Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
• Наличие нейтральных побочных эффектов (отходы и побочные продукты) – в целом данный подход к сквозному тестированию также практичен. Как говорится, можно не видеть огня, но сделать правильные выводы по дыму и искрам. Процессов, которые генерируют при исполнении отходы и побочные продукты, в нашей жизни немало. Например, если финансовый контролер утверждает, что процедура согласования бюджета с дочерними предприятиями осуществляется, но сам ход и результаты данного процесса не фиксируются в отдельном протоколе, это не повод для аудитора поставить под вопрос само существование этапа согласования бюджета на практике. Аудитор может воспользоваться отходами и побочными продуктами данного процесса, которыми могут быть, например, переписка участников, наличие папки с набором файлов с последовательными датами создания, содержащих различные бюджеты, должностные инструкции для позиции «финансовый контролер», документы, обосновывающие показатели конечного бюджета. Самое главное в таких ситуациях правильно выбрать побочный эффект процесса, что в немалой степени зависит от опыта аудитора и является еще одним аргументом в пользу плотного наблюдения со стороны опытных аудиторов за начинающими вплоть до непосредственного участия в процессе описания процесса и его сквозного тестирования.
Последовательное и фрагментарное подтверждение (обрывы
• Поставленная задача – многое при выборе подхода к проведению сквозного тестирования зависит от тематики проекта. В настоящее время чаще всего аудиторы принимают участие в проектах по оценке системы внутреннего контроля процессов. Стандартный подход к ним не предусматривает сквозного тестирования ряда этапов процессов по той причине, что в этом нет смысла. Во многих процессах имеются участки, которые минимально влияют на достижение процессом его целей и потому не интересны для аудитора с точки зрения наличия или необходимости формирования существенных контрольных процедур. Кроме того, никто не отменял эффекта компенсирующих контрольных процедур. Грубо говоря, в проектах по оценке системы внутреннего контроля процессов аудитор меньше уделяет внимания тем этапам, которые находятся между этапами с существенными контрольными процедурами. То есть, например, если аудитор проводит аудит процесса «Закупки», то, получив достаточное подтверждение существования процедуры тендера, он должен убедиться, что с победителем тендера заключается договор, условия которого соответствуют условиям, зафиксированным по итогам тендера в качестве победных. Намного меньшее значение имеет тестирование этапов процесса между этими контрольными процедурами, а ведь между ними располагается целый процесс «Согласование договора», начиная от формирования проекта договора и заканчивая подписанием окончательной версии (более подробно аудит процесса «Закупки» рассмотрен в соответствующей главе). Однако, если аудитор участвует в проекте оптимизации бизнес-процесса, сквозное тестирование приобретает более существенное значение, так как даже незначительные на первый взгляд операции могут иметь несопоставимо больший потенциал дополнительной эффективности. Один из самых простых и ярких невыдуманных примеров мелких операций, имеющих большой потенциал для оптимизации процесса, – это, мягко говоря, неадекватное использование ИТ-систем – пересчет массива цифровых данных из таблицы Microsoft Excel на калькуляторе.
• Ограниченность ресурсов – в первую очередь количество и качество человеческих ресурсов, а также время и технические возможности. Разумеется, любой руководитель проекта аудита чувствует разницу между работой опытного и начинающего аудитора. Начинающий аудитор требует внимания и дополнительного времени, т. к. редко выполняет работу качественно с первого раза. Он склонен впадать в крайности и делает то слишком мало работы, то много ненужного. Чувство меры приходит с практикой. Также процессы бывают довольно объемными с точки зрения структуры и количества этапов, и полное сквозное тестирование силами одного аудитора может потребовать слишком много времени, исходя из ситуации на момент его проведения. Нормальной практикой следует считать привлечение к сквозному тестированию наряду с автором описания процесса еще одного или двух аудиторов. Некоторые процессы сложны с точки зрения понимания происходящего в них. У аудитора не всегда есть соответствующая подготовка. Например, для проведения сквозного тестирования процесса «Производство» требуются знания специфики аудируемого производственного процесса. Время всегда было, есть и будет ценным и ограниченным ресурсом аудитора, т. к. одной из ключевых целей аудиторских проектов является не только выполнение работы, но и осуществление ее в сроки, установленные планом проекта. Технические сложности в основном связаны с ограничениями использования ИТ-систем. Например, если на предприятии используется сложная управленческая система типа Oracle или SAP, то аудитору необходимо не только получить доступ к этой системе, но и разобраться в нюансах ее работы.
• Соображения целесообразности – в силу ограниченности ресурсов при проведении проектов внутреннего аудита соблюдение принципа «затраты/выгоды» во многом оправдывает себя. Когда речь идет об ограниченности ресурсов, чаще всего подразумевается не их отсутствие, а, если так можно выразиться, ограниченность достаточности ресурсов. При годовом планировании и планировании проекта вы рассчитываете срок проекта на основании исходных данных о его составляющих, включая доступные ресурсы. Чем амбициознее годовой план, тем выше требования к качеству управления проектами. Чем меньше резервов в вашем распоряжении, тем больше зависимость от качества управления проектами. Качественное управление проектами подразумевает выбор оптимального соотношения «затраты/выгоды» при одновременном достижении разумной уверенности в результатах проектов. Поэтому, когда аудитор проводит сквозное тестирование процесса, он должен зафиксировать момент достижения разумной уверенности. После этого продолжение сквозного тестирования противоречит принципу «затраты/выгоды». Разумная уверенность имеет только две формы – она либо есть, либо ее нет. Например, при проведении проектов по оценке системы внутреннего контроля процессов в большинстве ситуаций аудитор достигает разумной уверенности в достижении целей процесса после тестирования ключевых контрольных процедур. Тестирование более мелких и точечных контрольных процедур чаще всего приводит лишь к подтверждению полученного вывода. Однако в некоторых случаях такое тестирование все же нужно проводить. Принятие правильного решения в данной ситуации, как и во многих других, зависит от опытности и квалификации команды внутренних аудиторов.
• Степень совершенства процесса – в моем понимании совершенный процесс, наряду с множеством прочих характеристик, имеет механизмы саморегулирования и генерирует, обрабатывает и хранит достаточно информации для обеспечения их работы. Саморегулирование в принципе невозможно только на основании оценки работы системы в текущий момент, необходимо использовать как ранее полученные данные, так и значения параметров, которыми система должна обладать в будущем. Иными словами, процесс, находящийся на пути к совершенству, постоянно накапливает, анализирует и хранит данные
• Степень контроля процесса – существует определенная корреляция между степенью совершенства процесса и адекватностью и эффективностью его системы внутреннего контроля. Однако на практике такая корреляция не перерастает в правило. По аналогии с хорошо организованным процессом оптимальная система внутреннего контроля процесса так или иначе генерирует следы осуществления контроля и накапливает статистику по отклонениям. Однако в большинстве случаев при аудите российских предприятий аудитор сталкивается с отсутствием очевидных следов осуществления контроля процесса. В российской экономике, к сожалению, для целей контроля широко используется метод указательного пальца. Это означает, что недостаток контроля процесса не будет обнаружен и исправлен до тех пор, пока вышестоящее руководство не обратит на него внимания (частенько случайно) и не укажет на необходимость его устранения. Поэтому, проводя сквозное тестирование, аудитор должен быть готов к определенным трудностям. На практике довольно часто возникают ситуации, когда наличие контроля этапа процесса неочевидно, однако аудитору не стоит торопиться с вынесением окончательного приговора. Необходимо удостовериться в отсутствии как очевидных контрольных процедур, так и неочевидных, поскольку это напрямую влияет и на содержание отчета, и на точность, полезность и практичность рекомендаций. В определенных ситуациях можно отказаться от тестирования с пристрастием какой-то контрольной процедуры, если имеются компенсирующие контрольные процедуры.
Обратное тестирование (когда невозможно идти от начала процесса к его завершению). Стандартный способ проведения сквозного тестирования известен – выбирается один или несколько входов в процесс и прослеживается трансформация этих входов при осуществлении этапов процесса вплоть до получения конечного выхода. Однако в ряде случаев у аудитора отсутствует возможность проведения сквозного тестирования от начальных этапов процесса к завершающим этапам процесса. В этой ситуации аудитор должен помнить о возможности проведения сквозного тестирования в обратном направлении, от завершающих этапов к начальным. Невозможно систематизировать все ситуации, в которых целесообразно обратное тестирование. Значительная их часть связана с отсутствием сопоставимости входов и выходов последовательно расположенных этапов процесса. Например, возвращаясь к этапу «Формирование заявки» процесса «Закупки», аудитор видит, как потребность (в виде обоснованного требования работников подразделения) преобразуется в заявку на закупку. Аудитор может выбрать одну или несколько заявок для дальнейшего тестирования. Для простоты предположим, что закупка осуществляется в рамках уже заключенного долгосрочного договора. За этапом «Формирование заявки» следует, например, этап «Формирование заказа», владельцем которого является отдел поставок. Однако отдел поставок может осложнить работу внутреннего аудитора, если он формирует укрупненные заказы без следов обработки заявки, особенно когда закупаемая номенклатура не является уникальной. Таким образом, из содержания этапа «Формирование заказа» не совсем понятно, была ли обработана выбранная заявка/заявки. Однако при отсутствии связи заявка – заказ весьма часто имеется связь заказ – поставка. Поэтому аудитор может сделать выборку поставок и попробовать проследить исполнение процесса в обратном направлении, от поставки к заявке. Например, это можно сделать, если отдел поставок оповещает подразделение о поступивших по его инициативе ТМЦ.
Параллельное выполнение описания процесса и сквозного тестирования. Опытные аудиторы должны стремиться совмещать составление описания процесса и его сквозное тестирование. В целом это является хорошей практикой и позволяет экономить ресурсы проекта. Кроме того, наличие такого умения у аудитора является основанием для профессиональной гордости. Основная сложность совмещения двух процедур заключается в необходимости навыка правильного и быстрого принятия решений при возникновении нестандартных ситуаций, в большинстве своем связанных с нестандартной структурой и наполнением этапов процесса. Если аудитор, например, сталкивается с тем, что выход из предыдущего этапа процесса нельзя однозначно соотнести с выходом из последующего этапа, ему необходимо оперативно определить, является ли данная ситуация поводом для более тщательного анализа, отказа от тестирования последующего этапа процесса, обратного тестирования или для изменения параметров исходной выборки. Все это звучит несколько абстрактно, но в целом описывает алгоритм принятия аудиторского решения. И такие решения принимаются именно во время проведения интервью без дополнительных размышлений.
Далее по традиции приведу варианты решений некоторых точечных ситуаций, наработанные практикой.
• Все протестированные в ходе сквозного теста файлы и документы должны быть откопированы (сфотографированы, отсканированы) и сохраняться у аудитора. Такие документы являются рабочей документацией по проекту и нередко используются в дебатах по недостаткам и рекомендациям с представителями объекта аудита и вышестоящим руководством. В аудите, как в шахматах, ходы надо записывать.
• Хорошей практикой является графическое представление результатов сквозного тестирования. По каждому процессу получается как минимум две схемы – одна схема с описанием процесса, вторая схема с результатами сквозного тестирования. Возможен вариант совмещения схем. В этом случае различия между описанным (регламентированным) вариантом процесса и фактическим вариантом процесса показываются графически: если по результатам сквозного теста этап процесса не удалось подтвердить, то его на схеме выделяют, например серой заливкой.