Różnice między kontrolą wewnętrzną a audytem wewnętrznym
Audyt od kontroli odróżnia przede wszystkim charakter i rola, jaką te systemy odgrywają w organizacji. Kontrola wewnętrzna jest zorientowana na przeszłość (ex-post), audyt jest ukierunkowany na przyszłość, ma za zadanie przewidywać ryzyko zaistnienia zdarzeń negatywnych i im przeciwdziałać (przynajmniej niektórym z nich).
Audyt wewnętrzny pełni funkcje znacznie szersze od kontroli wewnętrznej, nadzorując jej mechanizmy.
Kontrola wewnętrzna jest wpisana w działalność operacyjną jednostki, a audyt nie (SAW pkt 4.1). Audytor wewnętrzny nie może brać udziału w działalności operacyjnej jednostki, aby móc niezależnie i obiektywnie wypełniać swoje obowiązki.
Audyt może być:
Informatyczny
- kontrola dostępu (czy są stosowane mechanizmy ograniczające i monitorujące dostęp do oprogramowania? Jakie? Np. hasła: do Biosu, do systemu komputerowego, do Dysku sieciowego; karta stanowiskowa itp.),
- kontrola oprogramowania systemowego (czy istnieją mechanizmy zapobiegające wprowadzaniu nieautoryzowanych aplikacji lub zmian w działających aplikacjach?)
- kontrola tworzenia i zmian w aplikacjach (jej celem jest ograniczenie i wykrycie nieuprawnionego dostępu do zasobów informatycznych, ochrona zasobów informatycznych zarówno przed ujawnieniem, jak i przed utratą lub zmianą danych),
- kontrola aplikacyjna (Funkcjonuje na etapie wprowadzania i przetwarzania danych oraz uzyskiwania informacji w ramach aplikacji użytkowych, celem tych kontroli jest zapobieganie, wykrywanie i korygowanie błędów związanych z przetwarzaniem i przepływem danych),
b) Finansowy
- zajmuje się problemami rachunkowości, ewidencjonowaniem i sprawozdawczością transakcji finansowych tzn.:
- bada dowody księgowe i zapisy księgowe
c) Zgodności
- określa, czy badany obiekt przestrzega przepisów prawnych, realizuje określone strategie i wdraża procedury
d) Systemów
- monitoruje funkcjonujące w jednostce systemy,
Operacyjny
-
Audyt operacyjny może zawierać elementy audytu informatycznego, audytu zgodności i audytu finansowego.
Metody analizy ryzyka:
metoda Delficka, szacunkowa
metoda mieszana
metoda matematyczna
zalety: - profesjonalne dokumentowanie analizy ryzyka,
- przeprowadzenie we współpracy z kierownictwem,
- jednorazowy cykl tworzenia modelu, do którego wielokrotnie wprowadza się dane.
Identyfikując obszary ryzyka audytor wewnętrzny powinien brać pod uwagę przede wszystkim następujące elementy:
cele i zadania jednostki,
przepisy prawne odnoszące się do funkcjonowania jednostki,
wyniki wcześniej przeprowadzonych audytów lub kontroli,
sprawozdania finansowe oraz sprawozdania z wykonania budżetu,
itd. Patrz SAW pkt 5.3.1