Настольная книга по внутреннему аудиту. Риски и бизнес-процессы
Шрифт:
• Обеспечение соблюдения принципа преемственности. При отсутствии документирования в случае полного или существенного изменения команды внутреннего аудита большая часть ранее достигнутого утрачивается. Таким образом, с одной стороны, обеспечение принципа преемственности – это задача акционеров (для поддержания тонуса системы внутреннего контроля), с другой стороны – задача менеджмента, для сохранения потенциала института агентов изменений (аудит чаще многих других функций выступает с предложениями об изменениях). Парадокс заключается в том, что те и другие вряд ли представляют себе влияние документирования на обеспечение выполнения данных задач.
Что
Также хотелось бы обратить внимание на несколько нюансов, которые могут повысить эффективность и качество документирования.
Нюанс 1. Весьма полезно использовать перекрестные ссылки в рабочих документах. Такие ссылки в большинстве случаев представляют собой пометки, которые позволяют оперативно перемещаться между рабочими документами, имеющими причинно-следственные связи либо использующими взаимосвязанную информацию. Перекрестные ссылки можно проставлять как вручную (если рабочая документация готовится в бумажном виде), так и электронным способом (если рабочая документация готовится с использованием компьютерных программ). Варианты использования перекрестных ссылок весьма разнообразны, например ссылка из описания процесса на матрицу (для указания конкретного риска в конкретном месте процесса), из таблички с описанием теста на пункт отчета (для ускорения поиска деталей расчета, описанного в тесте).
Нюанс 2. Чем больше объем рабочей документации, тем больше потребность в использовании унифицированной терминологии. Логика достаточно проста – чем больше документов, тем больше тратится ресурсов на их обработку. Единообразная терминология ускоряет восприятие информации и улучшает качество восприятия, а значит, позволяет экономить один из ключевых ресурсов – время.
Нюанс 3. При документировании детального тестирования (таблицы в Excel и т. д.) существует два основных подхода (выбор во многом зависит от квалификации и численности команды). Первый заключается в том, что каждый этап работы (каждый тест, каждая выборка и т. д.) аудитора документируется независимо от того, попадет данный материал в отчет или нет. Такой подход целесообразно применять в случае многочисленной команды внутренних аудиторов (более пяти – семи человек) и/или относительно невысокой квалификации участников команды.
При втором подходе документируются только те этапы, по результатам которых высока вероятность получения материалов для отчета. Другими словами, если по результатам теста выясняется, что определенные недостатки приводят к убыткам, то такой тест должен быть задокументирован. При использовании второго подхода аудитор формирует рабочие документы часто по собственному усмотрению, ориентируясь лишь на ценность материала для отчета. Основной принцип – обеспечить достаточность доказательной базы. Такой подход подойдет для скромных по размерам ПВА (не более пяти человек) и/или для команды высокопрофессиональных аудиторов.
Несколько слов об оформлении матриц рисков и контрольных процедур и тестов. В целом какие-либо правила отсутствуют. Особенности оформления определяются как соображениями целесообразности и практичности, так и вкусом и предпочтениями руководителя ПВА и/или руководителя проекта. Как минимум методология оформления матриц и тестов должна способствовать обеспечению доказательности материалов отчета. Полезно придерживаться трех описанных выше нюансов. Например, описывать контрольную процедуру в матрице аналогично описанию
При оформлении тестов как минимум должны указываться следующие реквизиты (см. пример шапки теста в табл. 23):
1) исполнитель – например, зная исполнителя, можно сделать ряд предположений о том, насколько профессионально проведен тест;
2) цель – помогает контролировать ход тестирования. Также позволяет оценить адекватность выводов;
3) размер выборки – дает представление об объективности выводов и возможности экстраполяции результатов на совокупность в целом;
4) программа теста – позволяет сопоставить план работы с фактом;
5) вывод – позволяет оперативно установить результат тестирования без обязательного изучения материалов теста.
Таблица 23. Пример оформления детального теста
Использование вопросников самоконтроля (control checklists)
Вопросники самоконтроля (далее вопросник) представляют собой довольно специфичный инструмент. Однако они используются во многих профессиях намного чаще, чем может показаться. По сути, вопросник представляет собой шпаргалку, в которой отражены наиболее важные моменты планируемого процесса или процедуры. Он полезен как начинающим аудиторам, так и продвинутым аудиторам (например, при контроле полноты и качества работы начинающих аудиторов). Также информация из вопросников может использоваться для унификации результатов проектов внутреннего аудита, а также для формирования статистических данных определенного содержания и в определенном формате. И это далеко не исчерпывающий список вариантов применения вопросников.
Формат и содержание вопросников определяются теми задачами, которые предстоит решить. Рассмотрим вопросник, представленный в табл. 24. Он использовался для повышения квалификации начинающих внутренних аудиторов в области описания и анализа процессов, а точнее этапов процессов. Это достигалось за счет фокусирования внимания на определенных элементах системы внутреннего контроля и процесса. Начинающий аудитор заполнял несколько вопросников по ходу проекта.
Таблица 24. Пример вопросника самоконтроля
Раздел 1 «Статус по ключевым целям контроля в рамках процесса» – здесь необходимо оценить, во-первых, наличие указанных целей на этапе процесса, а во-вторых, достижение этих целей системой внутреннего контроля этапа процесса. Если цель контроля является актуальной и достигается, то ставится отметка в графе «Да». Если она является актуальной, но не достигается, то ставится отметка в графе «Нет». При наличии отметки в графе «Нет» необходимо пояснить в графе «Примечания» причину отсутствия цели. Если цель контроля является неактуальной, то в обеих графах ставятся прочерки. В этом случае также необходимо пояснить причину прочерков.