Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
Нюанс 10. В течение проекта внутреннего аудита аудиторы выполняют как минимум несколько выборок. Нередко как минимум часть выборок нельзя сделать без участия сотрудников объекта аудита. Учитывая это, необходимо помнить о трех простых правилах взаимодействия с сотрудниками объекта аудита при формировании выборки.
• Правило 1. Если выборка в той или иной части готовилась силами сотрудников объекта аудита, то необходимо проверить ее полноту и правильность. Проверку лучше выполнить до завершения формирования выборки. Наиболее простой способ проверки состоит в том, чтобы с помощью сотрудников объекта аудита проследить процесс формирования выборки. Существуют и альтернативные варианты, например использование аналитических процедур или проведение сверок с взаимосвязанными данными.
• Правило 2. Сотрудники объекта аудита могут тянуть время. Это часто случается по одной из двух причин – либо сотрудники испытывают какие-либо затруднения
• Правило 3. В случае намеренного затягивания процесса выборки или прямого отказа от проведения выборки необходимо оценить ситуацию, чтобы выяснить, нет ли в этом вины команды внутреннего аудита. Если команда действовала в полном соответствии с профессиональными канонами, остается только применить правило японского эскалатора. Его суть заключается в последовательном применении уважения и напряжения. Руководитель команды внутреннего аудита сначала самостоятельно пытается решить проблему начиная с того уровня менеджмента, на котором она возникла. При этом он вежливо разъясняет возможные варианты развития событий, включая обращение за помощью к следующему уровню руководства объекта аудита. Основная цель данной процедуры – показать бессмысленность сопротивления. И так по цепочке, при необходимости вплоть до высшего руководства объекта аудита. Если действия руководителя проектной команды не увенчались успехом, он должен сообщить о затруднениях руководителю ПВА. У руководителя ПВА есть три варианта действий – санкционировать отказ от проведения конкретной выборки, самому применить правило японского эскалатора, начиная с уровня высшего руководства объекта аудита и заканчивая аудиторским комитетом, прервать текущий проект до решения вопроса или прекратить его полностью. Два последних варианта нежелательны, т. к. создают негативный прецедент.
Детальное тестирование
В данном разделе рассматривается процесс детального тестирования в том виде и с той начинкой, которые практикуются при проведении процессного аудита. Разумеется, во многих случаях подходы и методики, изложенные в этом разделе, можно применить и к иным проектам внутреннего аудита, в ходе которых проводится детальное тестирование.
Детальное тестирование является ключевым процессом в проекте внутреннего аудита, так как именно по его результатам формируется и кристаллизуется материал для отчета по проекту. При выполнении детального тестирования аудитор использует разнообразный набор процедур и методик – сверки, расчеты, преобразование данных, пересчет, установление взаимосвязи (корреляции и т. д.) и прочее. Высшим пилотажем для внутреннего аудитора является гармоничное и продуктивное совмещение аналитических процедур с детальным тестированием.
При проведении детального тестирования полезно следовать двум фундаментальным принципам.
Принцип 1. Принцип гипотезы – каждый детальный тест должен быть направлен на проверку определенного предположения или части такого предположения, сформулированного до начала выполнения теста. Попросту говоря, глупо приступать к работе, если нет хотя бы приблизительного представления о том, что должно получиться на выходе. С каждым этапом проекта такое представление должно качественно улучшаться и уточняться. К началу детального тестирования у команды внутренних аудиторов должен быть перечень гипотез, который они хотят проверить во время детального тестирования. В классическом варианте имеющиеся гипотезы заносятся в матрицу рисков и контрольных процедур, которая уточняется перед началом детального тестирования. В самой матрице гипотезы обычно называются рисками.
Принцип 2. Принцип разведки – необходимо применять тактику прощупывания потенциально перспективных тем для детального тестирования. Как известно, подавляющее большинство проектов внутреннего аудита проходит в условиях нехватки ресурсов для получения всей требуемой информации и проведения всего спектра процедур по всем потенциально интересным направлениям (рискам). Аудитору приходится постоянно делать выбор, исходя из соотношения ресурсов и приоритета направлений (рисков). Чтобы сделать выбор максимально эффективно, необходимо проводить разведку. В этом смысле проекты внутреннего аудита напоминают некоторые компьютерные игры, в частности те, где используется такой элемент, как «туман войны [12] . В них, чтобы приоткрыть содержание участка игровой карты, покрытого туманом (затемненного), достаточно провести разведку, используя хотя бы одного из персонажей, т. е. не обязательно задействовать все возможности. Также и при выполнении проекта внутреннего аудита не обязательно проводить полномасштабное детальное тестирование, чтобы убедиться в отсутствии существенных угроз и недостатков в выбранном направлении (риске). Для оценки серьезности проблемы, т. е. определения ее приоритета, достаточно выполнить только процедуры, позволяющие
12
Туман войны (нем. Nebel des Krieges) – термин, введенный Карлом фон Клаузевицем для обозначения недостоверности данных о положении на театре военных действий.
Глобально существует два основных подхода к проведению детального тестирования – классический подход и продвинутый подход.
Классический подход
При использовании данного подхода аудитору необходимо в первую очередь задокументировать систему внутреннего контроля объекта аудита. Затем выявленные контрольные процедуры ранжируются по степени существенности. Под существенностью обычно понимается способность контрольной процедуры влиять на риски, связанные с объектом аудита, хотя возможны и иные варианты. После этого в зависимости от ресурсов команды внутренних аудиторов оценивается дизайн всех или части выявленных контрольных процедур. Оценка дизайна может называться также оценкой адекватности контрольных процедур. Под адекватностью контроля понимается его способность способствовать достижению целей процесса или этапа процесса максимально эффективным образом, как с операционной, так и с экономической точки зрения, в том числе за счет эффективного воздействия на риски процесса или его этапа.
После того как оценка адекватности контрольных процедур проведена, принимается решение о тестирования их эффективности. При этом тестирование проводится только в отношении контрольных процедур, которые признаны адекватными. Если контроль признается неадекватным, то считается, что детальное тестирование закончено и можно приступать к формированию отчета. При тестировании эффективности контроля оценивается, насколько контрольная процедура работает в соответствии со своим дизайном. Для тестирования формируется относительно небольшая выборка – максимум 20–30 операций при условии, что контроль осуществляется на ежедневной основе. Если контроль осуществляется реже (раз в неделю, месяц и т. д.), то объем выборки еще меньше. По результатам тестирования делается вывод об эффективности контроля. Он считается эффективным, если контрольные процедуры с отклонениями составляют не более 5–10 % от выборки. К слову сказать, параметры выборки ничем не регулируются, в качестве ориентира используются параметры, рекомендуемые, например, компаниями Большой четверки. ПВА может использовать свои параметры, главное, чтобы результаты тестирования конструктивно воспринимались как руководством объекта аудита, так и пользователями отчета.
Классический подход довольно распространен в зарубежной практике внутреннего аудита. Существует много методических материалов, посвященных именно этому подходу к детальному тестированию, включая целые программы аудита. В общем его можно охарактеризовать как тестирование, направленное больше в ширину, чем в глубину. Как водится, у него есть как минусы, так и плюсы.
Плюсы классического подхода к детальному тестированию:
1. Требует меньше ресурсов и более низкой квалификации команды. Это одно из ключевых преимуществ. Относительная простота подхода обеспечивает его успешное освоение аудиторами начального уровня. Простота достигается, в том числе, за счет использования четких установок – контроль неадекватен, значит, дальше не тестируем, контроль адекватен – тестируем. Также ограничением выступает описание тестируемого процесса, если, конечно, именно этот процесс является объектом аудита – рассматриваются в основном контрольные процедуры, отраженные на схеме процесса.
2. Можно обеспечить сопоставимость результатов по различным объектам аудита. Наличие упомянутых четких установок обеспечивает унификацию подхода при тестировании различных процессов. Унификация приводит к сопоставимости. Сопоставимость результатов особенно полезна, когда аудиту подвергаются несколько однотипных объектов аудита, – можно как минимум выбрать лучший вариант системы внутреннего контроля и распространить дизайн на все однотипные объекты аудита.
Минусы классического подхода к детальному тестированию: