Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
1. Под эффективностью контроля понимается, как часто и правильно срабатывает контрольная процедура, а не соблюдение принципа «затраты/выгоды». Сама методология тестирования в классическом подходе накладывает определенные ограничения на полезность подхода. К числу наиболее существенных ограничений относится отсутствие нацеленности на анализ эффективности с точки зрения экономического эффекта. В ряде случаев, хотя дизайн контроля признается адекватным, а сам контроль эффективным, имеются возможности увеличения эффекта контроля или снижения стоимости его администрирования, но в силу особенностей рассматриваемого подхода данные аспекты целенаправленно не анализируются.
2. Часто упускается из виду истинная причинно-следственная связь, что приводит к повторению ошибок. Классический подход во многом является поверхностным. Например, команда
3. Классический подход во многом умозрителен – необходимость того или иного контроля может быть неочевидной, рассуждения о возможных рисках могут показаться руководителям объекта аудита и/или пользователям аудиторского отчета академичными. Подход не предполагает целенаправленного поиска последствий отсутствия тех или иных контрольных процедур или поиска последствий использования неадекватных контрольных процедур. Если контроль неадекватен, то дальнейшее тестирование не проводится. Это может приводить к ситуациям, когда большинство предлагаемых аудиторами рекомендаций приобретают в лучшем случае косметический характер. Например, часто аудиторы рекомендуют создавать регламенты процессов и процедур. Однако во многих случаях наличие регламента не обеспечивает автоматического исправления выявленного недостатка. Вместе с тем создание регламента может потребовать существенных затрат ресурсов, по крайней мере труда и времени, что не так уж мало. На этом фоне раздражение ответственных сотрудников объекта аудита оправданно.
4. Бывает трудно применить на практике, т. к. на российских предприятиях выполнение контроля часто не документируется. В этой ситуации аудиторы попадают в ловушку – для оценки контроля нужно, чтобы он оставил след, а если следов нет, то контроль оценить невозможно и при этом нельзя признать его однозначное отсутствие. Следствием являются многочисленные рекомендации по документированию контрольных процедур, что вызывает возражения, споры и прочий негатив со стороны руководства объекта аудита. Во многих случаях такая позиция руководства объекта аудита оправданна. Во-первых, наличие задокументированных контрольных процедур необходимо в первую очередь для оценки системы внутреннего контроля и не всегда оказывает значительное влияние на повышение ее адекватности и эффективности. В-вторых, документирование требует дополнительных ресурсов, а до большинства российских управленцев со скрипом доходит понимание целесообразности такого рода расходов.
Продвинутый подход
Данный подход в полной мере может использоваться только внутренними аудиторами, имеющими существенный опыт процессного аудита. В его основе лежит ключевой навык правильного внутреннего аудитора – способность к импровизации. При детальном тестировании с использованием продвинутого подхода в большинстве случаев осуществляется несколько базовых процедур:
1. Выявление недостатков системы внутреннего контроля (отсутствие контрольных процедур или их серьезные дефекты). Данная процедура предваряет детальное тестирование и является частью описания процесса. По результатам описания процесса аудитор должен быть способен определить большую часть так называемых «узких» мест процесса с точки зрения как системы внутреннего контроля, так и структуры и содержания бизнес-процесса.
2. Оценка последствий недостатков системы внутреннего контроля посредством выявления реализовавшихся рисков. Отсутствие или наличие дефекта контроля далеко не всегда означает, что это однозначно ведет к какому-либо существенному негативу для предприятия. Для этого необходимо наличие связи между недостатками и их последствиями. В этой ситуации наличие существенного опыта у внутреннего аудитора значительно экономит
3. Выявление реализовавшихся рисков. Практически всегда обнаруживаются реализовавшиеся риски, которые сложно с ходу соотнести с тем или иным недостатком системы внутреннего контроля или структуры и содержания процесса. Например, большинство тендерных процедур в процессе закупок на предприятиях слабо противодействуют такому явлению, как демпинг. Процедура тендера может быть спроектирована вполне адекватно, и только выявление последствий фактов демпинга (например, требование подрядчика оплатить дополнительные работы в связи с «увеличением объема работ вследствие более сложных геологических условий») может указать на необходимость доработки. Демпингующая компания очень часто провоцирует два ключевых риска – либо неисполнение обязательств полностью или частично, либо запрос на дополнительное финансирование. Однако, даже если аудитор установит факты реализации любого из рисков, он вряд ли с ходу сможет определить, вследствие чего риск реализовался. Выявление реализовавшихся рисков представляет собой обратную связь с точки зрения имеющегося у аудитора представления о процессе на момент проведения детального тестирования. Наличие таких фактов показывает в том числе, что аудитор упустил определенные нюансы при описании процесса.
4. Установление полной цепочки причинно-следственных связей – от недостатка системы внутреннего контроля или процесса к реализовавшемуся риску и наоборот. По сути, в данном случае речь идет о более детальной проработке ситуаций, рассмотренных в п. 2 и 3. Она особенно требуется для формирования максимально адекватных рекомендаций, поскольку довольно часто метод устранения выявленного недостатка не так очевиден, как кажется на первый взгляд. Возвратимся к примеру, описанному выше. Демпинг может осуществляться как осознанно, так и неосознанно. В последнем случае такое нередко происходит по причине недоработки проектной документации (например, занижены объемы работ), если мы ведем речь о строительных проектах. Аудитор с ходу может порекомендовать улучшить качество подготовки проектной документации за счет, например, проведения большего объема предварительных работ или за счет увеличения количества времени на подготовку проектной документации. Однако такое решение может не оказать никакого эффекта на статистику демпинга, например вследствие естественной погрешности предварительных работ или отсутствия возможности выделить дополнительное время на подготовку проектной документации из-за срочности проекта. В подобных случаях необходимо более детальное представление о причинно-следственных связях.
5. Определение оптимального порядка действий для управления анализируемым риском. На этапе детального тестирования аудитор должен получить достаточный объем информации, чтобы сформировать оптимальные рекомендации. При этом целесообразно сопоставлять стоимость внедрения и функционирования контроля со стоимостью последствий реализовавшегося риска с учетом вероятности повторения его реализации. Это означает, что аудитору следует избегать создания контроля ради контроля. Каждая новая контрольная процедура или изменение существующей контрольной процедуры должны создавать положительный экономический эффект. Очень важно, чтобы аудитор разрабатывал рекомендации параллельно с проведением детального тестирования. Таким образом, проще спланировать проведение дополнительных работ, направленных на уточнение рекомендаций. Когда аудитор приступает к написанию финального отчета, проводить дополнительные работы уже поздно.
Исходя из вышесказанного, следует отметить, что в целом продвинутый подход – это тестирование больше в глубину, чем в ширину. Также в отличие от классического подхода здесь намного реже наблюдается линейная последовательность аудиторских процедур. Разумеется, продвинутый подход, так же как и классический, имеет плюсы и минусы.
Плюсы продвинутого подхода к детальному тестированию:
1. Анализируются причинно-следственные связи. В результате получаются более точные и полезные рекомендации, нацеленные на первопричины риска. Аудитор, однако, не должен забывать, что для поиска первопричин необходимо больше ресурсов, в первую очередь времени, чем просто на выявление недостатков.