Второй тип - это системный аудит. Его цель - анализ функционирования и управления организацией как системы в целом. Важнейшая составляющая системного аудита - анализ отражения деятельности организации в финансовой и бухгалтерской отчетности. Задача этого типа аудита - выявить, есть ли основания для заключения о том, что деятельность идет без нарушений различных требований и финансовое состояние организации на момент проверки позволяет ей благополучно функционировать и далее. Для этого типа аудита характерно акцентирование на формализованном внутреннем контроле, качестве общего управления, внутренних регламентирующих документах, анализе финансового состояния, поиске менее значительных бухгалтерских ошибок и недочетов. Такой аудит, как правило, проходит несколько формализовано, с использованием экономико-математических и статистических методов. Для него естественно наличие разнообразных стандартов и правил.
Третий тип - назовем его, к примеру, упреждающий аудит. Его цель - не столько утвердить отчетность, подтвердить ее законность и финансовую состоятельность организации, сколько проанализировать перспективы организации, предотвратить или минимизировать возможные потери, сделать невозможным возникновение нарушений, оценить стратегические аспекты деятельности организации. Естественно, для такого аудита на первые места выходят средства и методы прогнозирования, вопросы безопасности во всех ее аспектах, стратегическое планирование и мотивация персонала.
Процедура внешней аудиторской проверки сегодня требует включения целого ряда новых процедур. Среди них - необходимость выдачи заключения по вопросам соответствия ведения учета новым правилам бухгалтерского учета, более соответствующим международной практике и сделавшим учет заметно "прозрачнее", проверка правильности расчета и начисления налогов, повышенное внимание к качеству менеджмента, внутренним регламентирующим документам и финансовому состоянию кредитной организации.
В то же время многие нормативные документы по-прежнему сложны и неоднозначны. Ответственность за допущенные нарушения остается высокой, и в любой момент банк может подвергнуться значительным штрафам. Однако, как показывает практика, большинство штрафов начисляются по нарушениям, которые "лежат на поверхности" и были допущены лишь потому, что у занятых текущей работой специалистов банка не было достаточно времени, чтобы ознакомиться со всеми тонкостями противоречивого российского законодательства. Именно в таких условиях становится особенно важным, чтобы банковский аудитор не просто указал на ошибки и недочеты, но и помог избежать неприятностей, сэкономить ресурсы, дал квалифицированные консультации по смежным вопросам. Иными словами, банкам сегодня требуется полноценный, в нашем определении, системный аудит. Поэтому многие банки ищут сегодня именно такого, системного аудитора для внешних проверок и сами стремятся организовать внутренний аудит максимально приближенно к данной схеме.
Влияние информационных технологий на аудит
Рассмотрим влияние современных информационных технологий на аудит.
Роль эта очень велика и подтверждается это прежде всего тем, что во-первых, в ходе проверки, в случае использования банком современной АБС, определенную часть процедур аудита можно не осуществлять за ненадобностью. Так, например, традиционная для классического аудита сверка аналитического и синтетического учетов абсолютно бессмысленна и, как правило, не осуществляется в случае использования банком современной автоматизированной банковской системы (АБС) крупного разработчика. Это касается и проверки правильности расчета процентов, осуществления переоценки счетов в иностранной валюте, большинства общих процедур ведения бухгалтерского учета. Во-вторых, сами аудиторы могут использовать программное обеспечение для облегчения обработки данных по утвержденным стандартным методикам. В-третьих, в процессе аналитической деятельности для подтверждения своих выводов аудиторы могут использовать современные экономико-математические и статистические методы, в частности методы прогнозирования или анализа финансового состояния.
Действительно, используемые средства автоматизации очень важны для банков. Современная АБС гарантирует от многих возможных нарушений и ошибок при учете банковских операций. Можно вспомнить хотя бы такие актуальные вопросы валютного учета, как технология осуществления конверсионных операций, расчет курсовой разницы и валютная отчетность. В 1993-1996 годах при получении валютной лицензии банки испытывали острейший недостаток специалистов по перечисленным вопросам. Проблемы организации работы в соответствии с требованиями Банка России в большинстве случаев они решали не за счет собственных специалистов, не с помощью аудиторов или консультантов, а покупкой современной АБС, которая наиболее правильно и удобно (на основе опыта работы с сотнями банков) решала эти проблемы. И в настоящее время банки решают схожие вопросы аналогичным образом.
Но эти позитивные тенденции имеют и оборотную сторону. Помимо многих преимуществ информационные системы служат и серьезным потенциальным источником ошибок и сбоев, вызываемых несовершенством программной и технической базы. Обеспечение надежности таких систем требует значительных материальных и технических затрат, и это ограничивает развитие АБС. Кроме того, любая АБС, независимо от степени своего совершенства, имеет еще одно слабое место - она требует ручного ввода информации. Именно на этом этапе возникает большая часть ошибок. Но для объективности заметим, что существуют технологии, позволяющие минимизировать ненадежность ручного ввода.
Например, наиболее простая и надежная из технологий предусматривает так называемый "двойной ввод", когда каждый документ вводится в информационную систему дважды, причем эту работу выполняют разные сотрудники, и документ считается введенным только в случае полной идентичности его электронных копий. Данный метод может использоваться и в более эффективном - сокращенном - варианте, когда двойному вводу подлежит не вся информация, а только основная ее часть (корреспондирующие счета и сумма или только сумма). Для повышения эффективности при сохранении надежности контроля можно также использовать систему условий. Например, если сумма документа превышает какой-то предел или в корреспонденции указан счет какого-либо особо важного клиента, то документ подлежит двойному вводу частично или полностью.
Технология аудита информационных систем
Естественно, что при такой ситуации, когда информационные системы имеют огромное значение, они сами являются объектом очень пристального внимания.
Вопросу аудита и внутреннего контроля за информационными системами посвящено несколько зарубежных стандартов аудита и специальный российский стандарт, посвященный этому вопросу: "Аудит в условиях компьютерной обработки данных". Там достаточно детально рассматривается, каким образом трансформируется практика проверок в организациях, где компьютерная обработка данных охватывает все основные циклы работ, что в банках является повсеместным явлением и как организовать и технологически осуществить проверку информационных систем.
При проведении проверки информационных систем она должна быть направлена на три основных блока: техническое обеспечение, программное обеспечение, технологии организации и использования компьютерной обработки данных. Каждая их этих сфер достаточно важна и служит источником потенциального риска и вероятных потерь. Рассмотрим конкретные составляющие этих трех блоков.
С точки зрения технического обеспечения необходимо постоянно отслеживать следующие моменты:
отказоустойчивость технической базы, под которой понимают способность технических средств функционировать практически без сбоев и остановок;
степень надежности хранения данных и возможности их восстановления, включая средства резервного копирования и дисковые массивы;
физический доступ к компьютерному оборудованию, который должен быть ограничен, так как может быть причиной несанкционированных действий;
маштабируемость компьютерных систем, которая состоит в возможности их наращивания и является залогом их более или менее длительного использования;
достаточность мощности технических средств для обработки данных в организации, так как может сложиться ситуация, когда растущий объем операций будет неадекватен техническим возможностям эксплуатируемых систем;
соответствие технической политики бизнес-задачам организации и ее экономическая эффективность.
В части контроля за программным обеспечением регулярной проверке подлежит:
лицензионная чистота программного обеспечения, так как помимо юридических проблем, при отсутствии лицензий, сопровождение программных продуктов производителями не осуществляется, и это может привести к серьезным сбоям в их работе;
логический доступ к данным на системном и прикладном уровнях, в том числе политика информационной безопасности и ее выполнение, включающая многоуровневую систему доступа пользователей к данным, приложениям и отдельным операциям, предотвращающую несанкционированные действия и ограничивающую доступ к конфиденциальной информации;