Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
• Как уже говорилось, необходимо следить за тем, чтобы схема не была перегруженной излишними деталями. Существует хороший контрольный механизм для этого. При формировании схемы процесса необходимо постоянно оценивать ее оптимальность для выполнения поставленной задачи. Если вы можете убрать со схемы какой-либо из элементов и при этом схема полностью сохранит полезность для выполнения стоящей перед вами задачи, то данный элемент не нужен. В сочетании со стремлением описать процесс в достаточной степени (с точки зрения поставленной задачи) только с помощью схемы, данный метод обеспечивает оптимизацию числа элементов на схеме. Дальше уже дело вкуса.
• Иногда аудиторы, особенно начинающие, забывают, что описание основывается на соответствующем процессе, а не на функционале ключевого подразделения – владельца процесса. Поэтому в описание включается много излишней информации. Этот недостаток устраняется только одним способом – более частыми проверками статуса
• Совсем точечная рекомендация – если вы для увязки элементов схемы используете стрелки, старайтесь избегать их совпадения, т. е. объединения стрелок в одну линию. Восприятие и чтение такой схемы усложняется. В то же время не забывайте об этом приеме, если вдруг понадобится усложнить схему.
• И последняя точечная рекомендация, касающаяся сокращений и аббревиатур. Если вы составляете описание процесса, состоящее из графической и текстовой части, то по возможности перенесите все сокращения и аббревиатуры в текстовую часть. Хорошей практикой является формирование в начале описания перечня использованных сокращений. Если позволяет место, то можно часть перечня сокращений вынести на схему, но только в части тех сокращений, которые используются непосредственно на схеме.
Сквозное тестирование (walk-through testing)
В буквальном переводе с английского термин walk-through testing означает «тестирование путем прохождения сквозь». Суть такого тестирования заключается в том, что аудитор пытается найти достаточно подтверждений тому, что структура и содержание описанной системы соответствует ее структуре и содержанию на практике.
Чаще всего термин «сквозное тестирование» встречается в сочетании с термином «описание процесса». Хотя данный вид тестирования может с одинаковым успехом использоваться применительно к любой системе. Когда ваш автомобиль проходит технический осмотр на станции техобслуживания, он также подвергается в определенном смысле сквозному тестированию. Ведь для выполнения своей задачи автомобиль должен обладать определенным набором структурных элементов, расположенных в определенной последовательности и взаимодействующих друг с другом определенным образом. Механик, проверяя наличие структурных элементов конструкции автомобиля, их внешний вид и расположение, действует как аудитор. Единственная разница состоит в том, что в большинстве ситуаций он имеет представление о том, с чем ему предстоит работать. Аудитору же перед проведением сквозного тестирования приходится сначала выяснять нюансы системы.
Будем рассматривать в дальнейшем данный вид тестирования применительно к описанию процесса, поскольку чаще всего именно такое сочетание встречается на практике.
Как уже говорилось в разделах, посвященных методике проведения интервью и методологии описания процессов, в процессе описания процесса аудитору нередко приходится получать информацию из различных источников. Достоверность такой информации также часто бывает различной. В редких случаях достоверность источника не требует дополнительного подтверждения. В таких ситуациях источник информации содержит встроенную систему контроля достоверности. Типичным примером являются электронные системы хранения и обработки данных, особенно системы, контролируемые третьей стороной (по отношению к объекту аудита и аудитору). К таким системам относятся, например, базы данных по законодательству («Консультант Плюс» и прочие). Обращаясь к такой базе данных, вы не проверяете ее содержание на соответствие первоисточнику, которым, в большинстве случаев, являются печатные издания. Однако в ряде ситуаций аудитору необходимо сначала убедиться в наличии системы контроля достоверности в самой электронной системе прежде, чем отказаться от сквозного тестирования.
Так или иначе, собрав по кусочкам описание процесса, не стоит торопиться и использовать его в дальнейшей работе, особенно для далекоидущих выводов. Судя по практике, если описанный процесс хотя бы на 50 % совпадает с реальным положением вещей, это уже неплохой результат.
С технической точки зрения идеальный вариант сквозного тестирования выглядит следующим образом. Вы составили описание процесса. Такой процесс имеет изначально один ключевой вход и один ключевой выход. Вы берете одну-две-три единицы входа в процесс и прослеживаете трансформацию этих единиц в соответствующее количество единиц выхода при прохождении через описанный процесс. Таким образом, вы убеждаетесь, что взятые на входе единицы соответствовали тем, которые были указаны в описании, с ними были произведены все действия, указанные в описании, и то, что получилось практически на выходе, в существенной степени соответствует тому, что должно было получиться. Однако, как это часто бывает, на практике все выглядит иначе.
Подробно остановимся на ключевых принципах проведения сквозного тестирования процесса.
Достаточность доказательств. Нередко при сквозном тестировании того или
• Естественная неизбежность – в ряде случаев само построение процесса не позволяет избежать исполнения того или иного этапа процесса. Наиболее простым примером является непрерывный производственный процесс, в который невозможно технически вмешаться без остановки процесса в целом. Так, при производстве многих химических веществ используются установки, в которые подаются исходные компоненты, а на выходе получается готовый продукт (производство удобрений, кислот, цемента и т. д.). В такой установке происходит целый ряд последовательных технологических операций, но вы не имеете возможность наблюдать их. Однако само устройство установки исключает какие-либо иные операции, кроме как предусмотренные технологическим процессом.
• Использование тестовых составляющих входа – в данном случае вы также не имеете возможность наблюдать за ходом процесса. Однако вы можете самостоятельно сформировать вход в процесс (полностью или частично) и, позволив этапу процесса осуществиться, оценить на основании выхода, были ли предполагаемые действия на самом деле осуществлены. Наиболее распространенным примером является использование уличных платежных терминалов или использование ИТ-систем и приложений. Например, при тестировании запрета на ручной ввод контрагента в бухгалтерской программе (в обход справочника) вы можете попытаться либо ввести наименование контрагента в соответствующую графу первичного документа, либо добавить самостоятельно нового контрагента в справочник. В обоих случаях вы предлагаете системе совершить процесс, выполнение которого, как было заявлено, невозможно, и оцениваете, насколько реальность соответствует первоначальному описанию.
• Отсутствие негативных побочных эффектов (аварий, жалоб, брака и прочего) – существуют ситуации, когда вы не имеете возможности использовать составляющие входа для целей тестирования или процесс не является неделимым по естественным причинам, но вы все равно не можете наблюдать выполнение этапа процесса. Здесь идет речь о многочисленной группе этапов процессов, которые вроде бы осуществляются, но не оставляют практически никаких следов своего выполнения. К ней всегда относятся процессы, которые целиком осуществляются с использованием звука или в результате которых производится звук. Например, процесс оповещения пассажиров в аэропорту – к диктору или оператору поступают данные о статусе рейса, он озвучивает эти данные через систему вещания аэропорта, пассажиры реагируют соответствующим образом. Отсутствие жалоб пассажиров на несвоевременное оповещение с высокой вероятностью указывает на то, что процесс оповещения происходил и происходит как положено. В описанной ситуации вы не полагаетесь на неделимость процесса и не используете тестовые составляющие входа, а оцениваете наличие негативных побочных эффектов, которые с высокой вероятностью могут появиться в результате неисполнения этапа процесса. Возможно, вы спросите, почему бы не зафиксировать исполнение этапа процесса прямым способом, т. е. прослушиванием сообщений в аэропорту. Может быть, в определенных ситуациях это и является лучшим подходом. Однако в большинстве случаев при сквозном тестировании вы имеете дело с прошлыми событиями и действиями, воспроизведение которых в настоящий момент либо невозможно, либо нецелесообразно (например, заставить предприятие в середине года воспроизвести для вас в деталях процедуру формирования годового бюджета). Кроме того, то, что в настоящий момент вы лично засвидетельствовали осуществление тестируемого этапа процесса, еще не означает, что данный этап осуществляется именно в данном месте процесса и именно данным образом. В конце концов, это могут сделать специально для вас. В ряде ситуаций косвенные подтверждения весомее прямых доказательств, а также могут быть получены с более приемлемым соотношением «затраты/выгоды».