “Роскосмос”
	Постановление Правительства РФ от 15.04.2014 N 327 (ред. от 31.03.2017)
	Постановление Правительства РФ от 15.04.2014 N 320 (ред. от 30.03.2017)
	Программа утверждена распоряжением Правительства РФ от 30.12.2013 N 2593-р
	В рамках Плана мероприятий (“дорожной карты”) “Совершенствование корпоративного управления” (утв. распоряжением Правительства РФ от 25.06.2016 № 1315-Р)