Чтение онлайн

4. Бывает трудно применить на практике, т. к. на российских предприятиях выполнение контроля часто не документируется. В этой ситуации аудиторы попадают в ловушку – для оценки контроля нужно, чтобы он оставил след, а если следов нет, то контроль оценить невозможно и при этом нельзя признать его однозначное отсутствие. Следствием являются многочисленные рекомендации по документированию контрольных процедур, что вызывает возражения, споры и прочий негатив со стороны руководства объекта аудита. Во многих случаях такая позиция руководства объекта аудита оправданна. Во-первых, наличие задокументированных контрольных процедур необходимо в первую очередь для оценки системы внутреннего контроля и не всегда оказывает значительное влияние на повышение ее адекватности и эффективности. В-вторых, документирование требует дополнительных ресурсов, а до большинства российских управленцев со скрипом доходит

понимание целесообразности такого рода расходов.

Данный подход в полной мере может использоваться только внутренними аудиторами, имеющими существенный опыт процессного аудита. В его основе лежит ключевой навык правильного внутреннего аудитора – способность к импровизации. При детальном тестировании с использованием продвинутого подхода в большинстве случаев осуществляется несколько базовых процедур:

1. Выявление недостатков системы внутреннего контроля (отсутствие контрольных процедур или их серьезные дефекты). Данная процедура предваряет детальное тестирование и является частью описания процесса. По результатам описания процесса аудитор должен быть способен определить большую часть так называемых «узких» мест процесса с точки зрения как системы внутреннего контроля, так и структуры и содержания бизнес-процесса.

2. Оценка последствий недостатков системы внутреннего контроля посредством выявления реализовавшихся рисков. Отсутствие или наличие дефекта контроля далеко не всегда означает, что это однозначно ведет к какому-либо существенному негативу для предприятия. Для этого необходимо наличие связи между недостатками и их последствиями. В этой ситуации наличие существенного опыта у внутреннего аудитора значительно экономит ресурсы проекта – опытный аудитор знает, где и что искать. Например, малоопытный аудитор вряд ли увидит связь между отсутствием инвентарных номеров и отсутствием расхождений между данными учета и фактическими данными по результатам инвентаризаций. Однако опытный аудитор знает, что в данном случае высока вероятность формального проведения инвентаризации, так как во многих случаях инвентарный номер – это единственная связь между физическим объектом и данными учета по объекту.

3. Выявление реализовавшихся рисков. Практически всегда обнаруживаются реализовавшиеся риски, которые сложно с ходу соотнести с тем или иным недостатком системы внутреннего контроля или структуры и содержания процесса. Например, большинство тендерных процедур в процессе закупок на предприятиях слабо противодействуют такому явлению, как демпинг. Процедура тендера может быть спроектирована вполне адекватно, и только выявление последствий фактов демпинга (например, требование подрядчика оплатить дополнительные работы в связи с «увеличением объема работ вследствие более сложных геологических условий») может указать на необходимость доработки. Демпингующая компания очень часто провоцирует два ключевых риска – либо неисполнение обязательств полностью или частично, либо запрос на дополнительное финансирование. Однако, даже если аудитор установит факты реализации любого из рисков, он вряд ли с ходу сможет определить, вследствие чего риск реализовался. Выявление реализовавшихся рисков представляет собой обратную связь с точки зрения имеющегося у аудитора представления о процессе на момент проведения детального тестирования. Наличие таких фактов показывает в том числе, что аудитор упустил определенные нюансы при описании процесса.

4. Установление полной цепочки причинно-следственных связей – от недостатка системы внутреннего контроля или процесса к реализовавшемуся риску и наоборот. По сути, в данном случае речь идет о более детальной проработке ситуаций, рассмотренных в п. 2 и 3. Она особенно требуется для формирования максимально адекватных рекомендаций, поскольку довольно часто метод устранения выявленного недостатка не так очевиден, как кажется на первый взгляд. Возвратимся к примеру, описанному выше. Демпинг может осуществляться как осознанно, так и неосознанно. В последнем случае такое нередко происходит по причине недоработки проектной документации (например, занижены объемы работ), если мы ведем речь о строительных проектах. Аудитор с ходу может порекомендовать улучшить качество подготовки проектной документации за счет, например, проведения большего объема предварительных работ или за счет увеличения количества времени на подготовку проектной документации. Однако такое решение может не оказать никакого эффекта на статистику демпинга, например вследствие естественной погрешности предварительных работ или отсутствия возможности выделить дополнительное время на подготовку проектной документации из-за срочности проекта. В подобных случаях необходимо более детальное представление о причинно-следственных

связях.

5. Определение оптимального порядка действий для управления анализируемым риском. На этапе детального тестирования аудитор должен получить достаточный объем информации, чтобы сформировать оптимальные рекомендации. При этом целесообразно сопоставлять стоимость внедрения и функционирования контроля со стоимостью последствий реализовавшегося риска с учетом вероятности повторения его реализации. Это означает, что аудитору следует избегать создания контроля ради контроля. Каждая новая контрольная процедура или изменение существующей контрольной процедуры должны создавать положительный экономический эффект. Очень важно, чтобы аудитор разрабатывал рекомендации параллельно с проведением детального тестирования. Таким образом, проще спланировать проведение дополнительных работ, направленных на уточнение рекомендаций. Когда аудитор приступает к написанию финального отчета, проводить дополнительные работы уже поздно.

Исходя из вышесказанного, следует отметить, что в целом продвинутый подход – это тестирование больше в глубину, чем в ширину. Также в отличие от классического подхода здесь намного реже наблюдается линейная последовательность аудиторских процедур. Разумеется, продвинутый подход, так же как и классический, имеет плюсы и минусы.

Плюсы продвинутого подхода к детальному тестированию:

1. Анализируются причинно-следственные связи. В результате получаются более точные и полезные рекомендации, нацеленные на первопричины риска. Аудитор, однако, не должен забывать, что для поиска первопричин необходимо больше ресурсов, в первую очередь времени, чем просто на выявление недостатков.

2. Нацеленность на расчет экономического эффекта, что придает больше значимости выводам по результатам проекта внутреннего аудита. На расчет экономического эффекта также необходимы дополнительные ресурсы. Однако это часто нивелируется повышенным интересом к результатам работы ПВА со стороны высшего руководства и акционеров.

3. Выводы являются более доказательными, т. к. чаще основываются на рисках, которые уже реализовались. Это особенно важно при работе с российскими управленцами, особенно старой закалки, которые придерживаются принципа «если что-то нельзя пощупать, то этого не существует». Однако это не означает, что продвинутый подход ограничивается только реализовавшимися рисками. Технически продвинутый подход также направлен на выявление рисков, существенных как с точки зрения силы воздействия, так и с точки зрения вероятности.

Минусы продвинутого подхода к детальному тестированию:

1. Требует более значительных затрат ресурсов и более высокой квалификации команды. Как уже говорилось, продвинутый подход приносит больше результатов, когда его используют опытные аудиторы. Они способны форсировать промежуточные этапы анализа и могут быстро переключаться между различными причинно-следственными цепочками, а также выстраивать новые и достраивать цепочки в условиях ограниченной информации.

2. Ряд процессов (подпроцессов) могут целиком выпадать из тестирования в результате концентрации на крупнейших рисках. По этой причине аудит двух сопоставимых объектов аудита может проходить совершенно по-разному, теряется сопоставимость результатов аудита. То же самое происходит в случае аудита одного и того же объекта, проведенного в разное время. Однако во многом это, как ни странно, дело вкуса.

На практике редко встречаются ситуации, когда ПВА используют только один подход. Все-таки большинство ПВА являются экспертами как минимум в отдельных вопросах тематики своих проектов, например в области бухгалтерского и/или налогового учета. В этом случае команда внутренних аудиторов на проекте естественным образом склоняется к использованию продвинутого подхода к детальному тестированию. Если знания о нюансах аудируемого процесса стремятся к нулю, внутренние аудиторы склонны использовать классический подход. Так или иначе, чем ниже профессиональный уровень сотрудников ПВА, тем меньше у них возможностей сделать осознанный выбор между классическим и продвинутым подходом.

Также хотелось бы продемонстрировать разницу между двумя подходами на примере двух вариантов отчета (см. табл. 19). За основу взят стандартный формат пункта отчета – наблюдение (суть недостатка), последствия (к чему приводит недостаток), причина (что способствует недостатку), рекомендации (что нужно сделать для управления недостатком). Пример предполагает, что обнаружена негативная ситуация в ходе аудита процесса «Закупки» – подрядчики выбираются на произвольной основе без проведения конкурсного отбора путем тендера.